CISET. Centro de Innovación
  • Inicio
  • Servicios Informáticos
      • Mantenimiento Informático
      • Backup
      • Formación Tecnológica
      • Servicios Informáticos
  • Soluciones
      • Catálogo de Soluciones TI
      • Venta Informatica - SW y HW
      • Renting tecnológico e informático
      • Software ERP
      • Software RRHH
      • Inventario de Activos TI
  • Cloud
      • Catálogo de servicios cloud
      • Microsoft 365
      • Acronis Cyber Protect Cloud
      • Google Apps
      • Centralita virtual
  • Ciberseguridad
      • Seguridad Informática
      • Antivirus y Antispam
  • Soporte
  • ¿Quíenes somos?
  • Contacto

NIS2: Todo lo que debes saber sobre la nueva directiva de ciberseguridad, empresas, plazos y sanciones

Última actualización: 15 Diciembre 2025

La Directiva NIS2 es una de las grandes novedades en materia de normativa de ciberseguridad este año en Europa, afectando a muchas empresas y organismos que operan en sectores críticos.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Network and Information Systems) es una regulación de la Unión Europea enfocada en mejorar la ciberseguridad en todos los Estados Miembros, actualizando la Directiva NIS de 2016. El objetivo principal es reforzar las capacidades de resiliencia de las organizaciones en sectores clave frente a ciberataques, para proteger la infraestructura digital y crítica.

Plazos de implantación

Los Estados Miembros de la Unión Europea tienen hasta el 18 de octubre de 2024 para transponer la directiva a su legislación nacional. Esto significa que las empresas afectadas deben prepararse para cumplir con los requisitos antes de esta fecha.

De la misma forma, con fecha límite de 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 deberán haber elaborado una lista de entidades esenciales e importantes.

¿A qué empresas afecta?

La Directiva NIS2 amplía su ámbito de aplicación respecto a la anterior, afectando a un mayor número de sectores críticos y empresas. Entre las organizaciones que deben cumplirla se encuentran:

  • Sectores críticos como la energía, transporte, banca, agua potable, salud, infraestructuras digitales y telecomunicaciones.
  • Proveedores de servicios digitales como plataformas en línea, servicios en la nube, centros de datos, servicios de búsqueda en línea, entre otros.
  • Las empresas medianas y grandes de los sectores mencionados. En concreto en el ámbito de la mediana empresa, serán aquellas entre 50 y 250 empleados, y entre 10 y 50 millones de euros de ingresos anuales. Mientras que, a nivel de gran cuenta, tendrán que cumplir con NIS2 las grandes organizaciones con más de 250 empleados y 50 millones de euros de ingresos anuales.

Además, NIS2 establece dos categorías de entidades afectadas:

  • Entidades esenciales: Son aquellas que pertenezcan a los sectores de alta criticidad, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial..
  • Entidades importantes: Son todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales. 

Nueve pasos que tendrán que seguir las organizaciones 

Para cumplir con la Directiva NIS2, las empresas deberán seguir una serie de pasos estructurados para adaptar sus políticas, sistemas y procesos de seguridad:

  1. Identificación de los activos críticos

Las empresas deben realizar un inventario de todos los activos críticos (datos, sistemas, redes, infraestructuras, etc.) que requieren protección, priorizando aquellos cuya interrupción afectaría gravemente a sus operaciones o a la sociedad. Esta fase implica también identificar los proveedores de servicios clave, ya que la ciberseguridad de terceros es crucial en NIS2.

  1. Evaluación del riesgo

Una vez identificados los activos críticos, es necesario realizar una evaluación de riesgos continua. Esto incluye analizar las amenazas cibernéticas, vulnerabilidades y sus posibles impactos en las operaciones de la organización. La evaluación del riesgo es esencial para definir las medidas de mitigación adecuadas.

  1. Implementación de medidas técnicas y organizativas

Las empresas deben adoptar un conjunto de medidas técnicas y organizativas de ciberseguridad que protejan tanto los sistemas como los datos. Estas medidas deben seguir un enfoque basado en el riesgo e incluir soluciones como el cifrado, sistemas de detección de intrusiones, controles de acceso, segmentación de redes, entre otros.

  1. Políticas de seguridad y gobernanza

Es fundamental establecer una política de seguridad clara, junto con un marco de gobernanza que incluya roles, responsabilidades y una estructura de reporte adecuada. Las organizaciones deberán crear procesos internos de toma de decisiones sobre ciberseguridad y asegurar que el liderazgo esté alineado con la normativa NIS2.

  1. Supervisión y monitorización continua

Para garantizar la conformidad, las empresas deben tener sistemas de monitorización continua que detecten y analicen las actividades sospechosas o inusuales en sus redes y sistemas. La supervisión proactiva es clave para identificar incidentes de ciberseguridad a tiempo y mitigarlos antes de que causen daños significativos.

  1. Plan de respuesta ante incidentes

Las organizaciones deben diseñar e implementar un plan de respuesta ante incidentes, que especifique los pasos a seguir cuando se produzca un ataque cibernético o una brecha de seguridad. Esto debe incluir procedimientos para la contención, mitigación, recuperación y comunicación tanto interna como externa.

  1. Notificación de incidentes

NIS2 requiere que las empresas notifiquen los incidentes de ciberseguridad relevantes a las autoridades competentes de su Estado miembro en un plazo de 24 a 72 horas, dependiendo de la gravedad. Las notificaciones deben ser precisas, oportunas y contener detalles sobre el impacto y las medidas de respuesta.

  1. Formación y concienciación

Uno de los pilares clave para cumplir con NIS2 es la formación continua del personal. Las empresas deben asegurar que todos los empleados, en especial aquellos que gestionan infraestructuras críticas, estén debidamente capacitados en temas de ciberseguridad y conozcan los procedimientos internos.

  1. Revisión y auditoría

Finalmente, las empresas deben llevar a cabo auditorías periódicas para verificar que los controles de seguridad se mantengan actualizados y efectivos. Esto incluye revisar y actualizar políticas, medidas técnicas y realizar simulaciones de incidentes. Las auditorías deben ser exhaustivas y pueden requerir el apoyo de terceros para garantizar la objetividad y el cumplimiento

Sanciones

Las sanciones bajo NIS2 son significativas, con un enfoque similar al del Reglamento General de Protección de Datos (GDPR). Las multas por incumplimiento pueden llegar hasta el 2% de la facturación global anual de la empresa o 10 millones de euros, lo que sea mayor. Las sanciones se aplican a las organizaciones que no adopten medidas de seguridad adecuadas, no notifiquen incidentes de ciberseguridad o no implementen políticas y controles efectivos.

 

 

Artículos relacionados

  • ¿Qué significa el concepto Smishing?
  • ¿Conoces las consecuencias que supondría un ataque informático a una empresa?
  • Los retos en seguridad informática para el 2023
  • Backup Online: Servicios para la realización de backups en remoto
  • Consejos para prevenir un ciberataque en tu empresa
  • ¿Qué es la verificación en dos pasos y por qué debería importarte?
  • RANSOMWARE - empieza a atacar con los mensajes de voz
  • Fraude al CEO: la ciberestafa que afecta cada vez a más empresas
  • Nueva campaña de correos fraudulentos detectados
  • SMS para suplantar envíos de MRW
  • Bizum, nueva estafa para solicitar dinero
  • HP lanza nueva campaña de seguridad
  • Definición Ransomware
  • Seguridad en operaciones y compras online
  • BitLocker ¿Qué es? ¿Por qué debemos utilizarlo?
  • HeartBleed: fallo de seguridad en OpenSSL
  • WannaCry ransomware: Cómo funciona y cómo protegerse
  • Intentos de secuestro de WhatsApp
  • Ataque masivo de Ransomware
  • 31 de marzo - Día mundial de las copias de seguridad

Publicaciones destacadas

Tendencias clave de ciberseguridad 2026: ataques con IA y evolución del ransomware

En 2026, la ciberseguridad estará marcada por la IA ofensiva, la evolución constante del ransomware y nuevas regulaciones digitales, redefiniendo los riesgos y estrategias de gobiernos, empresas y usuarios.

Ciberamenazas al acecho en la Navidad 2025. No te dejes “arrastrar”

Cada diciembre, mientras los lugares de trabajo se preparan para cerrar con tareas de fin de año, fiestas en la oficina y elecciones cuestionables de suéteres, algo más se agita en el mundo digital. La música navideña llena la radio, las luces decoran las ciudades… y los atacantes comienzan a trabajar en silencio.

Test de velocidad de Internet: ¿Tu conexión es tan rápida como crees?

Comprueba con este test la velocidad real de tu conexión ADSL o Fibra, tanto la velocidad de subida como de bajada desde cualquier dispositivo y operadora.
Ofertas y promociones
  • Microsoft 365
  • Firewalls
  • Sistemas Backup Online
Hoy hablamos de:
  • Centralita virtual
  • Netskope
  • Asesorías de empresas
Localización y contacto
CISET. Centro de Innovación
Calle Margarita Salas 16, 28919
Leganés, Madrid - ESPAÑA
Parque Tecnológico LEGATEC
Microsoft Partner
CISET empresa registrada en el catálogo de soluciones de ciberseguridad de INCIBE
CISET. Centro de Innovación © 2025. Todos los derechos reservados | Inicio | Aviso legal | política de privacidad | política de cookies