NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo
Todos los marcos normativos
Marco normativo

Cumplimiento NIS2 para entidades esenciales e importantes

La Directiva NIS2 eleva el nivel de ciberseguridad en toda la UE. Matproof le ayuda a cumplir con los nuevos requisitos — desde la gestión de riesgos hasta la notificación de incidentes en 24 horas.

Solicitar una demo

Que es la Directiva NIS2?

La Directiva NIS2 (Directiva UE 2022/2555) es la legislacion integral de ciberseguridad de la Union Europea que reemplaza y fortalece significativamente la Directiva NIS original de 2016. Adoptada en diciembre de 2022, NIS2 establece un alto nivel comun de ciberseguridad en toda la UE imponiendo obligaciones uniformes de gestion de riesgos y notificacion de incidentes a un ambito mucho mas amplio de sectores y entidades. Los Estados miembros debian transponer la directiva a la legislacion nacional antes del 17 de octubre de 2024.

La Directiva NIS original adolecia de una implementacion inconsistente entre los Estados miembros, un alcance limitado y mecanismos de aplicacion insuficientes. NIS2 aborda estas deficiencias cubriendo 18 sectores (frente a 7), introduciendo criterios basados en el tamano para determinar que entidades estan dentro del ambito, armonizando los requisitos de ciberseguridad, estableciendo plazos de notificacion de incidentes mas estrictos y creando un regimen de aplicacion significativo con sanciones importantes por incumplimiento.

Una de las innovaciones mas significativas de NIS2 es la introduccion explicita de la responsabilidad de la direccion. El Articulo 20 exige que los organos de direccion aprueben y supervisen las medidas de gestion de riesgos de ciberseguridad, reciban formacion periodica en ciberseguridad y asuman responsabilidad personal por los fallos de cumplimiento. Esto representa un cambio fundamental de tratar la ciberseguridad como una funcion puramente tecnica a reconocerla como una responsabilidad de gobernanza a nivel de consejo.

En Alemania, la Directiva NIS2 se esta implementando a traves de la NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitstaerkungsgesetz), que modifica la Ley BSI (BSIG) existente. La Oficina Federal de Seguridad de la Informacion (BSI) actua como la autoridad nacional competente y punto de contacto unico. La implementacion alemana anade disposiciones nacionales en areas como obligaciones de registro, requisitos tecnicos especificos y procedimientos de aplicacion, basandose en el marco existente de proteccion de infraestructuras criticas de Alemania (KRITIS).

Quien necesita cumplir con NIS2?

NIS2 utiliza un enfoque basado en el tamano combinado con la clasificacion sectorial para determinar que entidades estan dentro del ambito. Generalmente, las organizaciones medianas (50+ empleados o EUR 10M+ de facturacion anual) y las grandes organizaciones en los 18 sectores designados estan dentro del alcance. La directiva distingue entre entidades esenciales (sujetas a supervision proactiva) y entidades importantes (sujetas a supervision reactiva).

Sectores de entidades esenciales

  • Energia (electricidad, petroleo, gas, hidrogeno, calefaccion urbana)
  • Transporte (aereo, ferroviario, maritimo, por carretera)
  • Banca e infraestructura de mercados financieros
  • Salud (hospitales, laboratorios, farmaceutica, dispositivos medicos)
  • Agua potable y aguas residuales
  • Infraestructura digital (IXPs, DNS, TLDs, nube, centros de datos)
  • Gestion de servicios TIC (B2B) y administracion publica
  • Espacio

Sectores de entidades importantes

  • Servicios postales y de mensajeria
  • Gestion de residuos
  • Fabricacion y distribucion de productos quimicos
  • Produccion, procesamiento y distribucion de alimentos
  • Fabricacion (dispositivos medicos, electronica, maquinaria, vehiculos)
  • Proveedores digitales (marketplaces, motores de busqueda, redes sociales)
  • Organizaciones de investigacion

Algunas entidades estan cubiertas independientemente de su tamano, incluyendo proveedores de redes publicas de comunicaciones electronicas, proveedores de servicios DNS, registros de TLD y entidades que son el unico proveedor de un servicio critico en un Estado miembro. Las organizaciones en la cadena de suministro de entidades esenciales e importantes tambien pueden verse indirectamente afectadas, ya que NIS2 exige a las entidades dentro del ambito gestionar los riesgos de ciberseguridad en sus cadenas de suministro. En Alemania, la BSI estima que aproximadamente 30.000 entidades estaran dentro del alcance de la NIS2UmsuCG.

Not sure if you're compliant?

Take the free NIS2 readiness assessment — 10 questions, 3 minutes.

Check your readiness

Requisitos clave de NIS2 en detalle

1. Medidas de gestion de riesgos de ciberseguridad (Articulo 21)

Las entidades esenciales e importantes deben adoptar medidas tecnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad. El Articulo 21(2) especifica medidas minimas que incluyen politicas de analisis de riesgos y seguridad de los sistemas de informacion, gestion de incidentes, continuidad del negocio y gestion de crisis, seguridad de la cadena de suministro, seguridad en la adquisicion de sistemas de redes e informacion, politicas para evaluar la efectividad de las medidas, practicas basicas de ciberhigiene y formacion, politicas de criptografia y cifrado, seguridad de los recursos humanos y autenticacion multifactor.

2. Notificacion de incidentes (Articulos 23-24)

NIS2 introduce un proceso de notificacion de incidentes estructurado y multietapa. Las organizaciones deben enviar una alerta temprana a la autoridad competente o al CSIRT dentro de las 24 horas desde que tienen conocimiento de un incidente significativo. Una notificacion del incidente con una evaluacion inicial debe seguir dentro de las 72 horas. Un informe final con analisis de causa raiz, evaluacion de impacto y medidas de remediacion debe presentarse dentro de un mes. Un incidente se considera significativo si causa o puede causar una interrupcion operativa grave o perdida financiera, o afecta a otras personas causando danos materiales o inmateriales considerables.

3. Responsabilidad de la direccion (Articulo 20)

NIS2 exige explicitamente que los organos de direccion aprueben las medidas de gestion de riesgos de ciberseguridad, supervisen su implementacion y sean responsables del incumplimiento. Los miembros de la direccion deben recibir formacion periodica y adecuada en ciberseguridad para desarrollar conocimientos y habilidades suficientes para identificar riesgos, evaluar las practicas de gestion de ciberseguridad y valorar su impacto en los servicios. Esta obligacion no puede delegarse y la direccion puede enfrentar sanciones personales por fallos de cumplimiento.

4. Seguridad de la cadena de suministro (Articulo 21(2)(d))

Las entidades deben abordar los riesgos de ciberseguridad en sus cadenas de suministro y relaciones con proveedores. Esto incluye evaluar la postura de seguridad de los proveedores directos, incorporar requisitos de ciberseguridad en los acuerdos contractuales, monitorear el cumplimiento de los proveedores y gestionar los riesgos derivados del uso de productos y servicios TIC. Las evaluaciones de riesgos de la cadena de suministro deben considerar la calidad y resiliencia general de los productos, las practicas de ciberseguridad de los proveedores y cualquier riesgo especifico del pais asociado con las ubicaciones de los proveedores.

5. Continuidad del negocio y gestion de crisis (Articulo 21(2)(c))

Las organizaciones deben implementar la gestion de la continuidad del negocio incluyendo gestion de copias de seguridad y recuperacion ante desastres, y procedimientos de gestion de crisis. Los planes deben cubrir la continuidad de los servicios criticos, definir roles y responsabilidades durante incidentes, establecer procedimientos de comunicacion e incluir programas periodicos de pruebas y ejercicios. Los planes de continuidad del negocio deben considerar las dependencias de proveedores de servicios de terceros e incluir acuerdos alternativos para servicios criticos.

6. Gestion y divulgacion de vulnerabilidades (Articulos 12-13)

NIS2 establece un marco de divulgacion coordinada de vulnerabilidades a traves de la Agencia de la UE para la Ciberseguridad (ENISA). Las entidades deben implementar procedimientos de gestion y divulgacion de vulnerabilidades, realizar evaluaciones periodicas de vulnerabilidades y aplicar parches de seguridad de manera oportuna. ENISA mantiene una base de datos europea de vulnerabilidades, y los CSIRTs actuan como intermediarios de confianza para la divulgacion coordinada de vulnerabilidades. Las organizaciones tambien deben participar en los procesos de notificacion de vulnerabilidades cuando sean notificadas por las autoridades.

7. Registro y cooperacion (Articulos 3, 25-29)

Las entidades esenciales e importantes deben registrarse ante la autoridad competente, proporcionando informacion sobre su entidad, sector, subsector, datos de contacto y rangos de IP. La directiva establece un marco de cooperacion que incluye el Grupo de Cooperacion (orientacion estrategica), la Red de CSIRTs (cooperacion operativa) y EU-CyCLONe (gestion de crisis). Las entidades deben cooperar con las autoridades durante las actividades de supervision e investigaciones de incidentes.

8. Autenticacion multifactor y control de acceso

NIS2 exige explicitamente el uso de autenticacion multifactor o soluciones de autenticacion continua, comunicaciones de voz, video y texto aseguradas, y sistemas de comunicacion de emergencia asegurados cuando sea apropiado. Las politicas de control de acceso deben seguir el principio de minimo privilegio, y las organizaciones deben implementar sistemas de gestion de identidades, gestion de acceso privilegiado y revisiones periodicas de acceso. Estos requisitos se aplican tanto a sistemas internos como a servicios de cara al exterior.

Sanciones por incumplimiento de NIS2

NIS2 introduce un regimen de aplicacion significativamente reforzado en comparacion con la Directiva NIS original. Las autoridades competentes tienen amplios poderes de supervision y las sanciones estan disenadas para ser efectivas, proporcionadas y disuasorias. La directiva diferencia las sanciones entre entidades esenciales e importantes.

Hasta EUR 10M / 2%

Multas maximas para entidades esenciales: EUR 10 millones o el 2% de la facturacion anual total mundial, la cantidad que sea mayor

Hasta EUR 7M / 1,4%

Multas maximas para entidades importantes: EUR 7 millones o el 1,4% de la facturacion anual total mundial, la cantidad que sea mayor

Responsabilidad personal

Los miembros del organo de direccion pueden ser considerados personalmente responsables y enfrentar prohibiciones temporales para ejercer funciones directivas en entidades esenciales

Suspension de servicios

Para entidades esenciales, las autoridades pueden suspender o prohibir temporalmente a una persona fisica el ejercicio de funciones directivas y suspender certificaciones o autorizaciones

Las entidades esenciales estan sujetas a supervision proactiva, lo que significa que las autoridades pueden realizar auditorias periodicas, escaneos de seguridad, inspecciones in situ y solicitar evidencia de cumplimiento en cualquier momento. Las entidades importantes estan sujetas a supervision reactiva - las autoridades intervienen basandose en evidencia de incumplimiento, como informes de incidentes o quejas. En Alemania, la BSI tiene poderes de aplicacion adicionales bajo la NIS2UmsuCG, incluyendo la capacidad de emitir instrucciones vinculantes, nombrar supervisores de monitoreo y restringir o prohibir la prestacion de servicios.

Como lograr el cumplimiento de NIS2

Con el plazo de transposicion nacional habiendo pasado en octubre de 2024, las organizaciones dentro del ambito deberian estar trabajando activamente hacia el cumplimiento total de NIS2. Este es un enfoque estructurado:

  1. 1

    Alcance y autoevaluacion

    Determine si su organizacion esta dentro del ambito de NIS2 evaluando su sector, tamano (empleados y facturacion) y criticidad del servicio. Clasificquese como entidad esencial o importante segun los criterios de la directiva. Revise la ley de implementacion nacional (NIS2UmsuCG en Alemania) para cualquier requisito nacional adicional. Registrese ante la autoridad competente (BSI en Alemania) segun sea requerido.

  2. 2

    Analisis de brechas frente a los requisitos del Articulo 21

    Evalue su postura actual de ciberseguridad frente a las 10 medidas minimas especificadas en el Articulo 21(2). Identifique brechas en politicas de gestion de riesgos, gestion de incidentes, continuidad del negocio, seguridad de la cadena de suministro, gestion de vulnerabilidades, criptografia, control de acceso y formacion de empleados. Priorice la remediacion segun el riesgo y las expectativas regulatorias. Mapee los controles existentes de ISO 27001, DORA u otros marcos a los requisitos de NIS2.

  3. 3

    Compromiso y formacion del organo de direccion

    Informe al organo de direccion sobre las obligaciones de NIS2, incluyendo su responsabilidad personal segun el Articulo 20. Organice formacion en ciberseguridad para todos los miembros de la direccion. Establezca procesos de gobernanza para la aprobacion por la direccion de las medidas de gestion de riesgos y la presentacion periodica de informes sobre el estado de la ciberseguridad. Documente las decisiones de la direccion y las actividades de supervision para demostrar el cumplimiento.

  4. 4

    Implementar medidas de gestion de riesgos de ciberseguridad

    Implemente o refuerce las 10 medidas minimas requeridas por el Articulo 21. Esto incluye desplegar autenticacion multifactor, implementar segmentacion de red y cifrado, establecer procesos de gestion de vulnerabilidades, crear planes de continuidad del negocio y recuperacion ante desastres, y construir un programa integral de seguridad de la cadena de suministro. Asegurese de que todas las medidas sean proporcionadas a su perfil de riesgo y la criticidad de sus servicios.

  5. 5

    Establecer capacidades de notificacion de incidentes

    Construya procesos de deteccion, clasificacion y notificacion de incidentes que cumplan con los estrictos plazos de NIS2: alerta temprana de 24 horas, notificacion del incidente de 72 horas e informe final de un mes. Establezca canales de comunicacion con la autoridad competente (BSI) y los CSIRTs relevantes. Defina que constituye un "incidente significativo" para su organizacion y cree plantillas de notificacion preaprobadas. Realice ejercicios de simulacion para probar su capacidad de cumplir los plazos de notificacion.

  6. 6

    Cumplimiento continuo y monitoreo

    Implemente monitoreo continuo de su postura de ciberseguridad, riesgos de la cadena de suministro y efectividad de los controles. Realice evaluaciones de seguridad periodicas, escaneos de vulnerabilidades y pruebas de penetracion. Revise y actualice las medidas de gestion de riesgos basandose en amenazas en evolucion, incidentes y orientacion regulatoria. Utilice Matproof para automatizar el monitoreo de controles, la recopilacion de evidencias y los informes de cumplimiento, asegurando una preparacion continua para las actividades de supervision.

Preguntas frecuentes sobre NIS2

Que es la Directiva NIS2?

NIS2 (Directiva UE 2022/2555) es la directiva actualizada de la Union Europea sobre la seguridad de las redes y los sistemas de informacion. Reemplaza la Directiva NIS original de 2016 y amplia significativamente su alcance, cubriendo 18 sectores e introduciendo requisitos de ciberseguridad mas estrictos, obligaciones de notificacion de incidentes y responsabilidad de la direccion. Los Estados miembros debian transponer NIS2 a la legislacion nacional antes del 17 de octubre de 2024.

Cual es la diferencia entre entidades esenciales e importantes segun NIS2?

NIS2 categoriza las entidades en dos grupos segun el sector y el tamano. Las entidades esenciales incluyen sectores como energia, transporte, banca, infraestructura de mercados financieros, salud, agua potable, infraestructura digital y administracion publica. Las entidades importantes cubren sectores como servicios postales, gestion de residuos, produccion de alimentos, fabricacion y proveedores digitales. Las entidades esenciales enfrentan una supervision mas estricta (proactiva) y sanciones mas altas (EUR 10M o 2%), mientras que las entidades importantes son supervisadas de forma reactiva con sanciones menores (EUR 7M o 1,4%).

Cuales son los plazos de notificacion de incidentes de NIS2?

NIS2 introduce un proceso de notificacion multietapa: una alerta temprana dentro de las 24 horas desde el conocimiento de un incidente significativo, una notificacion del incidente dentro de las 72 horas con una evaluacion inicial de la gravedad e impacto, un informe intermedio a peticion de la autoridad competente, y un informe final dentro de un mes de la notificacion del incidente detallando la causa raiz, el impacto y las medidas de remediacion. Los incidentes transfronterizos tambien deben notificarse a los CSIRTs relevantes.

Se aplica NIS2 a mi organizacion?

NIS2 se aplica a organizaciones medianas y grandes (50+ empleados o EUR 10M+ de facturacion) en 18 sectores designados: energia, transporte, banca, infraestructura de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestion de servicios TIC (B2B), administracion publica, espacio, servicios postales, gestion de residuos, quimicos, alimentacion, fabricacion, proveedores digitales e investigacion. Algunas entidades estan cubiertas independientemente del tamano, incluyendo proveedores de DNS, registros de TLD y proveedores de redes publicas de comunicaciones electronicas.

Que es la NIS2UmsuCG?

La NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitstaerkungsgesetz) es la ley nacional alemana que implementa la Directiva NIS2. Modifica la Ley BSI (BSIG) existente e introduce requisitos nacionales alineados con NIS2, incluyendo obligaciones de registro ante la BSI (Bundesamt fuer Sicherheit in der Informationstechnik), notificacion de incidentes a la BSI y medidas especificas de ciberseguridad. La implementacion alemana anade algunas disposiciones nacionales mas alla de los requisitos minimos de NIS2.

Puede la direccion ser considerada personalmente responsable bajo NIS2?

Si. NIS2 introduce explicitamente la responsabilidad de la direccion en el Articulo 20. Los organos de direccion de las entidades esenciales e importantes deben aprobar las medidas de gestion de riesgos de ciberseguridad, supervisar su implementacion y pueden ser considerados responsables de las infracciones. Los miembros de la direccion tambien deben recibir formacion en ciberseguridad. En Alemania, la NIS2UmsuCG aclara ademas que la direccion no puede delegar esta responsabilidad y que los directivos pueden enfrentar responsabilidad financiera personal por fallos de cumplimiento.

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Funcionalidades clave

Gestión de riesgos de ciberseguridad

Implemente las medidas de gestión de riesgos requeridas por el Artículo 21. Evaluaciones de riesgos automatizadas, planes de tratamiento y monitoreo continuo.

Notificación de incidentes (24h/72h)

Cumpla con los estrictos plazos de notificación de NIS2: alerta temprana en 24 horas, notificación completa del incidente en 72 horas a su CSIRT nacional.

Seguridad de la cadena de suministro

Evalúe y monitoree los riesgos de la cadena de suministro ICT. Realice seguimiento de las posturas de seguridad de los proveedores y los requisitos contractuales.

Responsabilidad de la dirección

Documente la supervisión del órgano de dirección, los requisitos de formación y el cumplimiento de la responsabilidad personal conforme al Artículo 20.

Continuidad del negocio

Gestión de copias de seguridad, recuperación ante desastres y planes de gestión de crisis. Documente y pruebe sus medidas de resiliencia.

Políticas de seguridad y formación

Políticas de ciberseguridad generadas con IA y programas de concienciación para empleados alineados con los requisitos de NIS2.

¿Por qué Matproof?

Cubre todas las medidas de gestión de riesgos del Artículo 21
Flujos de trabajo de notificación de incidentes 24h/72h integrados
Gestión de riesgos de la cadena de suministro incluida
Documentación de responsabilidad de la dirección

Cumplimiento cumplimiento en toda Alemania

Encuentre guías de cumplimiento específicas por ciudad para su institución financiera.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Ver todas las ciudades y marcos normativos

NIS2 Readiness Assessment

Assess your NIS2 compliance readiness

Take the free assessment

Historias de clientes

Equipos que dejaron de temer la temporada de auditorías.

85%menos tiempo de preparación

Matproof nos ahorró meses de preparación de auditoría. Conectamos nuestras herramientas el lunes y el viernes ya teníamos evidencias mapeadas a DORA. Nuestro auditor quedó impresionado por la profundidad de la pista de auditoría.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

¿Listo para comenzar?

¿Listo para comenzar?

Descubra cómo Matproof automatiza el cumplimiento para su organización.

Solicitar una demo