{"id":115876,"date":"2024-01-22T11:22:28","date_gmt":"2024-01-22T11:22:28","guid":{"rendered":"https:\/\/advisera.com\/articles\/what-is-nis2\/"},"modified":"2025-02-10T21:23:20","modified_gmt":"2025-02-10T21:23:20","slug":"que-es-nis2","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/es\/articulos\/que-es-nis2\/","title":{"rendered":"\u00bfQu\u00e9 es la Directiva NIS 2? Una gu\u00eda sencilla y detallada"},"content":{"rendered":"<div id=\"pl-115876\"  class=\"panel-layout\" ><div id=\"pg-115876-0\"  class=\"panel-grid panel-no-style\" ><div id=\"pgc-115876-0-0\"  class=\"panel-grid-cell\" ><div id=\"panel-115876-0-0-0\" class=\"so-panel widget widget_content-with-sidebar-widget panel-first-child panel-last-child\" data-index=\"0\" ><div\n\t\t\t\n\t\t\tclass=\"so-widget-content-with-sidebar-widget so-widget-content-with-sidebar-widget-base\"\n\t\t\t\n\t\t>\n<section class=\"content-with-sidebar has-accordion hide-related-content\">\n    <div class=\"toc-container\">\n        <div class=\"sidebar-area\">\n            <div class=\"sidebar-wrapper\">\n                <div class=\"sidebar-toc\">\n                    <h5 class=\"sidebar-title\">\n                        TABLA DE CONTENIDO                    <\/h5>\n                                                                         <div class=\"sidebar-item sidebar-accordion-item\">\n                                <div class=\"sidebar-item-title\" data-id=\"\">\n                                    <span class=\"h7\">\n                                        Conceptos b\u00e1sicos de la NIS2                                    <\/span>\n                                    <div class=\"sidebar-item-arrow\"><i class=\"icon icon-caret icon-arr-down\"><\/i><\/div>\n                                <\/div>\n                                <div class=\"sidebar-item-links\">\n                                    <p><a class=\"scrollToAnchor\" href=\"#section1\">Resumen de la Directiva NIS 2<\/a>\n<a class=\"scrollToAnchor\" href=\"#section2\">\u00bfCu\u00e1l es la Directiva NIS anterior? \u00bfEn qu\u00e9 se diferencia de la nueva NIS 2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section3\">\u00bfQu\u00e9 significa \u201cNIS\u201d?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section4\">\u00bfPor qu\u00e9 es importante la NIS 2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section5\">\u00bfD\u00f3nde puedo encontrar el texto completo de la NIS 2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section6\">\u00bfCu\u00e1ndo entra en vigor la NIS2?<\/a><\/p>\n                                <\/div>\n                            <\/div>\n                                                    <div class=\"sidebar-item sidebar-accordion-item\">\n                                <div class=\"sidebar-item-title\" data-id=\"\">\n                                    <span class=\"h7\">\n                                        Requisitos de la NIS2                                    <\/span>\n                                    <div class=\"sidebar-item-arrow\"><i class=\"icon icon-caret icon-arr-down\"><\/i><\/div>\n                                <\/div>\n                                <div class=\"sidebar-item-links\">\n                                    <p><a class=\"scrollToAnchor\" href=\"#section7\">\u00bfA qui\u00e9n se aplica la NIS2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section8\">\u00bfCu\u00e1les son las entidades esenciales e importantes? \u00bfEn qu\u00e9 se diferencian?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section9\">\u00bfCu\u00e1l es la estructura de la NIS 2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section10\">\u00bfCu\u00e1les son los principales requisitos de ciberseguridad de la NIS 2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section11\">\u00bfCu\u00e1les son las obligaciones de notificaci\u00f3n de las entidades esenciales e importantes?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section12\">\u00bfC\u00f3mo implementar la ciberseguridad seg\u00fan la NIS 2?<\/a><\/p>\n                                <\/div>\n                            <\/div>\n                                                    <div class=\"sidebar-item sidebar-accordion-item\">\n                                <div class=\"sidebar-item-title\" data-id=\"\">\n                                    <span class=\"h7\">\n                                        Multas; papel del gobierno                                    <\/span>\n                                    <div class=\"sidebar-item-arrow\"><i class=\"icon icon-caret icon-arr-down\"><\/i><\/div>\n                                <\/div>\n                                <div class=\"sidebar-item-links\">\n                                    <p><a class=\"scrollToAnchor\" href=\"#section13\">\u00bfQu\u00e9 son las multas y la responsabilidad en la NIS 2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section14\">La certificaci\u00f3n en la NIS 2<\/a>\n<a class=\"scrollToAnchor\" href=\"#section15\">\u00bfQu\u00e9 organismos gubernamentales se definen en la NIS 2?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section16\">\u00bfQu\u00e9 leyes han publicado los pa\u00edses de la UE bas\u00e1ndose en la NIS 2? (Transposici\u00f3n de la NIS 2)<\/a><\/p>\n                                <\/div>\n                            <\/div>\n                                                    <div class=\"sidebar-item sidebar-accordion-item\">\n                                <div class=\"sidebar-item-title\" data-id=\"\">\n                                    <span class=\"h7\">\n                                        Relaci\u00f3n con otros marcos normativos                                    <\/span>\n                                    <div class=\"sidebar-item-arrow\"><i class=\"icon icon-caret icon-arr-down\"><\/i><\/div>\n                                <\/div>\n                                <div class=\"sidebar-item-links\">\n                                    <p><a class=\"scrollToAnchor\" href=\"#section17\">\u00bfC\u00f3mo se relaciona la NIS2 con la ISO 27001?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section18\">\u00bfCu\u00e1l es la diferencia entre la NIS 2 y el RGPD de la UE?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section19\">\u00bfCu\u00e1l es la diferencia entre la NIS 2 y el DORA?<\/a>\n<a class=\"scrollToAnchor\" href=\"#section20\">\u00bfCu\u00e1l es la diferencia entre la NIS 2 y la Directiva de Resiliencia de las Entidades Cr\u00edticas (CER)?<\/a><\/p>\n                                <\/div>\n                            <\/div>\n                        \n                                    <\/div>\n            <\/div>\n        <\/div>\n        <div class=\"content-area\">\n            <div class=\"what-is-groups\">\n                <p><em>Actualizado el 8 de febrero de 2025 (transposici\u00f3n en los Estados miembros)<\/em><\/p>\n<div class=\"group-heading no-border\">Conceptos b\u00e1sicos de la NIS2<\/div>\n<h2 id=\"section1\">Resumen de la Directiva NIS2<\/h2>\n<p>La \u201cDirectiva NIS 2 (SRI 2)\u201d, o solo \u201cNIS 2 (SRI 2)\u201d, es una directiva de la Uni\u00f3n Europea que determina los requisitos de ciberseguridad que deben implementar las compa\u00f1\u00edas de la Uni\u00f3n Europea que se consideran como infraestructuras cr\u00edticas.<\/p>\n<p>Su nombre completo es \u201cDirectiva (EU) 2022\/2555 relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de ciberseguridad en toda la Uni\u00f3n Europea\u201d y se public\u00f3 el 14 de diciembre de 2022.<\/p>\n<p>Como la NIS 2 es una directiva, cada pa\u00eds de la UE debe crear sus propias leyes de ciberseguridad bas\u00e1ndose en ella, que determina el nivel de ciberseguridad m\u00ednimo que se debe alcanzar. En la pr\u00e1ctica, esto implica que en algunos pa\u00edses las compa\u00f1\u00edas solo tendr\u00e1n que cumplir con el m\u00ednimo previsto en la NIS 2, mientras que en otros pa\u00edses tendr\u00e1n que cumplir con requisitos de ciberseguridad m\u00e1s estrictos establecidos en las leyes locales.<\/p>\n<p>NIS 2 incluye un \u201c2\u201d porque sustituye a la anterior Directiva NIS.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--content\">\n<p>La Directiva NIS2 podr\u00eda convertirse para la ciberseguridad en el equivalente a lo que supone el RGPD de la UE en materia de privacidad: un est\u00e1ndar mundial que otros pa\u00edses utilizan como referente de buenas pr\u00e1cticas para su propia legislaci\u00f3n.<\/p>\n<\/div>\n<\/div>\n<h2 id=\"section2\">\u00bfCu\u00e1l es la Directiva NIS anterior? \u00bfEn qu\u00e9 se diferencia de la nueva NIS 2?<\/h2>\n<p>La antigua directiva NIS (Directiva 2016\/1148, conocida por sus siglas en ingl\u00e9s como NIS) tambi\u00e9n regulaba la ciberseguridad para las infraestructuras cr\u00edticas, pero no logr\u00f3 introducir el mismo nivel de ciberseguridad en todos los Estados miembros, ocasionando una importante fragmentaci\u00f3n.<\/p>\n<p>La nueva NIS2 introduce una mayor variedad de industrias (sectores) que deben cumplir con su contenido, mejor cooperaci\u00f3n entre los Estados miembros, nuevos plazos para notificar incidentes, m\u00e1s atenci\u00f3n sobre las cadenas de suministro, la responsabilidad de la direcci\u00f3n de las entidades, sanciones m\u00e1s estrictas, etc.<\/p>\n<p>El 18 de octubre de 2024, la NIS 2 sustituir\u00e1 a la anterior NIS.<\/p>\n<p><div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><\/p>\n<hr \/>\n<h2 id=\"section3\">\u00bfQu\u00e9 significa \u201cNIS\u201d?<\/h2>\n<p>El t\u00edtulo completo de la antigua directiva NIS era: \u201cDirectiva (UE) 2016\/1148 relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de seguridad de las redes y sistemas de informaci\u00f3n en la Uni\u00f3n\u201d.<\/p>\n<p>Por tanto, \u201cNIS\u201d hace referencia a la Seguridad de las Redes y la Informaci\u00f3n. En ingl\u00e9s, se conoce a esta Directiva como \u201cNIS\u201d, abreviatura de \u201cNetwork and Information Systems\u201d.<\/p>\n<hr \/>\n<h2 id=\"section4\">\u00bfPor qu\u00e9 es importante la NIS 2?<\/h2>\n<p>La NIS 2 es importante porque establece requisitos de ciberseguridad muy estrictos para un gran n\u00famero de compa\u00f1\u00edas en la Uni\u00f3n Europea (algunas estimaciones calculan que m\u00e1s de 100.000 empresas en la Uni\u00f3n Europea tendr\u00e1n que cumplir con la NIS 2).<\/p>\n<p>Aunque la NIS 2 no resulta aplicable a tantas compa\u00f1\u00edas como el RGPD de la UE, seguramente se convertir\u00e1 'de facto' en un est\u00e1ndar para las infraestructuras cr\u00edticas que otros pa\u00edses ajenos a la UE tratar\u00e1n de emular. Algo muy similar ha ocurrido ya en los pa\u00edses externos a la UE con las normativas sobre privacidad que son muy parecidas al RGPD.<\/p>\n<hr \/>\n<h2 id=\"section5\">\u00bfD\u00f3nde puedo encontrar el texto completo de la NIS 2?<\/h2>\n<p>El texto oficial est\u00e1 disponible aqu\u00ed: <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/ES\/TXT\/?uri=CELEX:32022L2555\" target=\"_blank\" rel=\"noopener\">https:\/\/eur-lex.europa.eu\/legal-content\/ES\/TXT\/?uri=CELEX:32022L2555<\/a>.<\/p>\n<p>Tambi\u00e9n puede encontrar el texto completo aqu\u00ed, organizado por cap\u00edtulos y art\u00edculos y con la posibilidad de buscar palabras clave: <a href=\"https:\/\/advisera.com\/es\/nis2\/\" target=\"_blank\" rel=\"noopener\">Texto completo de la Directiva NIS 2<\/a>.<\/p>\n<hr \/>\n<h2 id=\"section6\">\u00bfCu\u00e1ndo entra en vigor la NIS2?<\/h2>\n<p>La NIS 2 entrar\u00e1 en vigor el 18 de octubre de 2024. Para entonces, los pa\u00edses de la UE deben haber publicado sus propias leyes y reglamentos basados en la NIS 2.<\/p>\n<hr \/>\n<div class=\"group-heading no-border\">Requisitos de la NIS2<\/div>\n<h2 id=\"section7\">\u00bfA qui\u00e9n se aplica la NIS2?<\/h2>\n<p>Hay 3 criterios que definen las organizaciones (llamadas \"entidades esenciales y \"entidades importantes\") que deben cumplir con la NIS 2:<\/p>\n<ul>\n<li>1) Ubicaci\u00f3n \u2013 si ofrecen servicios o desarrollan actividades en cualquier pa\u00eds de la Uni\u00f3n Europea (con independencia de si tienen su sede en la UE o no); y<\/li>\n<li>2) Tama\u00f1o \u2013 si tienen m\u00e1s de 50 empleados y m\u00e1s de 10 millones de euros en ingresos; y<\/li>\n<li>3) Sector \u2013 si operan en alguno de estos sectores:\n<ul class=\"circle\">\n<li>Energ\u00eda<\/li>\n<li>Transporte<\/li>\n<li>Banca<\/li>\n<li>Infraestructuras de los mercados financieros<\/li>\n<li>Sector sanitario<\/li>\n<li>Agua potable<\/li>\n<li>Aguas residuales<\/li>\n<li>Infraestructura digital<\/li>\n<li>Gesti\u00f3n de servicios de TIC (de empresa a empresa)<\/li>\n<li>Administraci\u00f3n P\u00fablica<\/li>\n<li>Espacio<\/li>\n<li>Servicios postales y de mensajer\u00eda<\/li>\n<li>Gesti\u00f3n de residuos<\/li>\n<li>Fabricaci\u00f3n, producci\u00f3n y distribuci\u00f3n de sustancias y mezclas qu\u00edmicas<\/li>\n<li>Producci\u00f3n, transformaci\u00f3n y distribuci\u00f3n de alimentos<\/li>\n<li>Fabricaci\u00f3n<\/li>\n<li>Proveedores de servicios digitales<\/li>\n<li>Investigaci\u00f3n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Este art\u00edculo contiene un desglose detallado de las compa\u00f1\u00edas que deben cumplir esta norma en cada sector: <a href=\"https:\/\/advisera.com\/es\/articulos\/a-quien-se-aplica-la-nis-2\/\" target=\"_blank\" rel=\"noopener\">\u00bfQu\u00e9 compa\u00f1\u00edas deben cumplir con la NIS 2? Entidades esenciales y entidades importantes<\/a>.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-116357\" src=\"https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/what-is-nis-2-directive-spanish.png\" alt=\"\u00bfQu\u00e9 es la NIS 2? Una gu\u00eda para entenderla f\u00e1cilmente | Advisera\" width=\"2500\" height=\"1309\" title=\"\" srcset=\"https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/what-is-nis-2-directive-spanish.png 2500w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/what-is-nis-2-directive-spanish-300x157.png 300w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/what-is-nis-2-directive-spanish-1024x536.png 1024w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/what-is-nis-2-directive-spanish-768x402.png 768w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/what-is-nis-2-directive-spanish-1536x804.png 1536w, https:\/\/advisera.com\/wp-content\/uploads\/2024\/01\/what-is-nis-2-directive-spanish-2048x1072.png 2048w\" sizes=\"(max-width: 2500px) 100vw, 2500px\" \/><\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<h2 id=\"section8\">\u00bfCu\u00e1les son las entidades esenciales e importantes? \u00bfEn qu\u00e9 se diferencian?<\/h2>\n<p>\u201cEntidades esenciales\u201d y \u201centidades importantes\u201d es la forma que usa la NIS 2 para referirse a las compa\u00f1\u00edas y otras organizaciones que deben cumplir con la NIS 2.<\/p>\n<p>Las entidades esenciales son las siguientes:<\/p>\n<ul>\n<li>Compa\u00f1\u00edas con m\u00e1s de 250 empleados o 50 millones de euros de ingresos que forman parte de alguno de estos sectores: energ\u00eda, transporte, banca, infraestructuras de los mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital, gesti\u00f3n de servicios de TIC (de empresa a empresa), Administraci\u00f3n p\u00fablica o espacio<\/li>\n<li>Prestadores de servicios de confianza<\/li>\n<li>Proveedores de servicios de DNS<\/li>\n<li>Redes p\u00fablicas de comunicaciones electr\u00f3nicas<\/li>\n<li>Entidades de la Administraci\u00f3n p\u00fablica<\/li>\n<li>Cualquier entidad considerada cr\u00edtica seg\u00fan la Directiva (UE) 2022\/2557 sobre resiliencia de las entidades cr\u00edticas (CER)<\/li>\n<li>Otras entidades especificadas por los Estados miembros<\/li>\n<\/ul>\n<p>Las entidades importantes son todas las dem\u00e1s organizaciones que no son entidades esenciales pero cumplen con los 3 criterios mencionados en la secci\u00f3n anterior.<\/p>\n<hr \/>\n<h2 id=\"section9\">\u00bfCu\u00e1l es la estructura de la NIS 2?<\/h2>\n<p>La NIS 2 empieza con un pre\u00e1mbulo en el que, en 144 puntos, explica los antecedentes y ofrece algunas orientaciones para la mayor parte de la Directiva. La parte principal de la NIS 2 tiene 46 art\u00edculos que se dividen en los siguientes cap\u00edtulos:<\/p>\n<ul>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/disposiciones-generales\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo I<\/a> \u2014 Disposiciones generales<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/marcos-de-ciberseguridad-coordinados\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo II<\/a> \u2014 Marcos de ciberseguridad coordinados<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/cooperacion-a-nivel-de-la-union-e-internacional\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo III<\/a> \u2014 Cooperaci\u00f3n a nivel de la Uni\u00f3n e internacional<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/medidas-para-la-gestion-de-riesgos-de-ciberseguridad-y-obligaciones-de-notificacion\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo IV<\/a> \u2014 Medidas para la gesti\u00f3n de riesgos de ciberseguridad y obligaciones de notificaci\u00f3n<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/jurisdiccion-y-registro\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo V<\/a> \u2014 Jurisdicci\u00f3n y registro<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/intercambio-de-informacion\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo VI<\/a> \u2014 Intercambio de informaci\u00f3n<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/supervision-y-ejecucion\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo VII<\/a> \u2014 Supervisi\u00f3n y ejecuci\u00f3n<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/actos-delegados-y-de-ejecucion\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo VIII<\/a> \u2014 Actos delegados y de ejecuci\u00f3n<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2-chapter\/disposiciones-finales\/\" target=\"_blank\" rel=\"noopener\">Cap\u00edtulo IX<\/a> \u2014 Disposiciones finales<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/sectores-de-alta-criticidad\/\" target=\"_blank\" rel=\"noopener\">Anexo I<\/a> \u2014 Sectores de alta criticidad<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/otros-sectores-criticos\/\" target=\"_blank\" rel=\"noopener\">Anexo II<\/a> \u2014 Otros sectores cr\u00edticos<\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/tabla-de-correspondencias\/\" target=\"_blank\" rel=\"noopener\">Anexo III<\/a> \u2014 Tabla de correspondencias entre NIS 2 y NIS<\/li>\n<\/ul>\n<p>Puede leer todos los art\u00edculos de la NIS 2 aqu\u00ed: <a href=\"https:\/\/advisera.com\/es\/nis2\/\" target=\"_blank\" rel=\"noopener\">Texto completo de la Directiva NIS 2<\/a>.<\/p>\n<hr \/>\n<h2 id=\"section10\">\u00bfCu\u00e1les son los principales requisitos de ciberseguridad de la NIS 2?<\/h2>\n<p>Sorprendentemente, solo el Cap\u00edtulo IV, llamado \u201cMedidas para la gesti\u00f3n de riesgos de ciberseguridad y obligaciones de notificaci\u00f3n\u201d, define lo que las entidades esenciales e importantes deben hacer para cumplir con la NIS 2. El resto de cap\u00edtulos no son relevantes para estas compa\u00f1\u00edas porque determinan las obligaciones de los pa\u00edses de la UE (Estados miembros) y lo que las entidades gubernamentales deben hacer para implementar la NIS 2.<\/p>\n<p>El Cap\u00edtulo IV incluye estos art\u00edculos:<\/p>\n<ul>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/gobernanza\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 20 - Gobernanza<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/medidas-para-la-gestion-de-riesgos-de-ciberseguridad\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 21 - Medidas para la gesti\u00f3n de riesgos de ciberseguridad<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/evaluaciones-coordinadas-de-los-riesgos-de-seguridad-de-las-cadenas-de-suministro-criticas-a-escala-de-la-union\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 22 - Evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro cr\u00edticas a escala de la Uni\u00f3n<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/obligaciones-de-notificacion\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 23 - Obligaciones de notificaci\u00f3n<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/utilizacion-de-esquemas-europeos-de-certificacion-de-la-ciberseguridad\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 24 - Utilizaci\u00f3n de esquemas europeos de certificaci\u00f3n de la ciberseguridad<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/es\/nis2\/normalizacion\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 25 - Normalizaci\u00f3n<\/a><\/li>\n<\/ul>\n<p>Para una descripci\u00f3n detallada de los requisitos del Cap\u00edtulo IV, lea este art\u00edculo: <a href=\"https:\/\/advisera.com\/es\/articulos\/8-requisitos-nis2\/\" target=\"_blank\" rel=\"noopener\">Los 8 requisitos de ciberseguridad y las obligaciones de notificaci\u00f3n m\u00e1s importantes en la NIS 2<\/a>.<\/p>\n<hr \/>\n<h2 id=\"section11\">\u00bfCu\u00e1les son las obligaciones de notificaci\u00f3n de las entidades esenciales e importantes?<\/h2>\n<p>Las entidades esenciales e importantes deben enviar notificaciones sobre incidentes significativos a:<\/p>\n<ul>\n<li>Un equipo de respuesta a incidentes de seguridad inform\u00e1tica (CSIRT, por sus siglas en ingl\u00e9s) o autoridad competente<\/li>\n<li>Los destinatarios de sus servicios<\/li>\n<\/ul>\n<p>Las entidades tienen que presentar varios tipos de informes al CSIRT: una alerta temprana, una notificaci\u00f3n de incidente, un informe intermedio, un informe final y un informe de situaci\u00f3n.<\/p>\n<p>Obtenga m\u00e1s informaci\u00f3n aqu\u00ed: <a href=\"https:\/\/advisera.com\/es\/articulos\/obligaciones-de-notificacion-nis2\/\" target=\"_blank\" rel=\"noopener\">\u00bfCu\u00e1les son las obligaciones de notificaci\u00f3n seg\u00fan la NIS 2?<\/a><\/p>\n<hr \/>\n<h2 id=\"section12\">\u00bfC\u00f3mo implementar la ciberseguridad seg\u00fan la NIS 2?<\/h2>\n<p>Para cumplir con la NIS 2, las buenas pr\u00e1cticas para las entidades esenciales e importantes pasan por seguir estos pasos de implementaci\u00f3n:<\/p>\n<ol>\n<li>Conseguir soporte de gesti\u00f3n experto.<\/li>\n<li>Configurar la gesti\u00f3n del proyecto.<\/li>\n<li>Realizar la formaci\u00f3n inicial.<\/li>\n<li>Redactar una pol\u00edtica de primer nivel sobre la seguridad de los sistemas de informaci\u00f3n.<\/li>\n<li>Definir la Metodolog\u00eda de Gesti\u00f3n de Riesgos.<\/li>\n<li>Realizar la evaluaci\u00f3n y el tratamiento de los riesgos.<\/li>\n<li>Redactar y aprobar un Plan de Tratamiento de Riesgos.<\/li>\n<li>Implementar medidas de ciberseguridad.<\/li>\n<li>Configurar la seguridad de la cadena de suministros.<\/li>\n<li>Configurar la evaluaci\u00f3n de la efectividad de la ciberseguridad.<\/li>\n<li>Configurar las notificaciones de incidentes.<\/li>\n<li>Establecer una formaci\u00f3n continua en ciberseguridad.<\/li>\n<li>Realizar auditor\u00edas internas peri\u00f3dicas.<\/li>\n<li>Realizar revisiones peri\u00f3dicas de la gesti\u00f3n.<\/li>\n<li>Ejecutar acciones correctivas.<\/li>\n<\/ol>\n<p>Este art\u00edculo explica los pasos con m\u00e1s detalle: <a href=\"https:\/\/advisera.com\/es\/articulos\/nis2-implementacion-pasos\/\" target=\"_blank\" rel=\"noopener\">15 pasos para la implementaci\u00f3n de medidas para la gesti\u00f3n de riesgos de ciberseguridad en la NIS 2<\/a>. Este otro art\u00edculo le orienta sobre c\u00f3mo redactar los documentos necesarios: <a href=\"https:\/\/advisera.com\/es\/articulos\/documentos-obligatorios-nis-2\/\" target=\"_blank\" rel=\"noopener\">Lista de documentos exigidos por la NIS 2<\/a>.<\/p>\n<hr \/>\n<div class=\"group-heading no-border\">Multas; papel del gobierno<\/div>\n<h2 id=\"section13\">\u00bfQu\u00e9 son las multas y la responsabilidad en la NIS 2?<\/h2>\n<p>Para las compa\u00f1\u00edas que no cumplan con la NIS 2, las multas son las siguientes:<\/p>\n<ul>\n<li>Para entidades esenciales: hasta 10 millones de euros o el 2% de la facturaci\u00f3n anual total.<\/li>\n<li>Para entidades importantes: hasta 7 millones de euros o el 1,4% de la facturaci\u00f3n anual total.<\/li>\n<\/ul>\n<p>Es importante destacar que el art\u00edculo 20 requiere que los directivos de las entidades esenciales e importantes aprueben las medidas de gesti\u00f3n de riesgos de ciberseguridad y supervisen su implementaci\u00f3n, y especifica que los miembros de los \u00f3rganos de direcci\u00f3n pueden ser considerados responsables si la ciberseguridad no cumple con el art\u00edculo 21.<\/p>\n<hr \/>\n<h2 id=\"section14\">La certificaci\u00f3n en la NIS 2<\/h2>\n<p>La NIS 2 no exige que las entidades esenciales e importantes obtengan ninguna certificaci\u00f3n.<\/p>\n<p>Sin embargo, los Estados miembros (o la Comisi\u00f3n de la UE) pueden exigir a esas entidades que utilicen productos o servicios de TIC concretos que cuenten con certificaci\u00f3n seg\u00fan el esquema europeo de certificaci\u00f3n de la ciberseguridad de acuerdo con la normativa sobre ciberseguridad (Reglamento de la UE 2019\/881).<\/p>\n<hr \/>\n<h2 id=\"section15\">\u00bfQu\u00e9 organismos gubernamentales se definen en la NIS 2?<\/h2>\n<ul>\n<li>Los \u201cEstados miembros\u201d son pa\u00edses que pertenecen a la Uni\u00f3n Europea y deben publicar sus propias leyes y reglamentos sobre ciberseguridad bas\u00e1ndose en la NIS 2.<\/li>\n<li>Las \u201cautoridades competentes\u201d son designadas por los Estados miembros para supervisar a las entidades esenciales e importantes que deben cumplir con la NIS 2 y las leyes de ciberseguridad locales.<\/li>\n<li>Los \u201cpuntos de contacto \u00fanicos\u201d son establecidos por los Estados miembros para permitir la cooperaci\u00f3n transfronteriza entre autoridades.<\/li>\n<li>Las \u201cautoridades de gesti\u00f3n de crisis de ciberseguridad\u201d son autoridades competentes, designadas por los Estados miembros, que son responsables de la gesti\u00f3n de incidentes y crisis de ciberseguridad a gran escala.<\/li>\n<li>Los \u201cequipos de respuesta a incidentes de seguridad inform\u00e1tica\u201d (CSIRT) son designados por los Estados miembros para gestionar incidentes siguiendo procesos definidos.<\/li>\n<li>La \u201cred europea de organizaciones de enlace para las crisis de ciberseguridad\u201d (EU-CyCLONe) apoya la gesti\u00f3n coordinada de incidentes y crisis de ciberseguridad a gran escala.<\/li>\n<li>El \u201cGrupo de Cooperaci\u00f3n\u201d facilita la cooperaci\u00f3n estrat\u00e9gica y el intercambio de informaci\u00f3n entre Estados miembros.<\/li>\n<li>La \"Agencia de la Uni\u00f3n Europea para la Ciberseguridad\" (ENISA) establece una base de datos de vulnerabilidades, crea un informe bienal sobre la situaci\u00f3n de la ciberseguridad en la Uni\u00f3n, mantiene un registro de entidades con estatus especial, elabora directrices sobre las \u00e1reas t\u00e9cnicas y las normas existentes, etc.<\/li>\n<\/ul>\n<hr \/>\n<h2 id=\"section16\">\u00bfQu\u00e9 leyes han publicado los pa\u00edses de la UE bas\u00e1ndose en la NIS 2? (Transposici\u00f3n de la NIS 2)<\/h2>\n<p>Los pa\u00edses de la UE (Estados miembros) deben publicar leyes y reglamentos locales en desarrollo de la Directiva NIS 2 antes del 17 de octubre de 2024. Este proceso de elaboraci\u00f3n de legislaci\u00f3n local basado en una directiva de la UE se conoce como \u201ctransposici\u00f3n\u201d.<\/p>\n<p>A fecha de redacci\u00f3n de este art\u00edculo, los siguientes Estados miembros han transpuesto la NIS 2 a su legislaci\u00f3n local:<\/p>\n<ul>\n<li><a href=\"https:\/\/advisera.com\/articles\/croatia-nis2-cybersecurity-regulation\/\" target=\"_blank\" rel=\"noopener\">Overview of Croatia\u2019s NIS2 Cybersecurity Regulation<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/articles\/croatia-cybersecurity-act-vs-nis-2\/\" target=\"_blank\" rel=\"noopener\">What are additional requirements of Croatia\u2019s Cybersecurity Act when compared to NIS 2?<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/articles\/lithuania-regulation-cybersecurity-requirements\/\" target=\"_blank\" rel=\"noopener\">Overview of Lithuania\u2019s Decision on Cybersecurity Requirements<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/articles\/lithuania-cybersecurity-act-vs-nis-2\/\" target=\"_blank\" rel=\"noopener\">What are the additional requirements of Lithuania\u2019s Cybersecurity Act when compared to NIS2?<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/articles\/overview-of-the-italian-nis2-law-and-comparison-with-the-eu-nis2-directive\/\" target=\"_blank\" rel=\"noopener\">Overview of the Italian NIS2 law and comparison with the EU NIS2 Directive<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/articles\/belgium-cybersecurity-act-vs-nis-2\/\" target=\"_blank\" rel=\"noopener\">What are the additional requirements of Belgium\u2019s cybersecurity law when compared to NIS 2?<\/a><\/li>\n<li><a href=\"https:\/\/advisera.com\/articles\/latvia-cybersecurity-law-vs-nis-2\/\" target=\"_blank\" rel=\"noopener\">Overview of Latvia\u2019s Cybersecurity Law and Comparison with the NIS2 Directive<\/a><\/li>\n<\/ul>\n<hr \/>\n<div class=\"group-heading no-border\">Relaci\u00f3n con otros marcos normativos<\/div>\n<h2 id=\"section17\">\u00bfC\u00f3mo se relaciona la NIS2 con la ISO 27001?<\/h2>\n<p>La NIS 2 no exige la implementaci\u00f3n de la norma ISO 27001. Sin embargo, s\u00ed menciona la serie ISO\/IEC 27000 en el pre\u00e1mbulo como una forma de implementar medidas de gesti\u00f3n de riesgos de ciberseguridad, y la parte principal de la NIS 2 fomenta el uso de normas internacionales.<\/p>\n<p>Al comparar de cerca la NIS 2 con la ISO 27001, queda claro que la ISO 27001 proporciona un excelente marco para cumplir con las medidas de gesti\u00f3n de riesgos de ciberseguridad que impone la NIS 2.<\/p>\n<p>La ISO 27001 proporciona una gu\u00eda clara sobre c\u00f3mo definir el proceso de gesti\u00f3n de riesgos, c\u00f3mo combinar la implementaci\u00f3n t\u00e9cnica con la formaci\u00f3n y otras cuestiones de recursos humanos, c\u00f3mo involucrar a los directivos, etc.<\/p>\n<hr \/>\n<h2 id=\"section18\">\u00bfCu\u00e1l es la diferencia entre la NIS 2 y el RGPD de la UE?<\/h2>\n<p>El t\u00edtulo completo del RGPD de la UE es \u201cReglamento (UE) 2016\/679 relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos (Reglamento general de protecci\u00f3n de datos)\u201d.<\/p>\n<p>Aunque tanto la NIS 2 como el RGPD se centran en la protecci\u00f3n de datos, son bastante diferentes:<\/p>\n<table class=\"table\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 30%\"><\/td>\n<td style=\"width: 35%\"><strong>NIS 2<\/strong><\/td>\n<td style=\"width: 35%\"><strong>RGPD UE<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"vertical-align: middle\">Tipo<\/td>\n<td style=\"vertical-align: middle\">Directiva (las compa\u00f1\u00edas cumplen con la legislaci\u00f3n local que se publica)<\/td>\n<td style=\"vertical-align: middle\">Reglamento (directamente aplicable a las compa\u00f1\u00edas)<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Se aplica a<\/td>\n<td style=\"vertical-align: middle\">Organizaciones que se consideran entidades esenciales e importantes<\/td>\n<td style=\"vertical-align: middle\">Cualquier organizaci\u00f3n que procese datos personales<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Protecci\u00f3n<\/td>\n<td style=\"vertical-align: middle\">Las medidas de ciberseguridad se aplican a todos los datos de la compa\u00f1\u00eda<\/td>\n<td style=\"vertical-align: middle\">Las medidas de ciberseguridad se aplican solo a los datos personales; tambi\u00e9n hay un aspecto legal de la protecci\u00f3n de datos personales<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Entrada en vigor<\/td>\n<td style=\"vertical-align: middle\">18 de octubre de 2024<\/td>\n<td style=\"vertical-align: middle\">25 de mayo de 2018<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<hr \/>\n<h2 id=\"section19\">\u00bfCu\u00e1l es la diferencia entre la NIS 2 y el DORA?<\/h2>\n<p>El t\u00edtulo completo del DORA es \u201cReglamento (UE) 2022\/2554 sobre la resiliencia operativa digital del sector financiero\u201d.<\/p>\n<p>Aunque la NIS 2 y el DORA se publicaron el mismo d\u00eda (27 de diciembre de 2022), existen grandes diferencias entre ambas normas:<\/p>\n<table class=\"table\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 30%\"><\/td>\n<td style=\"width: 35%\"><strong>NIS 2<\/strong><\/td>\n<td style=\"width: 35%\"><strong>DORA<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"vertical-align: middle\">Tipo<\/td>\n<td style=\"vertical-align: middle\">Directiva (las compa\u00f1\u00edas cumplen con la legislaci\u00f3n local que se publica)<\/td>\n<td style=\"vertical-align: middle\">Reglamento (directamente aplicable a las entidades financieras)<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Se aplica a<\/td>\n<td style=\"vertical-align: middle\">Organizaciones que se consideran entidades esenciales e importantes<\/td>\n<td style=\"vertical-align: middle\">Entidades financieras<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Protecci\u00f3n<\/td>\n<td style=\"vertical-align: middle\">\u00c9nfasis en las medidas de ciberseguridad<\/td>\n<td style=\"vertical-align: middle\">Adem\u00e1s de las medidas de ciberseguridad, tambi\u00e9n enfatiza la resiliencia general de las entidades financieras<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Entrada en vigor<\/td>\n<td style=\"vertical-align: middle\">18 de octubre de 2024<\/td>\n<td style=\"vertical-align: middle\">17 de enero de 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<hr \/>\n<h2 id=\"section20\">\u00bfCu\u00e1l es la diferencia entre la NIS 2 y la Directiva de Resiliencia de las Entidades Cr\u00edticas (CER)?<\/h2>\n<p>El t\u00edtulo completo de la CER es \u201cDirectiva (UE) 2022\/2557 sobre la resiliencia de las entidades cr\u00edticas\u201d.<\/p>\n<p>Aunque la NIS 2 y la CER (as\u00ed como el DORA) se publicaron el mismo d\u00eda (27 de diciembre de 2022), tienen un enfoque diferente:<\/p>\n<table class=\"table\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 30%\"><\/td>\n<td style=\"width: 35%\"><strong>NIS 2<\/strong><\/td>\n<td style=\"width: 35%\"><strong>CER<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"vertical-align: middle\">Tipo<\/td>\n<td style=\"vertical-align: middle\">Directiva (las compa\u00f1\u00edas cumplen con la legislaci\u00f3n local que se publica)<\/td>\n<td style=\"vertical-align: middle\">Directiva (las compa\u00f1\u00edas cumplen con la legislaci\u00f3n local que se publica)<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Se aplica a<\/td>\n<td style=\"vertical-align: middle\">Organizaciones que se consideran entidades esenciales e importantes<\/td>\n<td style=\"vertical-align: middle\">Organizaciones que se consideran cr\u00edticas seg\u00fan una decisi\u00f3n del Estado miembro<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Protecci\u00f3n<\/td>\n<td style=\"vertical-align: middle\">\u00c9nfasis en las medidas de ciberseguridad<\/td>\n<td style=\"vertical-align: middle\">\u00c9nfasis en la resiliencia y la continuidad de las actividades<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Entrada en vigor<\/td>\n<td style=\"vertical-align: middle\">18 de octubre de 2024<\/td>\n<td style=\"vertical-align: middle\">18 de octubre de 2024. Sin embargo, las entidades cr\u00edticas tienen 10 meses para cumplir con esta norma desde el d\u00eda en que sean designadas como cr\u00edticas<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<div class=\"c-message_kit__blocks c-message_kit__blocks--rich_text\">\n<div class=\"c-message__message_blocks c-message__message_blocks--rich_text\" data-qa=\"message-text\">\n<div class=\"p-block_kit_renderer\" data-qa=\"block-kit-renderer\">\n<div class=\"p-block_kit_renderer__block_wrapper p-block_kit_renderer__block_wrapper--first\">\n<div class=\"p-rich_text_block\" dir=\"auto\">\n<p><em>Para encontrar todos los documentos necesarios para cumplir la Directiva NIS 2 (SRI 2), consulta el<\/em> <a href=\"https:\/\/advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">Paquete de Documentos NIS 2<\/a> <em>que incluye todas las pol\u00edticas, procedimientos, planes y otras plantillas<\/em>.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n            <\/div>\n        <\/div>\n    <\/div>\n<\/section>\n<\/div><\/div><\/div><\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>TABLA DE CONTENIDO Conceptos b\u00e1sicos de la NIS2 Resumen de la Directiva NIS 2 \u00bfCu\u00e1l es la Directiva NIS anterior? \u00bfEn qu\u00e9 se diferencia de la nueva NIS 2? \u00bfQu\u00e9 significa \u201cNIS\u201d? \u00bfPor qu\u00e9 es importante la NIS 2? \u00bfD\u00f3nde puedo encontrar el texto completo de la NIS 2? \u00bfCu\u00e1ndo entra en vigor la NIS2? [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":116206,"comment_status":"open","ping_status":"closed","template":"page-templates\/articles-content-with-sidebar-template.php","tags":[],"class_list":["post-115876","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-es","adv_standard-nis-2-es","adv_topic-basics","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115876","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/comments?post=115876"}],"version-history":[{"count":3,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115876\/revisions"}],"predecessor-version":[{"id":124745,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115876\/revisions\/124745"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media\/116206"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media?parent=115876"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/tags?post=115876"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}