Cómo cumplir con los requisitos NIS2 con soluciones modernas de red y seguridad
15/07/2025 de News Team
La necesidad de reforzar la ciberseguridad es innegable. Según los expertos en datos globales de Statista, los delitos cibernéticos se sitúan cada vez más entre los delitos más frecuentes y perjudiciales de nuestro tiempo. En respuesta a esta creciente amenaza, la Unión Europea (UE) ha actualizado la Directiva NIS2 para abordar mejor el complejo panorama actual de la ciberseguridad y garantizar una protección más amplia a las empresas y organizaciones.
1. ¿Qué es la Directiva NIS2?
La NIS2 es una modificación de la "Directiva sobre seguridad de las redes y la información (Network and Information Security Directive (NIS), según sus siglas en inglés), cuyo objetivo es elevar el nivel de ciberseguridad en todos los Estados miembros de la Unión Europea y hacer que ésta sea más resistente a la ciberdelincuencia.
Con los nuevos requisitos de la NIS2 para las empresas, más sectores tendrán que analizar sus medidas de seguridad y adaptarse a normas de seguridad más estrictas. Tendrán que mejorar la respuesta ante incidentes y potenciar el intercambio de información entre los Estados miembros. El objetivo es crear un nivel de ciberseguridad unificado y más sólido. Sin embargo, la Directiva NIS2 no necesariamente exige una revisión completa de las medidas de ciberseguridad existentes. En muchos casos, se trata de perfeccionar áreas específicas y mejorar los procedimientos existentes. Es posible que las empresas también estén infrautilizando las herramientas de las que ya disponen, especialmente en la nube. Antes de invertir en nuevos sistemas, es importante considerar cómo se pueden reforzar las soluciones actuales.
En comparación con la directiva original, la NIS2 es más sólida que su predecesora y afecta a una gama más amplia de sectores, incluidos los fabricantes de productos críticos, la administración pública y el sector espacial. Introduce un sistema de dos niveles, que clasifica a las organizaciones como "entidades esenciales" (anexo I) o "entidades importantes" (anexo II), con diferentes obligaciones, niveles de supervisión y sanciones en función de esta clasificación. Además, la Directiva NIS2 impone medidas de seguridad más estrictas y sanciones significativamente más elevadas para garantizar su cumplimiento. También traslada la responsabilidad de los departamentos de TI a los altos directivos, que podrían enfrentarse a la difusión pública o a la prohibición de desempeñar funciones en el futuro si se descubre que no cumplen con la normativa.
Si bien la Directiva NIS2 establece una base para los requisitos de ciberseguridad, es importante señalar que la legislación local de cada Estado miembro de la UE tiene la autoridad de reforzar la directiva o ampliar su alcance. Por ejemplo, pueden imponer responsabilidades adicionales o ampliar los sectores a los que se aplicará la directiva. Los Estados miembros de la UE tenían hasta el 17 de octubre de 2024 para integrar la NIS2 en sus legislaciones nacionales. Para ello, cada Estado debía elaborar y publicar sus planes de cumplimiento. Ahora, cada país está estableciendo plazos específicos para las organizaciones dentro de sus fronteras. Por tanto, no existe un plazo de cumplimiento único para toda la UE. Los plazos varían según el país, y la mayoría de ellos están previstos para 2025, algunos incluso hasta principios de 2026.
2. Aplicabilidad de la NIS2: ¿A quién afecta?
Aproximadamente 160.000 organizaciones de toda la Unión Europea están afectadas por la Directiva NIS2. La cuestión de qué tipo de empresas están sujetas a la Directiva NIS2 viene determinada por el sector en el que operan y su tamaño.
Clasificación por sectores:
- Entidades esenciales: Organizaciones cruciales para el mantenimiento de infraestructuras y servicios críticos. Su interrupción podría tener graves consecuencias para la sociedad y la economía.
- Entidades importantes: Organizaciones que prestan servicios importantes, pero menos críticos que las "entidades esenciales". Su interrupción podría tener un impacto considerable.
| Entidades esenciales | Entidades importantes |
|---|---|
| Energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC (B2B), administración pública, sector espacial. | |
| Productos químicos, proveedores digitales, servicios postales y de mensajería, gestión de residuos, alimentación (producción, procesamiento, distribución), fabricación, investigación. | |
| Energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC (B2B), administración pública, sector espacial. | Productos químicos, proveedores digitales, servicios postales y de mensajería, gestión de residuos, alimentación (producción, procesamiento, distribución), fabricación, investigación. |
Criterio de tamaño:
- Micro: >10 empleados y >2 millones de euros de facturación o balance
- Mediana: >50 empleados y >10 millones de euros de facturación o balance
- Grande: >250 empleados y >50 millones de euros de facturación o >43 millones de euros de balance
Para estar sujeta a la NIS2, una entidad debe cumplir tanto los criterios basados en el sector como los basados en el tamaño.
3. Objetivos y obligaciones fundamentales
Los nuevos requisitos de la NIS2 tienen por objeto reforzar la resiliencia de los Estados miembros de la UE frente a las amenazas a la ciberseguridad. Los objetivos están diseñados para garantizar que los servicios esenciales prestados por las empresas y las autoridades públicas estén mejor protegidos contra interferencias maliciosas, pérdidas de datos e interrupciones operativas.
La directiva define las obligaciones y la supervisión en función de la categorización de las organizaciones:
- Entidades esenciales: deben cumplir con todo el alcance de la NIS2, someterse a una supervisión proactiva (ex ante), notificar los incidentes al CSIRT en el plazo especificado y realizar auditorías independientes.
- Entidades importantes: deben aplicar medidas de seguridad basadas en el riesgo de forma independiente y verificarlas mediante autoevaluación. Están sujetas a una supervisión reactiva (ex post), con medidas en caso de incidentes o incumplimiento.
Las empresas pueden garantizar el cumplimiento de la NIS2 aplicando medidas estrictas de ciberseguridad, entre las que se incluyen:
- Políticas de gestión de riesgos y seguridad
- Notificación de incidentes (en un plazo de 24 horas, informe completo en un plazo de 72 horas)
- Continuidad del negocio y gestión de crisis
- Seguridad de la cadena de suministro
- Responsabilidad de la dirección
Con la NIS2, la ciberseguridad se convierte en una prioridad a nivel directivo. Los responsables deben supervisar activamente el cumplimiento y la gestión de riesgos, garantizando que sus propios servicios y los de sus proveedores cumplan con normas estrictas.
Más allá de limitarse a adaptarse a las nuevas normativas, las empresas deben procurar fomentar y promover una cultura de seguridad, en la que los empleados de todos los niveles de la empresa participen activamente en la protección tanto de las operaciones como de los datos.
4. Responsabilidad y sanciones
La Directiva NIS2 define varias sanciones para las organizaciones que no cumplan con sus requisitos. La responsabilidad recae sobre todos, desde los profesionales de TI hasta los altos ejecutivos. Esto significa que la alta dirección debe garantizar una gestión y supervisión eficaces de los riesgos.
El incumplimiento puede afectar gravemente a las empresas, incluyendo:
- Consecuencias financieras: Multas, obligación de realizar inversiones en seguridad
- Consecuencias para el negocio: Atención en el cumplimiento, supervisión normativa, suspensiones de licencias
- Daño reputacional: Requerimiento de difusión pública
- Consecuencias ejecutivas: Multas, responsabilidad penal y prohibición de ejercer funciones
Las sanciones financieras que se pueden imponer por incumplimiento son:
- Hasta 10 millones de euros o el 2 % de los ingresos anuales globales de la empresa para las entidades esenciales
- Hasta 7 millones de euros o el 1,4 % para las entidades importantes
5. Pasos para lograr el cumplimiento de la NIS2
Es fundamental comprender si su organización está clasificada como entidad esencial o importante según la Directiva NIS2. Para que el proceso sea más manejable y cumplir con los requisitos de la NIS2, céntrate en tres áreas clave:
- Servicios de consultoría y procesos: aborda las necesidades técnicas de seguridad, establece políticas y procedimientos exhaustivos e implementa cambios operativos para garantizar el cumplimiento.
- Tecnología y soluciones/servicios gestionados: Implementa herramientas de seguridad avanzadas, proporciona supervisión y actualizaciones continuas, y respalda el cumplimiento con la aplicación automatizada.
- Supervisión y validación de la seguridad: Supervisa continuamente los sistemas, valida las medidas de seguridad mediante pruebas y auditorías, y garantiza la notificación oportuna de incidentes.
Al concentrarse en estos tres elementos, puedes simplificar tu enfoque del cumplimiento de la NIS2 y reforzar la resiliencia de tu organización.
6. Cómo ayuda Deutsche Telekom a las empresas a cumplir los requisitos de la NIS2
Ahora es el momento de que las empresas evalúen sus estrategias de ciberseguridad y actúen. Hay algunas medidas sencillas que las empresas pueden llevar a cabo, como nombrar a un responsable de ciberseguridad, establecer políticas y responsabilidades claras y realizar una auditoría de ciberseguridad dentro de la empresa.
Independientemente del enfoque que se adopte, es importante tener en cuenta que la Directiva NIS2 no se limita a imponer más regulaciones a las empresas. Se trata más bien de ayudar a las organizaciones a proteger sus datos y su negocio, lo que debería ser una prioridad máxima para casi cualquier empresa.
Las soluciones de Deutsche Telekom se ajustan a todos los requisitos pertinentes de la NIS2, lo que proporciona una base sólida para el cumplimiento por defecto. Entre ellas, destacan SD-WAN (Software-Defined Wide Area Networking) y SASE (Secure Access Service Edge) como potentes facilitadores para las organizaciones que desean cumplir las exigencias de ciberseguridad de la directiva.
Una base sólida en redes seguras, escalables y gestionadas de forma centralizada, como la que proporcionan estas tecnologías, es fundamental para cumplir los requisitos de la NIS2 en materia de gestión de riesgos, acceso seguro y visibilidad de la red.
SD-WAN garantiza una conectividad resistente y cifrada, así como un control centralizado en entornos distribuidos.
- SASE ofrece funciones de seguridad nativas de la nube, como Zero Trust Network Access (ZTNA), Secure Web Gateways y Cloud Access Security Brokers, todas ellas esenciales para proteger los datos y a los usuarios en un entorno de trabajo híbrido.
Pero el cumplimiento normativo no se limita a la arquitectura, sino que requiere una excelencia operativa. Ahí es donde la experiencia en ciberseguridad de Deutsche Telekom completa la foto final. Con el mayor centro de operaciones de seguridad y defensa cibernética (SOC) de Europa, que supervisa más de mil millones de puntos de datos al día, Deutsche Telekom ofrece detección de amenazas, respuesta a incidentes y gestión de vulnerabilidades 24/7.
Los servicios de ciberseguridad incluyen pruebas de penetración automatizadas, auditorías de cumplimiento y formaciones de concienciación sobre seguridad, y todo ello respalda directamente las reglas de la NIS2 en materia de medidas técnicas y organizativas.
SD-WAN y SSE, en conjunto (la parte de redes y seguridad de SASE), convergen en una arquitectura integral y nativa de la nube que no solo ayuda a las organizaciones a cumplir con las obligaciones de la NIS2, sino que también les permite construir un futuro digital más seguro y resiliente.
La siguiente tabla resume cómo los componentes clave de SASE respaldan directamente los requisitos específicos de NIS2, especialmente en áreas como el control de acceso, la prevención de amenazas y la seguridad en la nube.
| Característica de SASE | Requisito de NIS2 abordado | Artículo relevante de la NIS2 |
|---|---|---|
| Zero Trust Network Access (ZTNA)Cloud-delivered Firewall as a Service (FWaaS)Secure Web Gateway (SWG)Cloud Access Security Broker (CASB)Threat Intelligence IntegrationContinuous Monitoring & Logging | ||
| Control de acceso basado en la identidad, segmentaciónDefensa perimetral, prevención de amenazasFiltrado de contenido, bloqueo de malwareVisibilidad en la nube, cumplimiento normativoMitigación proactiva de riesgosDetección y respuesta ante incidentes | ||
| Artículo 21(2)(a) – Análisis de riesgos y políticas de seguridadArtículo 21(2)(d) – Gestión de la cadena de suministro y de activosArtículo 21(2)(e) – Gestión de incidentes de seguridadArtículo 21(2)(g) – Seguridad en redes y sistemas de informaciónArtículo 7 – Intercambio de información sobre amenazas cibernéticasArtículo 23 – Gestión y notificación de incidentes | ||
| Zero Trust Network Access (ZTNA) | Control de acceso basado en la identidad, segmentación | Artículo 21(2)(a) – Análisis de riesgos y políticas de seguridad |
| Cloud-delivered Firewall as a Service (FWaaS) | Defensa perimetral, prevención de amenazas | Artículo 21(2)(d) – Gestión de la cadena de suministro y de activos |
| Secure Web Gateway (SWG) | Filtrado de contenido, bloqueo de malware | Artículo 21(2)(e) – Gestión de incidentes de seguridad |
| Cloud Access Security Broker (CASB) | Visibilidad en la nube, cumplimiento normativo | Artículo 21(2)(g) – Seguridad en redes y sistemas de información |
| Threat Intelligence Integration | Mitigación proactiva de riesgos | Artículo 7 – Intercambio de información sobre amenazas cibernéticas |
| Continuous Monitoring & Logging | Detección y respuesta ante incidentes | Artículo 23 – Gestión y notificación de incidentes |
En lo que respecta a SD-WAN, la siguiente tabla muestra cómo las características relacionadas con la red contribuyen al cumplimiento de NIS2 al mejorar la resiliencia de la red, la visibilidad y el flujo seguro de datos en entornos distribuidos.
| Función SD-WAN | Requisito NIS2 abordado | Artículo relevante |
|---|---|---|
| Gestión centralizadaRouting para aplicacionesCifrado y segmentaciónConectividad resilienteAnalíticas en tiempo real | ||
| Simplifica el cumplimiento normativo y la auditoríaGarantiza la continuidad del servicioProtección de datos, aislamientoRedundancia, tiempo de actividadSoporta respuesta ante incidentes | ||
| Artículo 21(2)(h) - Criptografía y configuraciones segurasArtículo 21(2)(f) - Continuidad del negocio y gestión de crisisArticle 21(2)(h) - Criptografía y comunicación seguraArticle 21(2)(f) - Continuidad del negocioArticle 23(1) - Detección temprana y reporte | ||
| Gestión centralizada | Simplifica el cumplimiento normativo y la auditoría | Artículo 21(2)(h) - Criptografía y configuraciones seguras |
| Routing para aplicaciones | Garantiza la continuidad del servicio | Artículo 21(2)(f) - Continuidad del negocio y gestión de crisis |
| Cifrado y segmentación | Protección de datos, aislamiento | Article 21(2)(h) - Criptografía y comunicación segura |
| Conectividad resiliente | Redundancia, tiempo de actividad | Article 21(2)(f) - Continuidad del negocio |
| Analíticas en tiempo real | Soporta respuesta ante incidentes | Article 23(1) - Detección temprana y reporte |
Servicios de seguridad adaptados a los artículos de la NIS2
Mientras que SASE y SD-WAN le proporcionan la arquitectura y la conectividad, los servicios de ciberseguridad de Deutsche Telekom aportan la capacidad operativa necesaria para cumplir los requisitos más exigentes de la NIS2. A continuación te explicamos cómo:
| Servicios de ciberseguridad | What It Does | NIS2 Requirement Addressed | Relevant Article |
|---|---|---|---|
| Director virtual de Seguridad de la Información (vCISO)Backup-as-a-Service (BaaS)Disaster Recovery-as-a-Service (DRaaS)Detección de amenazas & respuestaGestión de vulnerabilidadesPenetration Testing & Auditorías de ComplianceFormación en Security Awarness | |||
| Provides executive-level cybersecurity leadership and strategyEnables rapid data restoration and protection against data lossEnsures rapid recovery from cyber incidents or disastersDetects and mitigates threats in real timeValidates security posture and readinessEducates staff to reduce human error and insider threats | |||
| Governance, risk management, and compliance oversightBusiness continuity and data availabilitySystem resilience and recovery planningIncident response and containmentTechnical risk mitigationCompliance verification and enforcementHuman factor risk mitigation | |||
| Article 21(1)Article 21(2)(f)Article 21(2)(f)Article 23(1)Article 21(2)(d)Article 29Article 21(2)(c) | |||
| Director virtual de Seguridad de la Información (vCISO) | Provides executive-level cybersecurity leadership and strategy | Governance, risk management, and compliance oversight | Article 21(1) |
| Backup-as-a-Service (BaaS) | Enables rapid data restoration and protection against data loss | Business continuity and data availability | Article 21(2)(f) |
| Disaster Recovery-as-a-Service (DRaaS) | Ensures rapid recovery from cyber incidents or disasters | System resilience and recovery planning | Article 21(2)(f) |
| Detección de amenazas & respuesta | Detects and mitigates threats in real time | Incident response and containment | Article 23(1) |
| Gestión de vulnerabilidades | Validates security posture and readiness | Technical risk mitigation | Article 21(2)(d) |
| Penetration Testing & Auditorías de Compliance | Educates staff to reduce human error and insider threats | Compliance verification and enforcement | Article 29 |
| Formación en Security Awarness | Human factor risk mitigation | Article 21(2)(c) |
Para cumplir con la normativa NIS2 no basta con herramientas fragmentadas, sino que se requiere un enfoque integrado y estratégico. Al combinar SD-WAN, SASE y sólidas capacidades de seguridad operativa, las organizaciones pueden crear una arquitectura de ciberseguridad integral que no solo cumpla con los requisitos normativos, sino que también refuerce la resiliencia y la agilidad operativa.
7. Por qué elegir Deutsche Telekom
Deutsche Telekom tiene el compromiso de ayudar a las empresas a afrontar estos nuevos retos y a cumplir los requisitos de la Directiva NIS2. Nuestra misión es garantizar la seguridad de tus operaciones en un panorama digital muy cambiante, ¡porque tu ciberseguridad es nuestro negocio!
Hay muchas buenas razones para elegir Deutsche Telekom para que tu empresa sea más segura:
- Seguridad en nuestro ADN: Ya sea la protección de dispositivos móviles, el análisis de vulnerabilidades, la gestión de identidades y accesos, la detección y supervisión inteligente de intrusiones, nuestra completa biblioteca de amenazas o nuestra red global de centros de operaciones de seguridad (SOC), la seguridad está profundamente arraigada en todo lo que hacemos.
- Experiencia: Desde la conectividad hasta los servicios en la nube y la asistencia 24/7, sabemos cómo operar y proteger de forma segura la infraestructura TIC crítica para el negocio de principio a fin para todo tipo de sectores y el sector público desde hace décadas.
- Ecosistema líder: Nuestro ecosistema de partners está formado por los principales proveedores de tecnología en las áreas de seguridad, overlay de redes definidas por software y servicios en la nube.
- Alcance global, toque local: con oficinas en 28 países, prestamos servicio a clientes a escala global combinando nuestro conocimiento y experiencia locales.
- Sostenibilidad por principio: durante más de dos décadas, la responsabilidad medioambiental y social han sido aspectos esenciales de nuestra actividad diaria y parte integral de nuestro gobierno corporativo.
La Directiva NIS2 no es solo un requisito legal, sino una oportunidad estratégica. Al alinear las prácticas de ciberseguridad con la NIS2, las organizaciones pueden reducir el riesgo, evitar sanciones y generar confianza y resiliencia en todas sus operaciones.
Aprovecha la oportunidad para evaluar cómo de preparada está tu organización para cumplir con la NIS2
Ponte en contacto con nuestros expertos en redes y ciberseguridad hoy mismo a través del formulario de contacto para programar una consulta gratuita y comenzar tu proceso de cumplimiento.