What is the difference between essential and important entities in NIS2?

Essential entities operate in sectors of high criticality (Annex I) like energy, transport, and healthcare, while important entities operate in other critical sectors (Annex II). Both have the same obligations, but essential entities face stricter supervision and higher penalties.

What are the NIS2 incident reporting deadlines?

NIS2 requires a 24-hour early warning, a 72-hour full notification, and a final report within 1 month of becoming aware of a significant incident.

Does NIS2 require supply chain security?

Yes, Article 21(2)(d) requires both essential and important entities to implement supply chain security measures, including assessing critical suppliers cybersecurity posture.

NIS2

Directiva sobre seguridad de las redes y de la información (2)

Al parecer, NIS1 no fue suficiente para detener la oleada de ransomware

NIS2 es la directiva de ciberseguridad actualizada de la UE, que sustituye a la Directiva NIS original. Amplía considerablemente el ámbito de aplicación de las organizaciones que deben tomarse en serio la ciberseguridad, desde los sectores de la energía y el transporte hasta la sanidad, las infraestructuras digitales e incluso la producción alimentaria. Si tu organización es esencial o importante para la sociedad, NIS2 te concierne directamente.

Ámbito de aplicación

Entidades medianas y grandes en 18 sectores críticos (anexos I y II). Los Estados miembros también pueden incluir entidades más pequeñas si se consideran críticas. La Directiva establece dos categorías: entidades esenciales (supervisión más estricta) y entidades importantes (supervisión menos estricta, pero igualmente obligatoria).

Alcance geográfico

Directiva de ámbito comunitario: cada Estado miembro la incorpora a su legislación nacional, por lo que su aplicación concreta varía. Sin embargo, las obligaciones fundamentales son las mismas en toda la UE.

En vigor desde

18 de octubre de 2024 (fecha límite de transposición para los Estados miembros: 17 de octubre de 2024)

Objetivo

Lograr un alto nivel común de ciberseguridad en toda la UE. La Directiva NIS original era irregular: cada país la aplicaba de forma diferente, lo que daba lugar a un mosaico de medidas de ciberseguridad. La Directiva NIS 2 pretende convertir ese mosaico en una manta más uniforme.

Ir a tu función:

Entidad esencial

Su empresa opera en un sector de alta criticidad (Anexo I): energía, transporte, banca, infraestructura de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC (B2B), administración pública o sector espacial. Es probable que su organización cuente con más de 250 empleados o una facturación anual superior a 50 millones de euros. Si sus servicios se interrumpen, la gente lo nota de inmediato.

Tus obligaciones

Aplicar medidas de gestión de riesgos de ciberseguridad en al menos 10 ámbitos (art. 21), desde la gestión de incidentes hasta la seguridad de la cadena de suministro
Notifique los incidentes graves a su CSIRT nacional o a la autoridad competente: aviso preliminar en un plazo de 24 horas, notificación completa en un plazo de 72 horas e informe final en el plazo de un mes (art. 23)
Asegurarse de que los miembros del órgano de dirección reciban formación en ciberseguridad y aprueben medidas de gestión de riesgos (art. 20) — sí, el consejo de administración debe comprender esto
Aplicar medidas de seguridad en la cadena de suministro, incluida la evaluación de sus proveedores clave (art. 21.2d)
Utilice el cifrado, la autenticación multifactorial y los medios de comunicación seguros cuando sea pertinente (art. 21.2 h–j)
Mantener planes de continuidad del negocio, incluidas las copias de seguridad y la recuperación ante desastres (art. 21.2 c)
Realizar evaluaciones y auditorías de seguridad periódicas (art. 21.2 f)
Regístrese ante su autoridad nacional competente (art. 3)

Artículos destacados

Art. 3 — Entidades esenciales e importantesArt. 20 — GobernanzaArt. 21 — Gestión de riesgos de ciberseguridadArt. 23 — Obligaciones de informaciónArt. 32 — Supervisión de las entidades esencialesAnexo I — Sectores de alta criticidad

Consejo de experto

El plazo de 24 horas para la alerta temprana no es ninguna broma. Dispón de una plantilla de incidente ya redactada y de una persona encargada de la notificación que conozca el proceso. Ensaya el procedimiento de notificación antes de que sea necesario: cuando te encuentres en medio de un ataque de ransomware a las 3 de la madrugada no es el momento de estar averiguando cómo funciona el portal del CSIRT.

Entidad importante

Su empresa opera en un sector crítico (Anexo II): servicios postales, gestión de residuos, industria manufacturera, productos químicos, alimentación, investigación o proveedores digitales (plataformas de comercio electrónico, motores de búsqueda, redes sociales). Su organización cuenta con más de 50 empleados o una facturación anual superior a 10 millones de euros. Puede que su cierre no sea noticia, pero la sociedad notaría su ausencia.

Tus obligaciones

Aplicar las mismas medidas de gestión de riesgos de ciberseguridad que las entidades esenciales (art. 21): los diez ámbitos se aplican por igual
Siga el mismo calendario para la notificación de incidentes: aviso previo en 24 horas, notificación en 72 horas e informe final en un mes (art. 23)
Garantizar la formación del órgano de gestión y la aprobación de las medidas (art. 20)
Llevar a cabo la debida diligencia en la cadena de suministro (art. 21.2d)
Mantener planes de continuidad de las actividades y de gestión de crisis (art. 21.2 c)
Regístrese ante su autoridad nacional competente (art. 3)

Artículos destacados

Art. 3 — Entidades esenciales e importantesArt. 20 — GobernanzaArt. 21 — Gestión de riesgos de ciberseguridadArt. 23 — Obligaciones de informaciónArt. 33 — Supervisión de entidades importantesAnexo II — Otros sectores críticos

Consejo de experto

No te dejes engañar por el término «importante» y pienses que los requisitos son menos estrictos. Las obligaciones son idénticas a las de las entidades esenciales; la diferencia radica en la intensidad de la supervisión y en las sanciones. Aún así, hay muchas razones para tomárselo en serio.

Responsable de ciberseguridad / Seguridad de la información

Eres la persona encargada de aplicar los requisitos de NIS2 en la práctica. Da igual si tu cargo es el de CISO, responsable de seguridad informática o «el que le ha tocado la pajita más corta»: eres tú quien se encarga de plasmar los requisitos de la directiva en medidas de seguridad, políticas y procedimientos de respuesta ante incidentes concretos.

Tus obligaciones

Desarrollar y mantener el marco de gestión de riesgos de ciberseguridad en consonancia con los 10 ámbitos del artículo 21
Establecer procedimientos de detección, respuesta y notificación de incidentes que cumplan los plazos de 24 horas, 72 horas y 30 días
Coordinar las evaluaciones de seguridad de la cadena de suministro para los proveedores externos clave
Preparar e impartir cursos de formación en ciberseguridad para la dirección y el personal
Realizar evaluaciones de riesgos, análisis de vulnerabilidad y pruebas de penetración de forma periódica
Mantener y poner a prueba los planes de continuidad del negocio y de recuperación ante desastres
Garantizar la aplicación de medidas técnicas: cifrado, autenticación multifactorial, segmentación de la red y control de acceso
Documenta todo: la supervisión de NIS2 se basa en pruebas

Artículos destacados

Art. 21 — Los 10 ámbitos de gestión de riesgosArt. 23 — Plazos para la notificación de incidentesArt. 20 — Obligaciones del órgano de administración

Consejo de experto

Elabora una matriz de cumplimiento en la que se establezca una correspondencia entre cada ámbito del artículo 21 y tus controles actuales. Probablemente descubrirás que ya estás cumpliendo entre el 60 % y el 70 % de los requisitos de la NIS2; el reto consiste en documentarlo, subsanar las deficiencias y formalizar aquellas prácticas que actualmente se llevan a cabo de manera informal.

Cómo puede ayudarte Euregas

Herramientas disponibles

Gestión de incidencias: seguimiento de incidencias con recordatorios automáticos de plazos de 24 horas, 72 horas y 30 días
Medidas de gestión de riesgos (art. 21): evaluación estructurada en los diez ámbitos exigidos
Evaluación de proveedores: sistema de puntuación de ocho ámbitos para evaluar el nivel de ciberseguridad de terceros

Funciones asistidas por IA

Asistente de consulta (nis2_scope): evaluación guiada en cinco pasos para determinar si su entidad es esencial o importante
Búsqueda semántica en los artículos y considerandos de la NIS2

Nota

La gestión de incidencias y la evaluación de proveedores son flujos de trabajo estructurados que se realizan manualmente. Se dispone de asistencia mediante inteligencia artificial a través del asistente de consulta para determinar el alcance.

Todos los ejemplos son ficticios y tienen únicamente fines ilustrativos.