Article

Ciberseguridad: entra en vigor la Directiva NIS2

No items found.

La nueva frontera de la ciberseguridad para proteger a las administraciones públicas, las empresas y las cadenas de suministro. Qué implica la Directiva NIS2 y cómo adaptarse a la normativa que establece nuevos estándares de ciberseguridad.

El 1 de octubre de 2024, el Gobierno italiano publicó en el Boletín Oficial el Decreto Legislativo por el que se transpone la Directiva NIS2. Su objetivo es reforzar el nivel general de ciberseguridad en los Estados miembros de la Unión Europea, garantizando la adopción de medidas técnicas y organizativas adecuadas para hacer frente a los riesgos cibernéticos. Esto implica fortalecer la resiliencia de las organizaciones a lo largo de todo el proceso de gestión del riesgo, desde la prevención hasta la minimización del impacto de los incidentes.

El marco de Seguridad de las Redes y de la Información (NIS) se ha alineado con otras normativas europeas sectoriales, como el Reglamento sobre la Resiliencia Operativa Digital (DORA), cuyo objetivo es reforzar la ciberseguridad en el sector financiero, y la Directiva sobre la Resiliencia de las Entidades Críticas (CER), destinada a reducir la vulnerabilidad de infraestructuras críticas —como la energía, el transporte y el suministro de agua potable— frente a ataques híbridos, catástrofes naturales, amenazas terroristas y emergencias de salud pública.

La nueva normativa surge en un contexto histórico sin precedentes: la pandemia de la COVID-19 y el conflicto entre Rusia y Ucrania han transformado el panorama digital, incrementando las vulnerabilidades y los riesgos. En este escenario, la NIS2 representa una respuesta estratégica y sistemática para reforzar la resiliencia de 18 sectores altamente críticos, entre ellos la energía, las telecomunicaciones, la logística y la gestión de residuos.

La seguridad ya no es únicamente una obligación normativa, sino también una decisión estratégica que puede convertirse en una ventaja competitiva para las empresas. Proteger el perímetro digital significa garantizar la estabilidad del negocio y reforzar la capacidad para competir en el mercado.

Principales novedades de la Directiva NIS2

La Directiva exige a los Estados miembros adoptar planes nacionales de ciberseguridad y crear o designar autoridades nacionales competentes, autoridades de gestión de crisis, puntos únicos de contacto y mecanismos de supervisión y sanción. Asimismo, establece la obligación de responder con rapidez a los incidentes graves y de fomentar la cooperación entre los Estados miembros.

Además, prevé la creación de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) para prestar apoyo tanto a los Estados miembros como a los operadores económicos.

La Directiva introduce el concepto de seguridad de la cadena de suministro y los requisitos asociados, ampliando las categorías de entidades sujetas a la normativa. Entre ellas se incluyen las entidades esenciales (sectores altamente críticos) y las entidades importantes pertenecientes a sectores críticos, como los operadores de servicios esenciales y los proveedores de servicios digitales.

Uno de los aspectos centrales de la NIS2 es la protección de la cadena de suministro: todos los actores implicados, desde los proveedores hasta las empresas de mantenimiento, deben aplicar medidas de seguridad para evitar que un único eslabón vulnerable comprometa todo el sistema.

La Agencia Nacional de Ciberseguridad de Italia (ACN) ya está trabajando en la definición de medidas flexibles basadas en el riesgo, cuya publicación está prevista para abril de 2025, con el objetivo de proporcionar directrices prácticas que permitan hacer frente a ciberataques cada vez más sofisticados.

Obligaciones y plazos de la Directiva NIS2

El Decreto Legislativo 138/2024 establece las obligaciones y los plazos para la transposición de la Directiva NIS2, tal y como se detalla a continuación:

  • Las empresas y las administraciones públicas deben evaluar si están sujetas a las obligaciones establecidas por la Directiva.
  • Entre el 1 de diciembre de 2024 y el 28 de febrero de 2025, los puntos de contacto designados deberán autenticarse en el portal de la Agencia Nacional de Ciberseguridad (ACN) mediante credenciales SPID. Durante este periodo, los responsables deberán presentar una declaración a través del servicio NIS/Registro, garantizando la exactitud y la actualización de la información facilitada. En concreto, tal y como indica una guía de DNV, deberán:
    • indicar si la entidad forma parte de un grupo empresarial y, en su caso, facilitar el número de identificación fiscal de la empresa matriz;
    • identificar las empresas vinculadas y sus respectivos números de identificación fiscal;
    • indicar los códigos ATECO que describen la actividad de la entidad;
    • especificar la normativa sectorial de la UE aplicable;
    • proporcionar información sobre la facturación, el balance y el número de empleados para determinar la categoría de la empresa.
  • Antes del 17 de enero de 2025, los proveedores de servicios de sistemas de nombres de dominio (DNS), los operadores de registros de dominios de nivel superior (TLD), los proveedores de servicios de registro de nombres de dominio, los proveedores de servicios de computación en la nube, los proveedores de centros de datos, los proveedores de redes de distribución de contenidos (CDN), los proveedores de servicios gestionados y de seguridad, así como los proveedores de mercados en línea, motores de búsqueda y plataformas de redes sociales, deberán registrarse en la plataforma.
  • Antes del 31 de marzo de 2025, la ACN elaborará la lista de entidades esenciales e importantes a partir de la información recopilada mediante el registro en la plataforma.
  • Entre el 1 y el 15 de abril de 2025, la ACN notificará a las entidades si han sido incluidas en la lista de entidades esenciales o importantes.
  • Antes del 15 de abril de 2025, las entidades notificadas deberán designar formalmente, mediante un acto específico, a la persona responsable del cumplimiento de las obligaciones establecidas en el Decreto.

Las entidades sujetas a la Directiva deberán cumplir además otras obligaciones, entre ellas la notificación de incidentes antes del 1 de enero de 2026 y la adopción de las medidas organizativas y de seguridad exigidas antes del 1 de octubre de 2026.

La Agencia Nacional de Ciberseguridad actualizará anualmente la lista de entidades afectadas, y las empresas y administraciones públicas podrán registrarse cada año entre enero y febrero si consideran que están sujetas a la Directiva.

Tras la entrada en vigor de la NIS2 y la identificación de las entidades afectadas, podrán realizarse inspecciones y actividades de supervisión aleatorias para verificar el cumplimiento de la normativa. El incumplimiento de las obligaciones podrá dar lugar a sanciones para las empresas afectadas.

Read more

Related articles

Tesisquare anuncia su incorporación a Anitec-Assinform
Corporate
15/5/2026
Tesisquare se une a Anitec-Assinform: un nuevo paso hacia la innovación digital de la supply chain
Tesisquare se une a Anitec-Assinform para impulsar la innovación digital, la colaboración en la cadena de suministro y la transformación B2B
read article
Tesisquare joins the Italian Chamber of Commerce for Spain
Corporate
14/5/2026
Tesisquare entra en la Cámara de Comercio Italiana para España
Tesisquare refuerza su presencia en la digital supply chain y entra en la Cámara de Comercio Italiana para España.
read article
Partner
23/4/2026
Tesisquare y SOFT-CONSULT: una alianza estratégica para acelerar la digitalización de la cadena de suministro en la región DACH
Tesisquare anuncia una nueva colaboración estratégica con SOFT-CONSULT, una consolidada empresa alemana.
read article

¿Necesita más información?

Rellene el formulario con su solicitud y póngase en contacto con nosotros