FAQ · CIBERSEGURIDAD INDUSTRIAL · NIS2

NIS2 (Seguridad Red): ¿Soy Operador Crítico?

NIS2 amplía el perímetro de ciberseguridad obligatoria a miles de fabricantes que antes quedaban fuera. Sectores afectados, obligaciones y multas de hasta 20M€ explicadas.

Sectores críticos identificados Notificación de incidentes en 24h Transposición octubre 2024

Sectores críticos afectados por NIS2

NIS2 distingue entre sectores altamente críticos (entidades esenciales) y sectores críticos (entidades importantes). Consulta si tu actividad industrial queda dentro del perímetro regulatorio.

CategoríaSectoresCalificación
EnergíaElectricidad, petróleo, gas, hidrógenoEntidad esencial
TransporteAéreo, ferroviario, marítimo, por carreteraEntidad esencial
Sector banca y finanzasBanca, infraestructuras de mercados financierosEntidad esencial
SaludHospitales, laboratorios, fabricación de productos farmacéuticosEntidad esencial
Agua potable y residualesSuministro y distribución de aguaEntidad esencial
Infraestructura digitalCentros de datos, proveedores cloud, telecomunicacionesEntidad esencial
Fabricación de productos críticosDispositivos médicos, automóvil, maquinaria, electrónicaEntidad importante
Química y alimentaciónProducción, transformación y distribuciónEntidad importante

Obligaciones de ciberseguridad bajo NIS2

Las entidades esenciales e importantes deben implementar un conjunto mínimo de medidas de gestión de riesgos de ciberseguridad, con responsabilidad directa de la dirección.

  1. 1.

    Gobierno de riesgos a nivel de dirección

    Los órganos de gestión deben aprobar las medidas de ciberseguridad, supervisar su aplicación y recibir formación específica periódica.

  2. 2.

    Gestión de incidentes

    Procedimientos de detección, respuesta y notificación de incidentes en los plazos exigidos: 24h alerta temprana, 72h notificación, 1 mes informe final.

  3. 3.

    Auditorías de seguridad periódicas

    Evaluaciones técnicas independientes de la eficacia de las medidas de ciberseguridad implementadas, con evidencia documental.

  4. 4.

    Formación del personal

    Programas de concienciación en ciberseguridad para toda la plantilla, con especial énfasis en el órgano de gestión.

  5. 5.

    Gestión de la cadena de suministro

    Evaluación de riesgos de ciberseguridad de proveedores tecnológicos y contratistas con acceso a sistemas críticos.

  6. 6.

    Plan de continuidad de negocio

    Procedimientos de copia de seguridad, recuperación ante desastres y gestión de crisis documentados y probados periódicamente.

Preguntas frecuentes — NIS2 industria

¿Qué es la directiva NIS2 y a quién afecta?

La NIS2 (Directiva 2022/2555) es la normativa europea de ciberseguridad para entidades esenciales e importantes en sectores críticos. Amplía significativamente el alcance de la NIS1 original, incluyendo por primera vez a muchos fabricantes industriales medianos que hasta ahora quedaban fuera del perímetro regulatorio de ciberseguridad.

¿Cuál es el plazo de transposición de NIS2 en España?

La directiva debía transponerse a las legislaciones nacionales antes del 17 de octubre de 2024. España, como el resto de estados miembros, debe adaptar su normativa nacional (heredera de la actual Ley 8/2011 de infraestructuras críticas) a los nuevos requisitos, ampliando el registro de entidades obligadas.

¿Cómo sé si mi empresa industrial es un operador crítico bajo NIS2?

La calificación depende del sector de actividad y del tamaño de la empresa. Se consideran "entidades esenciales" las medianas y grandes empresas (más de 50 empleados o más de 10M€ de facturación) de sectores altamente críticos, y "entidades importantes" las de sectores críticos con criterios similares de tamaño. Empresas más pequeñas pueden quedar incluidas si prestan servicios esenciales concentrados.

¿Qué obligaciones de ciberseguridad exige NIS2?

Las entidades obligadas deben implementar: gobierno de riesgos de ciberseguridad a nivel de dirección (con formación obligatoria de los órganos de gestión), gestión de incidentes con notificación temprana a las autoridades, auditorías de seguridad periódicas, planes de continuidad de negocio y gestión de la cadena de suministro, incluyendo la evaluación de proveedores tecnológicos.

¿En qué plazo hay que notificar un incidente de ciberseguridad?

NIS2 establece un régimen de notificación en tres fases: alerta temprana en las primeras 24 horas tras detectar el incidente, notificación de incidente en 72 horas con evaluación inicial de gravedad e impacto, e informe final en el plazo de un mes con descripción detallada, causa raíz y medidas de mitigación aplicadas.

¿Qué multas contempla el incumplimiento de NIS2?

Las sanciones pueden alcanzar hasta 10 millones de euros o el 2% de la facturación anual global para entidades esenciales, y hasta 7 millones de euros o el 1,4% de la facturación para entidades importantes. En la práctica, las autoridades nacionales aplican el importe mayor entre el fijo y el porcentual, en línea con el modelo del RGPD, pudiendo alcanzar los 20M€ en supuestos agravados según normativa nacional.

¿Es responsable la dirección de la empresa por incumplimientos de NIS2?

Sí. Una de las novedades más relevantes de NIS2 es la responsabilidad directa de los órganos de gestión, que deben aprobar las medidas de gestión de riesgos, supervisar su implementación y recibir formación específica en ciberseguridad. El incumplimiento puede derivar en responsabilidad personal de los administradores, no solo sanciones a la persona jurídica.

¿Cómo ayuda IgeraIndustria a documentar el cumplimiento NIS2?

IgeraIndustria indexa tus políticas de ciberseguridad, procedimientos de gestión de incidentes y evidencias de auditoría, permitiendo a tu equipo de compliance y a tu CISO consultar en lenguaje natural la documentación existente para cada requisito NIS2, con referencia exacta al documento y sección de origen.

¿Tu documentación de ciberseguridad está lista para NIS2?

IgeraIndustria indexa tus políticas y procedimientos de ciberseguridad y responde con referencia exacta al documento y sección de origen.

Solicitar demo