BCN +34 93 321 10 53 - 

MAD +34 91 781 09 49


Warning: Trying to access array offset on value of type bool in /srv/vhost/avqlegal.com/home/html/wp-content/themes/avq/single.php on line 6
Actualitat

Directiva NIS 2 (UE 2022/2555): un nuevo avance para la implementación de la Ciberseguridad en Europa

24 juny 2025

Miguel de Gregorio Alonso

La Directiva NIS 2 (UE 2022/2555), de 14 de diciembre de 2022, constituye el nuevo marco jurídico europeo para la ciberseguridad. Su objetivo es garantizar un nivel elevado y estandarizado de protección frente a las amenazas digitales en toda la Unión Europea, sustituyendo y ampliando el alcance de la Directiva NIS original. La nueva norma incrementa las exigencias legales para entidades públicas y privadas que prestan servicios esenciales o importantes, situando la ciberseguridad en el centro de la responsabilidad empresarial y de la administración pública.

La NIS 2 afecta a una gran variedad de sectores, entre otros: energía, transporte, banca, infraestructuras financieras, agua, infraestructura digital, administración pública o sector sanitario, en el que están incluidos los laboratorios farmacéuticos. Introduce la distinción entre entidades esenciales y entidades importantes, en función de la criticidad de los servicios y el impacto potencial de un incidente. La norma se aplica, por regla general, a organizaciones que superen determinados umbrales de tamaño y facturación (más de 250 empleados o volumen de negocio superior a 50 millones de euros), aunque existen excepciones para actividades especialmente sensibles, independientemente de su tamaño.

Una de las modificaciones más significativas que introduce la NIS 2 es el refuerzo de la responsabilidad de los órganos de dirección. Los órganos de dirección de las entidades afectadas deben aprobar y supervisar las políticas de gestión de riesgos de ciberseguridad, asumiendo incluso responsabilidades personales en caso de incumplimiento. La Directiva exige la implantación de medidas organizativas y de control que se ajusten al nivel riesgo de cada entidad afectada, así como la obligación de proporcionar formación continua a los directivos y empleados en materia de ciberseguridad. Este enfoque integra la ciberseguridad desde el diseño y por defecto, fortaleciendo el cumplimiento y alineando la protección digital con las mejores prácticas de gobernanza corporativa

Desde el punto de vista legal, la Directiva introduce un régimen de notificación de incidentes mucho más estricto que su predecesora. Las entidades obligadas deben comunicar a la autoridad competente o al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT, por sus siglas en inglés: Computer Security Incident Response Team) cualquier incidente con impacto significativo en la prestación de servicios, siguiendo un procedimiento escalonado: alerta temprana en 24 horas, notificación ampliada en 72 horas e informe final en el plazo de un mes. El incumplimiento de estos plazos o la ocultación de incidentes puede conllevar importantes sanciones administrativas.

En cuanto a la supervisión, cada Estado miembro debe designar autoridades competentes con capacidad de inspección y sanción, así como a sus CSIRT encargados de coordinar la respuesta ante ciberataques. A nivel europeo, se promueve la cooperación a través de varios organismos para garantizar una reacción coordinada ante incidentes de gran escala o con dimensión transfronteriza.

La NIS 2 incluye un régimen sancionador significativamente más estricto que la anterior Directiva. Las multas pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocio global anual de la empresa afectada, lo que sea mayor. Además, se prevén sanciones específicas para los miembros de los órganos de dirección en caso de infracción grave, reforzando la exigencia de diligencia y control en la gestión de la ciberseguridad.

A pesar de que el plazo de transposición establecía como fecha límite el 17 de octubre de 2024, una mayoría de Estados miembros aún no han completado la adaptación de su normativa interna, tan solo una minoría de países ha transpuesto la Directiva. Ante esta situación, en el mes de mayo, la Comisión Europea ha iniciado el procedimiento de infracción contra los Estados rezagados enviando un dictamen motivado para que adopten las medidas necesarias.

En España, la transposición de la Directiva NIS 2 sigue en curso. El Gobierno ha presentado el anteproyecto de Ley de coordinación y gobernanza de la ciberseguridad, actualmente en trámite parlamentario tras haber pasado por el proceso de audiencia pública a comienzos de 2025, estando prevista su aprobación antes de finalizar el año.

A modo de conclusión, conviene destacar los puntos clave que deben tener en cuenta las empresas ante la entrada en vigor de la NIS 2. Estas son las principales recomendaciones y consideraciones prácticas:

  • Es fundamental que cada empresa analice si va a estar sujeta a las obligaciones de la Directiva NIS 2.
  • Se recomienda anticipar a qué obligaciones concretas estará sujeta la compañía para poder implementar los cambios necesarios de forma programada y organizada.
  • El Instituto Nacional de Ciberseguridad (INCIBE) ofrece una sección de resolución de dudas muy útil para las empresas afectadas: FAQ NIS 2 de INCIBE.
  • La ciberseguridad pasa a ser un elemento central de la responsabilidad legal y la gobernanza empresarial.
  • La Directiva NIS 2 refuerza la responsabilidad de la alta dirección y dota a las autoridades de mecanismos efectivos de supervisión y sanción.
  • No solo se trata de evitar sanciones, sino de proteger el negocio y garantizar la confianza de clientes, socios, inversores y autoridades.
  • La transposición y aplicación efectiva de la Directiva serán clave para que las empresas europeas tengan un nivel adecuado de ciberseguridad y estén preparadas para los retos tecnológicos futuros.