Timestamp
Menu
  1. Home/
  2. La Empresa
    3. /
  3. Noticias
    4. /
  4. NIS2 ha llegado: y ahora?
NIS2 ha llegado: y ahora?

Noticias 13/2/2025

NIS2 ha llegado: y ahora?

En este artículo, le explicamos cómo puede preparar su organización para la aplicación del nuevo régimen de ciberseguridad NIS2.

El 6 de febrero, el Consejo de Ministros de Portugal aprobó el proyecto de ley para el nuevo marco de ciberseguridad, conocido como NIS2, la directiva europea destinada a fortalecer las políticas de ciberseguridad en los Estados miembros. ¿Cómo?

  • Reforzando la resiliencia y solidez de los sistemas informáticos en empresas y entidades públicas.
  • Aumentando la supervisión regulatoria de las políticas de ciberseguridad.
  • Ampliando las obligaciones empresariales e institucionales en la protección de operaciones, bases de datos y sistemas.

Actualmente, las empresas portuguesas y europeas enfrentan un contexto de gran incertidumbre.

Deben adaptarse con rapidez y precisión a los nuevos requisitos para evitar sanciones o pérdida de competitividad. 

Es crucial definir con claridad qué implica NIS2, a quién afecta, cuáles son sus requisitos y qué consecuencias conlleva el incumplimiento.

¿A qué sectores afecta NIS2?

En comparación con la Directiva NIS adoptada en 2016, NIS2 amplía su ámbito de aplicación, incluyendo un mayor número de entidades sujetas a regulación.


Las organizaciones afectadas se dividen en dos categorías:


Sectores esenciales, ámbitos donde una interrupción de servicios podría tener graves repercusiones en la seguridad pública y la estabilidad social, tales como:

  • Energía (electricidad, gas, petróleo, hidrógeno).
  • Transporte (aéreo, ferroviario, marítimo y por carretera).
  • Sanidad (hospitales, proveedores de servicios sanitarios, fabricantes de medicamentos esenciales).
  • Suministro y distribución de agua potable.
  • Gestión de aguas residuales.
  • Infraestructura digital (proveedores de servicios DNS, centros de datos, servicios de confianza).
  • Administración pública (organismos gubernamentales y servicios esenciales).
  • Sector espacial (operadores de satélites e infraestructuras espaciales críticas).

Sectores importantes, aunque su impacto sea menor que el de los sectores esenciales, estas industrias siguen siendo clave para la economía y la seguridad digital:

  • Servicios postales y de mensajería.
  • Industria alimentaria (producción, procesamiento y distribución).
  • Producción, fabricación y distribución de productos químicos.
  • Industria manufacturera (equipos médicos, electrónica, maquinaria, automóviles, entre otros).
  • Servicios digitales (plataformas online, motores de búsqueda, servicios de computación en la nube).
  • Sector financiero (bancos, mercados financieros, seguros).

¿Está tu empresa afectada por NIS2?

Tu organización está sujeta a NIS2 si cumple alguna de estas condiciones:

  • Tiene 250 o más empleados y/o una facturación anual superior a 50 millones de euros.
  • Opera en un sector esencial o importante y su actividad se considera crítica para la sociedad o la seguridad nacional, independientemente de su tamaño.
  • Presta servicios en la UE, aunque su sede esté fuera de la Unión Europea.
  • Es una PYME que desempeña un papel clave en la cadena de suministro de infraestructuras críticas.
     

El objetivo de este marco regulador es garantizar que las organizaciones con mayor impacto en la seguridad digital cumplan con los requisitos de ciberseguridad y contribuyan a la estabilidad de los servicios esenciales.

Obligaciones de tu empresa bajo NIS2

Si tu empresa está dentro del alcance de NIS2, deberá reportar incidentes de ciberseguridad de forma escalonada ante el Centro Nacional de Ciberseguridad (CNCS):

En un plazo máximo de 24 horas: notificación inicial con una evaluación preliminar del impacto.
En un plazo de 72 horas: informe detallado con el análisis de causas, consecuencias y medidas de mitigación adoptadas.
En un mes: si el incidente es significativo, la empresa deberá presentar un informe final con acciones correctivas.

Sin embargo, las obligaciones de NIS2 van más allá de la simple notificación de incidentes. 

Las organizaciones deben implementar medidas técnicas, organizativas y operativas para garantizar un alto nivel de seguridad. Esto implica:

  1. Invertir en estrategias eficaces de gestión de riesgos para prevenir y mitigar amenazas.
  2. Adoptar medidas de protección avanzadas que refuercen la seguridad de los sistemas.
  3. Establecer protocolos de respuesta a incidentes que permitan reaccionar de forma rápida y eficiente.
  4. Aplicar planes de continuidad del negocio para minimizar el impacto de posibles ataques cibernéticos.

Sanciones por incumplimiento

NIS2 endurece el régimen sancionador para las entidades que no cumplan con las normativas. Las sanciones se dividen en tres niveles:

Medidas correctivas no monetarias, que otorgan a las autoridades nacionales la capacidad de:

  • Ordenar medidas obligatorias de cumplimiento.
  • Exigir auditorías de seguridad.
  • Obligar a notificar a los clientes sobre amenazas de seguridad.

Multas administrativas, con una clara diferenciación entre los sectores:

  • Para entidades de sectores esenciales, sanciones de hasta 10 millones de euros o el 2% de la facturación anual global.
  • Para entidades de sectores importantes, multas de hasta 7 millones de euros o el 1,4% de la facturación anual global.

Sanciones penales a la dirección, con responsabilidades directas para los gestores en caso de negligencia grave:

  • Divulgación pública de incumplimientos.
  • Identificación de los responsables y publicación de su infracción.
  • Para entidades de sectores esenciales, posibilidad de inhabilitación temporal para ocupar cargos directivos en caso de infracciones reiteradas.

Timestamp: Tu socio estratégico para la adaptación a NIS2

Cumplir con NIS2 no es solo una obligación legal, sino una oportunidad para reforzar la ciberseguridad de tu organización.

En Timestamp, contamos con más de 20 años de experiencia en ciberseguridad, un equipo de más de 50 especialistas senior y alianzas tecnológicas de primer nivel para garantizar una transformación digital segura y eficiente.

Nuestra metodología propia, validada en múltiples sectores, integra los requisitos de NIS2 con las mejores prácticas del mercado, asegurando una transición fluida y completa hacia el nuevo paradigma de ciberseguridad.

Descubra cómo podemos ayudar a tu empresa a cumplir con NIS2: https://www.timestampgroup.com/es/oferta/privacidad-y-seguridad-digital 

Comparta este post

Copiar enlace

Artículos Relacionados

Timestamp

Noticias | 8/5/2025

Timestamp impulsa el talento en DCH Human Insights

Manuel Romero, HR Manager en Timestamp, analiza el impacto del Performance Management en la gestión del talento en la revista DCH Human Insights.

Leer más
Timestamp

Noticias | 7/5/2025

Timestamp participará en el XX Fórum AUSAPE 2025

Timestamp refuerza su compromiso con el ecosistema SAP participando en el mayor evento anual de usuarios SAP en España.

Leer más
Timestamp

Noticias | 6/5/2025

Timestamp participará en el evento Oracle Supply Chain Management (SCM)

Timestamp participará en la sesión "Disney Supply Chain Modernization Journey", centrada en la modernización logística.

Leer más