Directiva NIS2: qué es, objetivos e impacto en la ciberseguridad

NIS2 cos'è e obiettivi


La transformación digital, ya omnipresente en todos los sectores, ofrece grandes oportunidades, pero al mismo tiempo expone a las organizaciones a riesgos cada vez más complejos en materia de ciberseguridad.

El Informe Clusit 2024 señala un claro empeoramiento en cuanto al número de incidentes globales respecto al año anterior, con una media de 232 ciberataques al mes, de los cuales el 81% son de gravedad alta o crítica. Italia, en este contexto, se posiciona como un país cada vez más vulnerable. Queda claro, por tanto, que la seguridad informática y la protección de los datos son hoy prioridades tanto a nivel nacional como internacional. Ya se trate de pymes, grandes corporaciones, administraciones públicas u organismos gubernamentales, la realidad demuestra que ninguna entidad está realmente a salvo de los ciberdelincuentes.
Es en este escenario que entra en juego la nueva Directiva NIS2, que sustituye a la anterior directiva NIS como referencia normativa a nivel europeo en materia de seguridad de los servicios digitales.

NIS2: qué es y cuándo entra en vigor

La Directiva NIS2 es una norma de la Unión Europea que entró en vigor el 17 de enero de 2023. Con el Decreto Legislativo n.º 138/2024, Italia ha transpuesto la Directiva y ha establecido las obligaciones de implementación para empresas y organismos públicos. NIS2 nace con el objetivo de complementar y superar las limitaciones de la Directiva NIS de 2016, la cual buscaba establecer un nivel elevado y común de ciberseguridad entre los Estados miembros de la UE. Un proceso de revisión evidenció diversas deficiencias que impidieron alcanzar plenamente ese objetivo.
La nueva directiva tiene como finalidades:

  • Garantizar una aplicación uniforme de la normativa en todos los Estados miembros;
  • Responder de manera eficaz a nuevas amenazas crecientes en el ámbito de la ciberseguridad;
  • Proteger los intereses políticos y económicos de los países de la UE, asegurando la seguridad de sectores estratégicos como Energía, Finanzas y Logística.

Además, NIS2 se inserta en un marco normativo más amplio relacionado con la protección de datos, la privacidad y la seguridad, junto a regulaciones como el Reglamento DORA, centrado en la resiliencia operativa digital de entidades financieras y sus proveedores.
Dada la complejidad de su implementación, la UE, a través de ENISA (Agencia de la Unión Europea para la Ciberseguridad), promueve iniciativas de intercambio de conocimientos y guías prácticas de aplicación, desarrolladas en colaboración con stakeholders.
ENISA destaca los pilares fundamentales de NIS2:

  • Requisitos técnicos y metodológicos;
  • Gestión de incidentes significativos y recurrentes;
  • Gestión de riesgos y resiliencia operativa;
  • Seguridad de la cadena de suministro.

El propósito principal de la implementación de NIS2 es prevenir riesgos cibernéticos, salvaguardar datos y asegurar la continuidad operativa de los servicios y procesos empresariales.

Sectores obligados a cumplir con la Directiva NIS2

Una de las principales novedades de la NIS2 es la ampliación del ámbito de aplicación, tanto en términos de sectores como de tipos de entidades involucradas. La directiva se aplica a organizaciones públicas y privadas, en sectores clasificados como “de alta criticidad” o “otros sectores críticos”, según los Anexos I y II de la directiva. Desde el sector financiero hasta la manufactura, pasando por energía, transporte, sanidad y administración pública, las industrias involucradas son numerosas y complejas.
En particular, deben adecuarse a la NIS2 aquellas entidades que:

  • Operen en sectores de Alta Criticidad o en Otros Sectores Críticos;
  • Cumplan con determinados criterios de tamaño y volumen de negocios.

Estas organizaciones están obligadas a elevar su nivel de ciberseguridad mediante la adopción de medidas organizativas y operativas adecuadas y proporcionadas, para gestionar eficazmente los riesgos relacionados con sus redes y sistemas informáticos. También deben minimizar el impacto de posibles incidentes sobre los usuarios y garantizar la continuidad del negocio.

Estado actual de la implementación en Italia

diretiva NIS2 in Italia

Casi simultáneamente con la transposición de la Directiva NIS2 en Italia, se transpondrá también con el D.Lgs. 2024/134 la directiva CER (Critical Entities Resilience), destinada a identificar los sectores críticos y garantizar su seguridad y resiliencia operativa, cubriendo una amplia gama de amenazas que incluyen no solo los riesgos cibernéticos (ya regulados por la Directiva NIS2), sino también los físicos, naturales, accidentales y terroristas.

La CER establece que los sujetos considerados críticos deberán realizar una evaluación de riesgos y adoptar las medidas adecuadas para garantizar su resiliencia y recuperación ante desastres. Además, estarán obligados a enviar notificaciones oportunas a las autoridades competentes en caso de incidentes que puedan afectar de manera significativa la prestación de servicios esenciales.

Los puntos clave del esquema son:

  • Rol central de la ACN: Se confirma que la Agencia Nacional de Ciberseguridad (ACN) será la Autoridad Nacional Competente para la NIS2, y se le otorgan poderes para la implementación y ejecución del decreto.
  • Ministerio de Defensa: Tiene un rol específico en la gestión de crisis informáticas que involucren la seguridad militar.
  • Mesa permanente: Creación de una mesa permanente para la implementación de la Directiva NIS2.
  • Registro de los sujetos: Obligación de registro para los sujetos incluidos en el perímetro NIS2.

En este sentido, cabe señalar que el decreto también propone la introducción de criterios adicionales para determinar el ámbito de aplicación de las normas, tales como:

-Involucramiento en la cadena de suministro: Los sujetos que estén involucrados en la cadena de suministro de una entidad vital o relevante deberán registrarse. Este criterio se ha introducido para garantizar que los proveedores y socios que juegan un papel crucial en la ciberseguridad estén incluidos en el perímetro NIS2.


-Exclusividad del proveedor: Si un sujeto es el único proveedor nacional de un servicio esencial para el mantenimiento de actividades sociales o económicas fundamentales, deberá registrarse. Este criterio asegura que los proveedores únicos de servicios críticos sean monitoreados y regulados-

-Impacto en la seguridad pública: Los sujetos cuya alteración del servicio pudiera tener un impacto significativo en la seguridad pública, la integridad pública o la salud pública deberán registrarse. Este criterio se ha introducido para garantizar que los servicios que afectan directamente la seguridad y el bienestar público sean incluidos en el perímetro NIS2.

-Riesgo sistémico significativo: Los sujetos cuya alteración del servicio pudiera causar un riesgo sistémico significativo, especialmente para los sectores en los cuales dicha alteración podría tener un impacto transfronterizo, deberán registrarse. Este criterio se ha introducido para garantizar que los sujetos que operan en sectores con un alto riesgo de impacto transfronterizo estén incluidos en el perímetro NIS2.

-Importancia a nivel nacional o regional: Los sujetos que sean considerados críticos debido a su importancia particular a nivel nacional o regional para un sector o tipo de servicio deberán registrarse. Este criterio asegura que los sujetos de importancia estratégica estén incluidos en el perímetro NIS2.

-Elemento sistémico de la cadena de suministro: Los sujetos considerados críticos como elementos sistémicos de la cadena de suministro, también digital, de uno o más sujetos considerados esenciales o importantes, deberán registrarse. Este criterio se ha introducido para garantizar que los sujetos que juegan un papel clave en la cadena de suministro estén incluidos en el perímetro NIS2.

    • Soporte y responsabilidad: Definición de responsabilidades y soporte para los sujetos incluidos en el perímetro. CSIRT y ACN.
    • Medidas de mitigación de riesgos: Implementación de medidas para mitigar los riesgos cibernéticos.
    • Excepciones para las Administraciones Públicas: Algunas excepciones específicas para las Administraciones Públicas.
    • Cooperación entre autoridades: Refuerzo de la cooperación entre las autoridades competentes.
    • Sanciones y responsabilidades: Introducción de sanciones por el incumplimiento de las obligaciones de seguridad.
    • Estrategia nacional de ciberseguridad: Coordinación con la estrategia nacional y europea de ciberseguridad.
Con la recepción del D.L. 138/2024, la ACN ha definido los contenidos y el calendario para la adopción de la normativa, dividida en tres fases de implementación, siendo la última de ellas a partir de abril de 2026. 

NIS2: cómo prepararse adecuadamente

A partir del 17 de octubre de 2024, los Estados miembros han comenzado a transponer la directiva NIS2, definiendo más precisamente las obligaciones de las entidades involucradas, considerando las particularidades nacionales. En Italia, por ejemplo, la Resolución del Director de la ACN n.º 38565/2024 ha establecido los mecanismos de interacción entre el punto de contacto empresarial y la propia ACN.
Dada la precisión de la hoja de ruta normativa, una vez identificada la pertenencia al ámbito de aplicación, se recomienda:

  • Evaluar el nivel actual de cumplimiento;
  • Planificar las acciones de adecuación mediante una hoja de ruta clara;
  • En caso necesario, contar con el soporte de un partner especializado, con competencias específicas en el dominio normativo y tecnológico.

Potrebbe interessarti