Cumplimiento de NIS2 para el sector de infraestructura digital

La infraestructura digital sustenta el funcionamiento de las economías modernas. Los puntos de intercambio de Internet, los sistemas de nombres de dominio, los servicios en la nube, los centros de datos y las redes troncales de telecomunicaciones forman la base técnica de los servicios críticos en toda la European Union. Una interrupción en este sector puede propagarse a los sectores de energía, transporte, finanzas, salud y administración pública.

La Directiva NIS2 establece obligaciones de ciberseguridad de ámbito EU para entidades Essential e Important y amplía significativamente el ámbito de aplicación del marco NIS original. El cumplimiento de NIS2 para el sector de infraestructura digital refleja la importancia sistémica de mantener servicios básicos de Internet y conectividad resilientes y seguros.

La Directiva se aplica a organizaciones de tamaño mediano y grande que operan en sectores designados, incluida la infraestructura digital. Muchos operadores que prestan servicios fundamentales de internet o de red estarán dentro del ámbito de aplicación.

Si su organización opera en infraestructura digital, puede estar sujeta a NIS2 como entidad Essential o Important.

El sector de infraestructura digital se clasifica como:

Anexo relevante: Annex I (Essential Entities)

• Entidad Essential under Annex I

• Proveedores de puntos de intercambio de Internet (IXP)
• Proveedores de servicios del sistema de nombres de dominio (DNS)
• Registros de nombres de dominio de nivel superior (TLD)
• Proveedores de servicios de computación en la nube
• Proveedores de servicios de centros de datos
• Proveedores de redes de distribución de contenido (CDN)
• Proveedores de servicios de confianza
• Proveedores de redes públicas de comunicaciones electrónicas
• Proveedores de servicios de comunicaciones electrónicas disponibles públicamente

Cobertura por subsector (Annex I – Digital Infrastructure):

El cumplimiento de NIS2 para el sector de infraestructura digital se aplica a:

Esto incluye a proveedores de servicios en la nube, operadores de centros de datos, operadores DNS, proveedores de redes de telecomunicaciones y proveedores de servicios de confianza que cumplan los umbrales de tamaño de la EU.

La aplicabilidad de NIS2 a las PYME es especialmente relevante en este sector, ya que muchos proveedores especializados de servicios en la nube, hosting, CDN y servicios de confianza operan a escala de empresa mediana. Incluso las organizaciones sin una gran huella física pueden entrar en el ámbito de aplicación debido a la facturación o a la criticidad del servicio.

• Empresas de tamaño mediano (≥50 empleados y/o €10 millones de facturación anual o total del balance)
• Empresas grandes que superen esos umbrales
• Ciertos proveedores críticos designados en virtud de la legislación nacional, cuando proceda

En virtud del Article 21 de la Directiva NIS2, las entidades de infraestructura digital deben implementar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad.

Las medidas obligatorias incluyen:

Para el sector de infraestructura digital, estas medidas de seguridad de NIS2 deben proteger la arquitectura de red central, los sistemas de enrutamiento, los entornos de virtualización, la infraestructura DNS y las plataformas en la nube. La alta disponibilidad, la redundancia y los modelos de resiliencia distribuida son fundamentales para el cumplimiento.

El cumplimiento de NIS2 para el sector de infraestructura digital exige una supervisión sólida de la cadena de suministro, especialmente cuando la infraestructura depende de proveedores de hardware, proveedores de software y acuerdos de conectividad transfronterizos. Los principios de seguridad desde el diseño y la monitorización continua son esenciales.

• Marco de gestión de riesgos
• Procedimientos de gestión de incidentes
• Continuidad del negocio y recuperación ante desastres
• Seguridad de la cadena de suministro
• Desarrollo y mantenimiento seguros
• Políticas sobre cifrado y criptografía
• Control de acceso y MFA
• Gestión de vulnerabilidades y parches
• Formación en higiene cibernética
• Uso de comunicaciones seguras

Las entidades de infraestructura digital deben cumplir el calendario de notificación de incidentes de NIS2 cuando se produzcan incidentes significativos.

Las obligaciones de notificación incluyen:

Los informes deben enviarse al CSIRT nacional o a la autoridad competente.

La regla de notificación de 24 horas de NIS2 es particularmente crítica en este sector, ya que las interrupciones o compromisos en DNS, servicios en la nube o redes de comunicaciones pueden tener un impacto transversal en múltiples sectores. Los incidentes que afecten a la disponibilidad, integridad o confidencialidad de la infraestructura básica a menudo calificarán como significativos.

El incumplimiento de los plazos de notificación puede dar lugar a medidas de ejecución y sanciones administrativas.

El cumplimiento de NIS2 para el sector de infraestructura digital impone responsabilidad directa sobre el management body.

Los requisitos clave de gobernanza incluyen:

El Article 21 de la Directiva NIS2 eleva la ciberseguridad a una obligación a nivel del consejo. La dirección ejecutiva debe garantizar que los controles de ciberseguridad cuenten con los recursos adecuados, estén documentados y se revisen periódicamente.

Para los proveedores de infraestructura digital, las fallas de gobernanza pueden resultar en interrupciones intersectoriales y en un mayor escrutinio regulatorio.

• Aprobación de las medidas de gestión de riesgos de ciberseguridad por el management body
• Supervisión continua de la implementación
• Formación obligatoria en ciberseguridad para la dirección
• Posible exposición a responsabilidad personal conforme a la legislación nacional

Como entidades Annex I, las organizaciones de infraestructura digital clasificadas como entidades Essential están sujetas a supervisión proactiva. Las autoridades competentes pueden realizar auditorías, inspecciones y evaluaciones de ciberseguridad independientemente de si ha ocurrido o no un incidente.

Las multas administrativas por incumplimiento son:

Las leyes de transposición nacional pueden matizar la coordinación supervisora, pero la Directiva establece umbrales mínimos armonizados de sanción entre los Estados miembros.

Dado el impacto sistémico de las interrupciones en la infraestructura digital, se espera que la ejecución sea estructurada, basada en riesgos y coordinada entre jurisdicciones.

• Entidades Essential: Hasta €10 millones o 2% del volumen de negocio anual mundial total (lo que sea más elevado)

Las PYME de infraestructura digital deben seguir pasos estructurados hacia el cumplimiento de NIS2:

La preparación temprana reduce el riesgo de acciones de ejecución y protege la continuidad del servicio.

1. Realizar una evaluación de brechas de NIS2
2. Mapear las dependencias críticas de red y plataformas
3. Formalizar un marco documentado de gestión de riesgos de ciberseguridad
4. Actualizar y probar planes de respuesta a incidentes y de continuidad del servicio
5. Revisar los contratos con proveedores terceros de hardware y software
6. Formar a la alta dirección y a los responsables técnicos
7. Establecer un flujo de trabajo de notificación 24h/72h/1 mes

Las entidades de infraestructura digital afrontan riesgos específicos del sector en el marco de NIS2:

Por tanto, el cumplimiento de NIS2 para el sector de infraestructura digital es un requisito fundamental para la resiliencia digital de la EU.

• Interrupciones del servicio: Los incidentes cibernéticos pueden interrumpir servicios en la nube, DNS o de comunicaciones.
• Impacto intersectorial: La interrupción puede propagarse a los sectores de energía, transporte, finanzas y sanidad.
• Compromiso de la cadena de suministro: Los proveedores de hardware y software pueden introducir vulnerabilidades.
• Multas regulatorias: El incumplimiento expone a los proveedores a sanciones financieras sustanciales.
• Daño reputacional: La fiabilidad del servicio es central para la confianza del cliente.