Preguntas frecuentes
Todo lo que necesita saber sobre NIS2 y cómo NIS2 Pro puede ayudar a su organización.
Conceptos básicos de NIS2
- ¿Qué es la Directiva NIS2?
- NIS2 (Directiva de Seguridad de Redes e Información 2) es una regulación de ciberseguridad a nivel de la UE que establece obligaciones básicas de seguridad y notificación de incidentes para organizaciones que operan en sectores críticos e importantes. Sustituye a la Directiva NIS original adoptada en 2016.
- ¿Cuándo entró en vigor NIS2?
- La directiva entró en vigor el 16 de enero de 2023. Los Estados miembros de la UE debían transponerla a la legislación nacional antes del 17 de octubre de 2024. Los plazos de aplicación varían según el país.
- ¿Qué sectores cubre NIS2?
- NIS2 cubre 18 sectores divididos en dos grupos. Los sectores esenciales incluyen energía, transporte, banca, salud, agua, infraestructura digital, gestión de servicios TIC, administración pública y espacio. Los sectores importantes incluyen servicios postales, gestión de residuos, productos químicos, alimentación, fabricación, proveedores digitales e investigación.
- ¿Cuál es la diferencia entre entidades esenciales e importantes?
- Las entidades esenciales están sujetas a requisitos de supervisión más estrictos, incluidas auditorías e inspecciones proactivas. Las entidades importantes están sujetas a supervisión reactiva, generalmente activada por evidencia de incumplimiento. Ambas deben cumplir las mismas obligaciones de seguridad básicas.
- ¿Se aplica NIS2 a empresas fuera de la UE?
- Sí. Si su organización presta servicios dentro de la UE, aunque tenga su sede en otro lugar, NIS2 puede aplicarse. Las entidades no pertenecientes a la UE deben designar un representante en uno de los Estados miembros donde operan.
Alcance y clasificación
- ¿Cómo sé si mi organización está en el ámbito de aplicación?
- NIS2 se aplica a organizaciones medianas y grandes en los 18 sectores cubiertos. Los umbrales generales son 50+ empleados o 10 millones de euros+ de facturación anual. Algunos tipos de entidades, como los proveedores de DNS y los proveedores de servicios de confianza, están en el ámbito independientemente de su tamaño.
- ¿Qué hace el Scope Check de NIS2 Pro?
- Nuestra evaluación Scope Check formula preguntas específicas sobre su sector, tamaño, operaciones y dependencias digitales para determinar si NIS2 probablemente se aplica a su organización y si se clasificaría como esencial o importante.
- ¿Puede una pequeña empresa estar sujeta a NIS2?
- Generalmente, las organizaciones por debajo de los umbrales de tamaño quedan excluidas. Sin embargo, ciertas categorías están en el ámbito independientemente del tamaño, por ejemplo, proveedores de servicios DNS, registros TLD, proveedores de servicios de confianza y entidades identificadas como críticas por un Estado miembro.
- ¿Qué pasa si opero en varios países de la UE?
- Puede estar sujeto a las leyes de transposición nacionales de cada Estado miembro donde opere. NIS2 introduce un modelo de jurisdicción principal para ciertas entidades digitales, pero la mayoría de las organizaciones deben cumplir con los requisitos específicos de cada país.
Requisitos de cumplimiento
- ¿Cuáles son las principales obligaciones de cumplimiento bajo NIS2?
- NIS2 exige a las organizaciones implementar medidas de ciberseguridad basadas en riesgos, establecer capacidades de detección y respuesta a incidentes, garantizar la seguridad de la cadena de suministro, realizar evaluaciones de riesgos periódicas y proporcionar formación al personal. Los órganos de dirección también deben aprobar y supervisar estas medidas.
- ¿Qué obligaciones de notificación de incidentes impone NIS2?
- Los incidentes significativos deben notificarse a la autoridad competente en tres etapas: una alerta temprana en 24 horas, una notificación detallada en 72 horas y un informe final en un mes. La definición de «significativo» depende de factores como el alcance de la interrupción del servicio y el impacto en los datos.
- ¿Es la dirección personalmente responsable bajo NIS2?
- Sí. NIS2 introduce la responsabilidad personal para la alta dirección. Los miembros del consejo y los ejecutivos pueden ser considerados responsables por no garantizar el cumplimiento, y los Estados miembros pueden imponer prohibiciones temporales de gestión por violaciones reiteradas.
- ¿Necesito ISO 27001 para cumplir con NIS2?
- ISO 27001 no es obligatorio, pero proporciona una base sólida. Muchos requisitos de NIS2 se superponen con los controles de ISO 27001. NIS2 Pro incluye una herramienta de correspondencia que mapea los resultados de su evaluación con los controles relevantes de ISO 27001.
- ¿Cuáles son las sanciones por incumplimiento?
- Las entidades esenciales se enfrentan a multas de hasta 10 millones de euros o el 2 % de la facturación anual global (lo que sea mayor). Las entidades importantes se enfrentan a multas de hasta 7 millones de euros o el 1,4 % de la facturación global. Los Estados miembros individuales pueden imponer sanciones adicionales.
Plazos y calendario
- ¿Cuál es el plazo de transposición de NIS2?
- Los Estados miembros debían transponer NIS2 a la legislación nacional antes del 17 de octubre de 2024. Algunos países cumplieron este plazo; otros aún están en proceso. Consulte nuestra página de estado de NIS2 para conocer el progreso actualizado por país.
- ¿Cuándo debo registrarme ante la autoridad competente?
- Los plazos de registro varían según el país. En muchos Estados miembros, las entidades afectadas deben registrarse ante su autoridad competente nacional dentro de un período determinado tras la entrada en vigor de la ley de transposición. Consulte la guía de su país para más detalles.
- ¿Con qué frecuencia debo reevaluar mi cumplimiento de NIS2?
- Recomendamos reevaluar al menos cada 12 meses, o siempre que haya un cambio significativo en su organización, como la entrada en un nuevo mercado, una transformación tecnológica importante, una adquisición o un incidente de seguridad.
Cadena de suministro y terceros
- ¿Qué exige NIS2 para la seguridad de la cadena de suministro?
- Las organizaciones deben evaluar y gestionar los riesgos de ciberseguridad en toda su cadena de suministro, incluidos proveedores directos y prestadores de servicios. Esto incluye requisitos de seguridad contractuales, diligencia debida con los proveedores y supervisión de riesgos de terceros.
- ¿Soy responsable del cumplimiento de mis proveedores?
- No es directamente responsable de que sus proveedores cumplan con NIS2, pero debe evaluar y gestionar los riesgos que introducen en sus operaciones. Si una debilidad de seguridad de un proveedor causa un incidente que afecta a sus servicios, usted sigue siendo responsable.
- ¿Afecta NIS2 a los proveedores de servicios en la nube?
- Sí. Los proveedores de servicios de computación en la nube están explícitamente incluidos como entidades importantes bajo NIS2. Si depende de proveedores en la nube, también debe evaluarlos como parte de su gestión de riesgos de la cadena de suministro.
Plataforma NIS2 Pro
- ¿Qué hace NIS2 Pro?
- NIS2 Pro ayuda a las organizaciones a evaluar su ámbito NIS2, valorar su madurez en ciberseguridad, generar informes de cumplimiento, hacer seguimiento de acciones de mejora y gestionar reevaluaciones a lo largo del tiempo. Está diseñado específicamente para pymes que navegan los requisitos de NIS2.
- ¿Sustituye NIS2 Pro al asesoramiento legal?
- No. NIS2 Pro proporciona orientación y herramientas para apoyar su proceso de cumplimiento, pero no constituye asesoramiento legal. Para interpretaciones legales vinculantes, consulte a un profesional legal cualificado familiarizado con la ley de transposición de su jurisdicción.
- ¿Puedo gestionar varias empresas en NIS2 Pro?
- Sí. NIS2 Pro admite múltiples perfiles de empresa bajo una sola cuenta. Esto es útil para estructuras de grupo, consultores que gestionan carteras de clientes u organizaciones con filiales en diferentes sectores o países.
- ¿Qué informes puedo generar?
- NIS2 Pro genera informes de análisis de alcance, desgloses de puntuación de madurez, hojas de ruta de mejora, resúmenes para el consejo, registros de riesgos, kits de respuesta a incidentes, informes de correspondencia ISO 27001 e informes de comparación de versiones, todo exportable como PDF o DOCX.
- ¿Puedo invitar a miembros del equipo?
- Sí. Puede invitar a colegas a colaborar en un perfil de empresa con acceso basado en roles: Admin, Contributor o Viewer. Los miembros del equipo reciben una invitación por correo electrónico y pueden acceder a los datos compartidos de la empresa una vez que la acepten.
Precios y planes
- ¿Cómo se tarifica NIS2 Pro?
- NIS2 Pro ofrece un Scope Check único por 10 € y tres niveles de suscripción (Basic, Business, Business Plus) con facturación mensual o anual. La tarifa del Scope Check se acredita a una suscripción si se registra dentro de los 30 días. Visite la página de precios para todos los detalles.
- ¿Qué incluye una suscripción?
- Las suscripciones desbloquean la plataforma completa: evaluaciones ilimitadas, todos los tipos de informes, seguimiento de mejoras, registro de riesgos, calendario de cumplimiento, colaboración en equipo, flujos de reevaluación y acceso a todas las guías por país y sector.
- ¿Puedo cancelar mi suscripción?
- Sí. Puede cancelar en cualquier momento desde su página de cuenta. Su acceso continúa hasta el final del período de facturación actual. No se eliminan datos al cancelar.
RGPD y protección de datos
- ¿Cómo se relaciona NIS2 con el RGPD?
- NIS2 y el RGPD son regulaciones complementarias pero separadas. El RGPD se centra en la protección de datos personales, mientras que NIS2 se centra en la seguridad de los sistemas de redes e información. Un incidente puede activar obligaciones bajo ambas; por ejemplo, una brecha de datos que afecte a datos personales requiere notificación RGPD junto con la notificación de incidentes NIS2.
- ¿NIS2 Pro almacena mis datos de forma segura?
- Sí. Todos los datos se almacenan en infraestructura con sede en la UE con cifrado en reposo y en tránsito. El acceso se controla mediante sesiones autenticadas y permisos basados en roles. No compartimos sus datos de evaluación con terceros.
- ¿Puedo exportar o eliminar mis datos?
- Sí. Puede exportar todos sus datos de evaluación e informes en cualquier momento. Si desea eliminar su cuenta y todos los datos asociados, contacte con nuestro equipo de soporte y procesaremos la solicitud de acuerdo con los requisitos del RGPD.
Conceptos básicos de NIS2
Alcance y clasificación
Requisitos de cumplimiento
Plazos y calendario
Cadena de suministro y terceros
Plataforma NIS2 Pro
Precios y planes
RGPD y protección de datos
¿Aún tiene preguntas?
Nuestro equipo está aquí para ayudarle con el cumplimiento de NIS2.