Cuatro Puntos Clave de la normativa
1. Clasificación de las organizaciones: La normativa clasifica a las entidades afectadas en dos categorías principales: esenciales e importantes. Dependiendo de esta clasificación, las empresas están sujetas a distintos regímenes de supervisión y diferentes niveles de sanciones.
2. Gestión de riesgos y medidas de seguridad: Las entidades comprendidas en su ámbito están obligadas a gestionar activamente sus riesgos de ciberseguridad mediante la implementación de medidas técnicas, operativas y organizativas. Además, se introduce la obligación de tener en cuenta y gestionar los riesgos derivados de su cadena de suministro TIC.
3. Notificación estricta de incidentes: La normativa fija plazos concretos para que las entidades esenciales e importantes notifiquen sin demora cualquier incidente de ciberseguridad que tenga un impacto significativo operativo o económico a su CSIRT de referencia o autoridad competente.
4. Endurecimiento de las sanciones y responsabilidades: Se endurecen las medidas punitivas en caso de incumplimiento de la normativa, otorgando a las autoridades una lista mínima de poderes coercitivos que van desde requerimientos y apercibimientos hasta la imposición de multas administrativas. Además, la alta dirección de las entidades es considerada responsable última de la gestión de estos riesgos, pudiendo enfrentarse a prohibiciones temporales para ejercer funciones directivas si no cumplen los requisitos.
¿Cómo impulsa Sumelco Innova el cumplimiento de la Directiva NIS2 en entornos industriales?
Auditoría de Capa Física y Lógica (Análisis de Riesgos): Realizamos un diagnóstico profundo de la salud de la red OT, analizando desde la integridad de la señal en buses de campo hasta la arquitectura de red local (LAN).
Segregación de redes y comunicaciones ciberseguras: La normativa exige gestionar los riesgos y separar las redes OT e IT. En Sumelco utilizamos el Tunneling de Cogent DataHub, que emplea un modelo Maestro/Esclavo donde el esclavo inicia la conexión, eliminando la necesidad de abrir puertos de entrada en el firewall de la planta (Zero Open Inbound Ports).
Conectividad y acceso remoto seguro: Minimizamos la superficie de exposición durante las tareas de mantenimiento. Suministramos Routers M2M e IoT Gateways de grado industrial que establecen túneles cifrados (IPsec/OpenVPN/Wireguard) con autenticación robusta, garantizando que el acceso de terceros esté restringido y auditado según los nuevos requisitos de seguridad de la cadena de suministro.
Visibilidad de activos y gestión de Vulnerabilidades: La NIS2 obliga a mantener un inventario de activos actualizado. Nuestras soluciones de hardware y software realizan escaneos de topología de Capa 2 y Capa 3, identificando dispositivos críticos, versiones de firmware y nodos no autorizados (Rogue Devices) sin interferir en los ciclos de scan de los PLCs..
Monitorización continua y detección de anomalías: La detección temprana es un pilar de la directiva. Mediante el INspektor, realizamos una monitorización pasiva (Deep Packet Inspection) las 24/7. Esta herramienta detecta:Variaciones en el Jitter y tiempos de ciclo. Aparición de telegramas de error o reintentos de comunicación, patrones de tráfico anómalos que podrían indicar un movimiento lateral o un intento de intrusión.
Respuesta ante Incidentes y Telemetría Forense (Alerting): Automatizamos la cadena de notificación exigida por NIS2. Nuestros equipos integran protocolos de telemetría (SNMP Traps, MQTT, Webhooks) para enviar alertas en tiempo real hacia centros de control o SIEM/SOC. Esto garantiza que cualquier desviación del comportamiento base de la red se convierta en una acción correctiva inmediata con trazabilidad completa.
Auditoría y Documentación periódica: Para demostrar ante los auditores que se están aplicando prácticas básicas de “ciberhigiene” y control, la función de Informes automatizados (Automated report) de nuestra solución genera documentos regulares sobre el estado, la carga y la salud de la red, facilitando el cumplimiento de los registros exigidos por la ley.
Dudas habituales sobre como aplicar la NIS2 a tu empresa
¿QUE ES LA NIS2?
La Directiva NIS2 es una ley de ciberseguridad de la Unión Europea que exige a las organizaciones esenciales e importantes mejorar su resiliencia frente a ciberataques. Sustituye a la Directiva NIS original de 2016 y amplía el alcance de los requisitos de ciberseguridad a más sectores.
¿A QUIEN APLICA LA NORMATIVA NIS2?
NIS2 se aplica a empresas medianas y grandes (más de 50 empleados o una facturación superior a 10 millones de euros) que operan en sectores críticos como la fabricación, la energía, la sanidad, la infraestructura digital y el transporte. Las organizaciones se clasifican como entidades esenciales o importantes, en función de su nivel de criticidad.
¿CUALES SON LOS REQUERIMIENTOS BÁSICOS DE LA NORMATIVA NIS2?
NIS2 exige a las empresas garantizar la responsabilidad de la dirección, implementar medidas técnicas y organizativas de ciberseguridad, y notificar los incidentes que tengan un impacto significativo en sus servicios. Estas medidas incluyen controles de acceso, respuesta ante incidentes, continuidad del negocio y gestión de riesgos en la cadena de suministro.
¿QUE CONSECUENCIAS TIENE NO CUMPLIR CON LA NORMATIVA NIS2?
El incumplimiento puede dar lugar a auditorías, medidas de ejecución y sanciones administrativas. La gravedad depende de factores como la naturaleza de la infracción, la respuesta de la organización y si hubo negligencia.
Las multas pueden alcanzar hasta 10 millones de euros o el 2 % de la facturación global para las entidades esenciales; y hasta 7 millones de euros o el 1,4 % para las entidades importantes.
