NIS2 (Directiva UE 2022/2555): obligaciones de ciberseguridad y qué cambia para las empresas latinoamericanas que operan en la Unión Europea
Respuesta directa
La NIS2 (Directiva UE 2022/2555) es la norma europea de ciberseguridad que amplía el alcance de la antigua NIS, abarcando sectores esenciales e importantes. Exige gestión de riesgos con las medidas mínimas del art. 21, reporte de incidentes por fases (alerta temprana en 24 h, notificación en 72 h e informe final en 1 mes) y responsabiliza a la alta dirección. Las empresas latinoamericanas suelen quedar alcanzadas de forma indirecta, como proveedoras de entidades reguladas dentro del bloque.
Puntos clave
- ›La NIS2 sustituye a la Directiva NIS (2016/1148) y amplía el número de sectores y entidades cubiertas, clasificándolas como entidades esenciales o importantes con regímenes de supervisión distintos.
- ›Las obligaciones centrales son la gestión de riesgos de ciberseguridad (medidas mínimas del art. 21), el reporte de incidentes por fases (24 h, 72 h y 1 mes) y la responsabilización directa de los órganos de dirección.
- ›Como directiva, la NIS2 no se aplica directamente: cada Estado miembro la transpone a su ley nacional, con plazo de transposición hasta el 17 de octubre de 2024.
- ›Las empresas latinoamericanas rara vez son reguladas directamente, pero quedan alcanzadas a través de la seguridad de la cadena de suministro (art. 21) cuando proveen software, servicios gestionados o infraestructura a entidades europeas cubiertas.
- ›La NIS2 prevé multas administrativas relevantes y medidas de responsabilización de directivos, lo que convierte el cumplimiento en un tema de gobernanza y no solo de TI.
- ›Prepararse exige mapear la exposición contractual con clientes europeos, alinear los controles al art. 21 y estructurar una respuesta a incidentes compatible con los plazos de notificación.
Qué es la NIS2 y por qué sustituye a la directiva anterior
La NIS2 es la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, publicada el 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea. Deroga la Directiva (UE) 2016/1148, conocida como NIS, considerada insuficiente ante la expansión de la superficie de ataque y la heterogeneidad en la forma en que los Estados miembros aplicaron la norma original.
El objetivo declarado es elevar y armonizar la madurez en ciberseguridad en el mercado interior europeo. La NIS2 estandariza los criterios de inclusión de entidades, define un conjunto mínimo de medidas de gestión de riesgos, uniformiza las obligaciones de notificación de incidentes y refuerza los mecanismos de supervisión y cooperación entre autoridades nacionales.
Por ser una directiva, y no un reglamento, la NIS2 no produce efectos directos inmediatos sobre las empresas. Vincula a los Estados miembros, que deben transponer su contenido al derecho interno. Esto significa que la obligación concreta de una empresa nace de la ley nacional de transposición del país donde está establecido el cliente europeo, y no del texto de la directiva de forma aislada.
Quiénes están cubiertos: sectores esenciales e importantes
La NIS2 clasifica a las entidades cubiertas en dos categorías: entidades esenciales y entidades importantes. Los anexos I y II de la directiva enumeran los sectores. El anexo I trata sectores de alta criticidad, como energía, transportes, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC entre empresas, administración pública y espacio.
El anexo II abarca otros sectores críticos, incluyendo servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de productos químicos, producción y distribución de alimentos, fabricación de determinados productos, proveedores de servicios digitales (como mercados en línea, motores de búsqueda y plataformas de redes sociales) e investigación.
Por regla general, la clasificación combina sector y tamaño. Se aplica un criterio general de dimensión: las entidades medianas y grandes de los sectores enumerados tienden a estar cubiertas, con las entidades esenciales sujetas a supervisión proactiva y las importantes a supervisión reactiva, activada tras indicios de incumplimiento. Hay excepciones en las que también se incluyen entidades de menor tamaño, por ejemplo cuando prestan servicios críticos cuya interrupción tendría un impacto significativo, conforme a los criterios del art. 2 y del art. 3 de la directiva.
Alcance para empresas fuera de la UE y el efecto cadena de suministro
Una empresa latinoamericana que no tenga establecimiento en la Unión Europea generalmente no es una entidad regulada directamente por la NIS2. La directiva se centra en entidades que prestan servicios o están establecidas en el bloque. Existen, sin embargo, reglas específicas de jurisdicción para ciertos proveedores de servicios digitales y de infraestructura, que pueden estar obligados a designar un representante en la Unión cuando ofrecen servicios dentro de ella, conforme a los criterios de jurisdicción y territorialidad del art. 26.
El alcance práctico más común para las empresas latinoamericanas es indirecto, a través de la seguridad de la cadena de suministro. El art. 21 exige que las entidades europeas cubiertas consideren los riesgos asociados a sus proveedores y prestadores de servicios, incluida la calidad de las prácticas de ciberseguridad de esos socios. En la práctica, esto traslada exigencias contractuales a los proveedores de software, prestadores de servicios gestionados, integradores y operadores de infraestructura situados fuera del bloque.
Para un SaaS, una industria exportadora o una empresa de servicios latinoamericana que atiende a clientes europeos regulados, esto suele materializarse en cláusulas contractuales, cuestionarios de seguridad, requisitos de notificación de incidentes en plazos cortos y derechos de auditoría. Ignorar este efecto cadena puede resultar en la pérdida de contratos o en la exclusión de procesos de homologación de proveedores.
Las obligaciones: medidas del art. 21 y responsabilización de la dirección
El núcleo de las obligaciones está en el art. 21, que establece medidas de gestión de riesgos de ciberseguridad basadas en un enfoque de todos los peligros. El conjunto mínimo incluye políticas de análisis de riesgos y de seguridad de los sistemas de información; gestión de incidentes; continuidad de las actividades y gestión de crisis; seguridad de la cadena de suministro; seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas, incluida la gestión de vulnerabilidades; políticas y procedimientos para evaluar la eficacia de las medidas; prácticas básicas de ciberhigiene y formación.
La lista continúa con políticas de uso de criptografía y, cuando corresponda, cifrado; seguridad de los recursos humanos, políticas de control de acceso y gestión de activos; y, siempre que sea apropiado, soluciones de autenticación multifactor o continua, comunicaciones de voz, vídeo y texto seguras y sistemas de comunicación de emergencia protegidos. Las medidas deben ser proporcionales al riesgo, al tamaño y a la exposición de la entidad.
La NIS2 introduce una responsabilización explícita de la alta dirección. El art. 20 determina que los órganos de dirección de las entidades aprueben las medidas de gestión de riesgos, supervisen su aplicación y puedan ser responsabilizados por incumplimientos. La directiva también prevé que los miembros de esos órganos reciban formación adecuada para identificar riesgos y evaluar prácticas de ciberseguridad, desplazando el tema al nivel de la gobernanza corporativa.
Reporte de incidentes: los plazos de 24 h, 72 h y 1 mes
El art. 23 establece un régimen de notificación de incidentes significativos por fases, dirigido a la autoridad competente o al CSIRT designado. Un incidente se considera significativo cuando causa, o es susceptible de causar, una perturbación operativa grave de los servicios o pérdidas financieras, o cuando afecta a otras personas físicas o jurídicas, ocasionando daños materiales o inmateriales considerables.
El primer hito es la alerta temprana, que debe realizarse sin demora injustificada y, en cualquier caso, dentro del plazo de 24 horas tras haber tenido conocimiento del incidente significativo. A continuación, en un plazo de 72 horas, debe presentarse una notificación de incidente con una evaluación inicial, incluida su gravedad, su impacto y, cuando estén disponibles, los indicadores de compromiso.
A solicitud del CSIRT o de la autoridad, pueden exigirse informes intermedios. El informe final debe entregarse dentro del plazo de un mes tras la notificación del incidente, con una descripción detallada, el tipo de amenaza o la causa raíz, las medidas de mitigación aplicadas y, cuando corresponda, el impacto transfronterizo. Para una empresa en la cadena de suministro, cumplir con esos plazos contractuales exige procesos de detección y respuesta ya estructurados, y no improvisados tras el incidente.
Transposición por los Estados miembros y cómo se prepara una empresa latinoamericana
La directiva fijó el 17 de octubre de 2024 como plazo para que los Estados miembros adoptaran y publicaran las medidas de transposición, con aplicación a partir del día siguiente. En la práctica, el ritmo de transposición varió entre los países, de modo que las obligaciones específicas, las autoridades competentes, los umbrales de incidente significativo y los regímenes sancionatorios dependen de la ley nacional aplicable a cada cliente europeo.
Para una empresa latinoamericana, la preparación comienza por mapear la exposición: identificar qué clientes europeos son entidades esenciales o importantes, en qué Estados miembros operan y qué obligaciones contractuales ya derivan o derivarán de esa condición. En paralelo, conviene alinear los controles internos a las medidas del art. 21, con énfasis en gestión de riesgos, seguridad de la cadena, gestión de vulnerabilidades y capacidad de respuesta a incidentes.
La NIS2 también prevé regímenes sancionatorios robustos, con multas administrativas que, para las entidades esenciales, pueden alcanzar valores significativos definidos en proporción al volumen de negocio, y medidas adicionales sobre la dirección. Aunque las sanciones recaen sobre las entidades reguladas, el efecto se propaga a los proveedores por vía contractual. Estructurar el cumplimiento de forma documentable pasa a ser un diferencial competitivo en la disputa por contratos europeos, y no solo una defensa jurídica.
Cómo cumplir
- 1
Mapear la exposición a la NIS2
Enumera clientes y prospectos europeos, identifica cuáles se clasifican como entidades esenciales o importantes y en qué Estados miembros operan, para entender la ley nacional de transposición aplicable.
- 2
Revisar contratos y cláusulas de seguridad
Analiza los contratos vigentes y los modelos de suministro en busca de obligaciones de ciberseguridad, plazos de notificación de incidentes, derechos de auditoría y requisitos de cadena de suministro derivados del art. 21.
- 3
Realizar el gap assessment frente al art. 21
Compara tus controles actuales con las medidas mínimas del art. 21, incluidas la gestión de riesgos, el tratamiento de incidentes, la continuidad, la criptografía, el control de acceso y la MFA, y documenta las brechas.
- 4
Estructurar la gestión de riesgos y de la cadena de suministro
Implementa una política de análisis de riesgos, la evaluación de tus propios proveedores y la gestión de vulnerabilidades, garantizando la trazabilidad de las decisiones a efectos de auditoría y gobernanza.
- 5
Montar la capacidad de detección y respuesta
Implanta un monitoreo continuo y un plan de respuesta a incidentes con roles definidos, capaz de sostener la alerta en 24 horas, la notificación en 72 horas y el informe final en 1 mes cuando se exija contractualmente.
- 6
Involucrar a la alta dirección
Presenta los riesgos y las obligaciones al órgano de dirección, formaliza la aprobación de las medidas y promueve una formación adecuada, reflejando la responsabilización prevista en el art. 20.
- 7
Mantener evidencias y revisar periódicamente
Documenta políticas, pruebas e incidentes, y reevalúa los controles en ciclos regulares y ante cada cambio relevante de cliente, servicio o amenaza.
Preguntas frecuentes
¿La NIS2 se aplica directamente a mi empresa latinoamericana?
Por regla general, no directamente, si la empresa no tiene establecimiento en la UE. El alcance suele ser indirecto, a través de la cadena de suministro, cuando provees software, servicios gestionados o infraestructura a entidades europeas cubiertas, que trasladan exigencias por contrato. Hay reglas específicas de jurisdicción para ciertos proveedores digitales en el art. 26.
¿Cuál es la diferencia entre entidad esencial y entidad importante?
Ambas tienen las mismas obligaciones de gestión de riesgos y notificación, pero difieren en el régimen de supervisión y sanción. Las entidades esenciales están sujetas a supervisión proactiva y a regímenes sancionatorios más severos; las entidades importantes quedan bajo supervisión reactiva, activada cuando hay indicios de incumplimiento.
¿Cuáles son los plazos de notificación de incidentes?
Son tres hitos principales: alerta temprana en hasta 24 horas tras el conocimiento del incidente significativo, notificación con evaluación inicial en hasta 72 horas e informe final en hasta un mes. La autoridad o el CSIRT pueden solicitar informes intermedios, conforme al art. 23.
¿Qué cambia para la alta dirección de la empresa?
La NIS2 responsabiliza explícitamente a los órganos de dirección. Deben aprobar y supervisar las medidas de gestión de riesgos y pueden ser responsabilizados por incumplimientos, además de recibir formación adecuada para evaluar prácticas de ciberseguridad, conforme al art. 20.
¿La NIS2 ya está en vigor?
La directiva está en vigor desde 2023, pero, por ser directiva, depende de la transposición nacional. El plazo para que los Estados miembros la transpusieran fue el 17 de octubre de 2024. Las obligaciones concretas derivan de la ley nacional aplicable a cada cliente europeo, cuyo ritmo de adopción varió entre los países.
¿Qué medidas mínimas exige el art. 21?
Entre otras: políticas de análisis de riesgos y de seguridad, tratamiento de incidentes, continuidad y gestión de crisis, seguridad de la cadena de suministro, gestión de vulnerabilidades, evaluación de eficacia, ciberhigiene y formación, criptografía, control de acceso, gestión de activos y, cuando corresponda, autenticación multifactor.
¿Qué sanciones prevé la NIS2?
La directiva define regímenes sancionatorios con multas administrativas, proporcionales al volumen de negocio y más severas para las entidades esenciales, además de medidas sobre la dirección. Las sanciones recaen sobre las entidades reguladas, pero el impacto se propaga a los proveedores a través de exigencias contractuales.
¿Cómo empiezo a prepararme de forma práctica?
Comienza mapeando la exposición con clientes europeos regulados, revisa contratos, realiza un gap assessment frente al art. 21, estructura la gestión de riesgos y la respuesta a incidentes compatible con los plazos de 24 h, 72 h y 1 mes, e involucra a la alta dirección. Decripte acompaña ese recorrido con gestión de riesgos, monitoreo y SOC, respuesta a incidentes y cumplimiento en la vertiente de Seguridad Normativa.
Fuentes
Decripte implementa el cumplimiento — sin que montes un equipo interno.
Diagnóstico de adecuación, controles técnicos auditables, pentest y documentación para el regulador/auditor. O empieza gratis viendo lo que ya está expuesto.
