La Ecuación Digital
Estás leyendo
NIS2 refuerza los requisitos de ciberseguridad para sectores críticos en España

SUSCRÍBETE GRATIS A DIGITAL FIRST

Especial Oracle AI World 2025

Todas las Noticias

Contacto

La Ecuación Digital
La Ecuación Digital

NIS2 refuerza los requisitos de ciberseguridad para sectores críticos en España

por
27 junio 2025
  • La transposición de la Directiva NIS2 obliga a sectores críticos a adoptar medidas de ciberseguridad más estrictas, incluyendo notificación en 24 horas y sanciones.
Ciberseguridad 2025 - La Ecuación Digital

La aplicación de la Directiva NIS2 en España, a través de la recién aprobada Ley de Coordinación y Gobernanza de la Ciberseguridad, introduce un régimen legal más riguroso para las organizaciones que operan en sectores considerados críticos o importantes. Esta normativa refuerza las medidas obligatorias de gestión de riesgos cibernéticos y define con precisión nuevas responsabilidades para empresas y directivos, incluyendo la obligación de notificar incidentes de seguridad en menos de 24 horas.

Los sectores afectados —como energía, transporte, servicios financieros, sanidad o infraestructuras digitales— deberán adoptar medidas técnicas, organizativas y de formación que abarquen desde la prevención hasta la respuesta ante incidentes, con el objetivo de aumentar su resiliencia frente a amenazas cada vez más complejas. Fuente: Kaspersky.

NIS2 y su impacto en el panorama europeo de ciberseguridad

El informe NIS360 de ENISA (2024), que evalúa el nivel de madurez cibernética de los sectores cubiertos por la Directiva NIS2, identifica una disparidad significativa entre industrias. Sectores como el eléctrico, las telecomunicaciones y la banca muestran una elevada preparación, resultado de una regulación más estricta, inversiones sostenidas y una colaboración estructurada con las administraciones públicas.

En el extremo opuesto, sectores como tecnologías de la información, espacio, salud, administración pública, marítimo y gas presentan una combinación de alta criticidad y bajo nivel de madurez en ciberseguridad. Esta falta de preparación se considera especialmente preocupante debido a la posibilidad de que un incidente grave tenga un efecto dominó con consecuencias transfronterizas. El informe destaca además la falta de personal cualificado, la escasa coordinación entre actores y una supervisión irregular como factores limitantes.

Obligaciones técnicas, organizativas y humanas

La Ley exige la implantación de medidas que permitan a las organizaciones proteger sus sistemas de información y el entorno físico de los mismos. Estas medidas deberán abarcar, entre otros, los siguientes aspectos:

  • Establecimiento de políticas de análisis de riesgos y de seguridad para los sistemas de información.
  • Procedimientos claros para la gestión de incidentes y planes de continuidad de negocio, incluyendo copias de seguridad, recuperación ante desastres y gestión de crisis.
  • Revisión de la seguridad en la cadena de suministro, especialmente en lo referente a las relaciones con proveedores y terceros.
  • Control de la seguridad durante el ciclo de vida de adquisición, desarrollo y mantenimiento de redes y sistemas.
  • Evaluación periódica de la eficacia de las medidas adoptadas.
  • Formación en higiene digital y prácticas de ciberseguridad para todo el personal.
  • Aplicación de criptografía y cifrado cuando sea necesario.
  • Control de acceso, gestión de activos y uso de herramientas de autenticación robustas.
  • Mantenimiento de canales de comunicación seguros, tanto en operaciones regulares como en situaciones de emergencia.

Marcos normativos adicionales en España

La normativa NIS2 se articula con otras leyes vigentes en el país. La Ley 8/2011, de Protección de Infraestructuras Críticas, obliga a determinados operadores estratégicos a diseñar planes de seguridad específicos y coordinarse con las autoridades competentes.

Paralelamente, el Reglamento General de Protección de Datos (RGPD) impone requisitos específicos para la protección de datos personales, especialmente cuando se producen ciberincidentes que afectan a la privacidad de los usuarios.

Herramientas clave para cumplir con las exigencias de NIS2

El cumplimiento de las nuevas obligaciones requiere que las organizaciones combinen tecnología especializada con procesos estructurados y programas de formación. Según Kaspersky, los pilares para afrontar este reto con garantías son:

1. Detección y respuesta en endpoints (EDR)

Estas soluciones proporcionan visibilidad en tiempo real sobre el comportamiento de los dispositivos conectados a la red. Herramientas como Kaspersky EDR Optimum permiten identificar indicadores de compromiso (IoC) y activar respuestas automáticas ante anomalías. Además, facilitan la investigación forense y evitan la propagación lateral de amenazas.

2. Detección y respuesta gestionadas (MDR)

En entornos con capacidades internas limitadas, los servicios MDR ofrecen monitorización continua desde centros de operaciones de seguridad (SOC), gestionados por especialistas. Este modelo permite detectar y mitigar amenazas sin que la organización necesite ampliar su estructura interna.

3. Formación continua y concienciación

El refuerzo de la cultura organizativa en materia de ciberseguridad es esencial. Los programas de formación adaptados a distintos perfiles profesionales ayudan a reducir la exposición a amenazas causadas por errores humanos. Plataformas como KASAP permiten realizar entrenamientos interactivos ajustados a cada rol dentro de la empresa.

Te puede interesar
Ciberseguridad 2025 - La Ecuación Digital
La IA alivia la brecha de talento en ciberseguridad

4. Inteligencia de amenazas (Threat Intelligence)

Disponer de información actualizada sobre amenazas conocidas y emergentes es clave para prevenir ataques. La inteligencia contextual permite priorizar riesgos y adaptar las estrategias de defensa a las particularidades del entorno digital de cada organización.

5. Procedimientos de respuesta ante incidentes

Definir protocolos de actuación ante eventos críticos mejora la resiliencia organizativa. La existencia de roles claros, flujos de comunicación definidos y ejercicios periódicos de simulación optimiza la capacidad de recuperación ante incidentes reales.

6. Protección de infraestructuras industriales

Los sistemas de control industrial (ICS) requieren soluciones específicas por sus particularidades operativas. Tecnologías como Kaspersky Industrial Cybersecurity (KICS) han sido diseñadas para proteger entornos OT, compatibles con sistemas heredados, minimizando impactos sobre la continuidad operativa.

Hacia una gobernanza compartida en ciberseguridad

La Directiva NIS2 no sólo amplía el número de entidades obligadas a implementar medidas de ciberseguridad, sino que también exige una mayor implicación institucional y una gobernanza más estructurada entre administraciones y sector privado. La combinación de vigilancia normativa, supervisión técnica y formación constante configura una estrategia de ciberresiliencia que ya no puede abordarse de manera aislada por cada organización.

A corto plazo, se espera que la Agencia Española de Protección de Datos (AEPD), el Centro Criptológico Nacional (CCN) y otras autoridades sectoriales intensifiquen las inspecciones y el seguimiento del cumplimiento de estas nuevas exigencias. Para las empresas afectadas, ello implica una revisión integral de sus políticas internas y una inversión sostenida en seguridad digital, que deberá ser prioritaria en los consejos de administración.

Etiquetas
La Ecuación Digital

© 2023 Curado y Editado por Hernán Rodríguez.
All Rights Reserved.

Utilizamos cookies para facilitar la relación de los visitantes con nuestro contenido y para permitir elaborar estadísticas sobre las visitantes que recibimos. No se utilizan cookies con fines publicitarios ni se almacena información de tipo personal. Puede gestionar las cookies desde aquí.   
Privacidad