Skip to Content
Inicio Implantación SGSI NIS 2 · Sectores críticos UE
NIS 2

NIS 2: Sectores críticos UE

Refuerce la ciberseguridad de su organización según la Directiva UE 2022/2555, de aplicación obligatoria para sectores críticos y altamente críticos.

Directiva UE 2022/2555 · Esenciales e importantes · +20 años en cumplimiento normativo

Ciberseguridad de sectores críticos europeos

Transposición en curso · sanciones hasta 10 M€ o 2 % del volumen mundial
DIRECTIVA UE
Marcos relacionados con NIS 2
ISO 27001Base SGSI
DORASector financiero
ENSSector público español
RGPDDatos personales
ISO 22301Continuidad de negocio
NIST CSFCybersecurity Framework
10 M€ / 2 %
Sanción máxima entidades esenciales · Volumen mundial
10 medidas
Artículo 21 · Mínimo obligatorio
24 h / 72 h / 1 mes
Plazos de notificación de incidentes significativos
Esenciales/Importantes
Dos categorías · Según sector y tamaño

Cifras pendientes de validar con cliente.

QUÉ ES

¿Qué es NIS 2?

NIS 2 (Directiva UE 2022/2555) es la actualización de la Directiva NIS original que amplía significativamente el ámbito de aplicación, eleva los requisitos de gestión de riesgos de ciberseguridad y endurece las obligaciones de notificación de incidentes en sectores críticos para la economía y la sociedad.

Su transposición al ordenamiento jurídico español está en curso. Establece dos categorías de entidades (esenciales e importantes) con diferentes obligaciones y sanciones, y 10 medidas mínimas obligatorias en el artículo 21.

Sectores críticos UE

Energía, transporte, banca, salud, agua, infraestructura digital, administración pública, espacio.

Obligaciones por categoría

Entidades esenciales (sanciones hasta 10 M€) e importantes (hasta 7 M€).

Notificación obligatoria

Incidentes significativos en plazos 24h/72h/1 mes a CSIRT competente.

Cadena de suministro

Responsabilidad sobre la seguridad de los proveedores TIC críticos.

A QUIÉN APLICA

¿A quién aplica NIS 2?

Sectores de alta criticidad y otros sectores críticos según anexos I y II.

Energía · electricidad, gas, hidrógeno, petróleo, calefacción urbana
Transporte · aéreo, ferroviario, marítimo, carretera
Banca, infraestructura financiera y proveedores TIC del sector
Salud · hospitales, fabricantes de dispositivos médicos, laboratorios
Infraestructura digital · cloud, IXP, DNS, TLD, CDN, data centers
Administración pública, espacio, agua potable, aguas residuales, servicios postales

¿Su caso no aparece aquí? Cuéntenos su situación →

ENTREGABLES

¿Qué te aporta Grupo CFI?

Documentación auditable y acompañamiento en la adecuación a la Directiva NIS 2.

Informe de aplicabilidad NIS 2 INFORME
Análisis de riesgos de ciberseguridad
Plan de implantación medidas Art. 21 PLAN
Procedimiento notificación incidentes
Evidencias auditables por medida
Políticas y procedimientos NIS 2
Bolsa de horas de soporte continuo
ISO Director módulo NIS 2

Acompañamiento ante inspecciones del CSIRT competente y la autoridad nacional.

METODOLOGÍA

Hoja de ruta para la adecuación a NIS 2

Cinco pasos desde la determinación de aplicabilidad hasta la operativa continua.

1
APLICABILIDAD
Condición y sector

Determinación de entidad esencial o importante y del sector aplicable según anexos.

2
ANÁLISIS RIESGOS
Análisis de riesgos

Análisis de riesgos de ciberseguridad y diseño de medidas técnicas y organizativas.

3
ART. 21
10 medidas del artículo 21

Implantación de las 10 medidas mínimas · políticas, gestión incidentes, continuidad, cadena suministro, criptografía, RRHH, higiene cibernética, etc.

4
NOTIFICACIÓN
Procedimiento notificación

Procedimiento de notificación de incidentes significativos al CSIRT o autoridad competente con plazos 24h/72h/1 mes.

5
GOBERNANZA
Gobernanza

Responsabilidad de la dirección, formación obligatoria y supervisión continua.

BENEFICIOS

¿Por qué adecuarse a NIS 2?

Cuatro razones por las que NIS 2 es una oportunidad además de una obligación.

Evita sanciones graves

Hasta 10 M€ o 2% del volumen mundial para entidades esenciales · 7 M€ o 1,4% para importantes.

Refuerza la postura ciber

Reducción real del riesgo de ciberataques en sectores expuestos.

Marco UE armonizado

Facilita operar en múltiples Estados miembros con un solo marco.

Cadena de confianza

Inclusión preferente en proveedores de organismos críticos UE.

SOFTWARE PROPIO · INCLUIDO OPCIONAL

Gestione su cumplimiento de NIS 2 con ISO Director

Plataforma integral para mantener vivo su cumplimiento conforme a NIS 2. Desarrollada por nuestro equipo, utilizada por operadores de sectores esenciales e importantes.

Software propio · Incluido opcional
ISO Director

ISO Director

Centraliza documentación, evidencias, controles, auditorías y riesgos. Alineada con ISO 27001, ENS, TISAX, DORA y NIS 2.

  • Documentación viva con control de versiones
  • Análisis de riesgos guiado
  • Matriz SoA actualizable
  • Gestión de incidentes
  • Evidencias trazables
ISO Director · panel del SGSI integrado en un portátil
POR QUÉ CFI

Consultores para sectores regulados

Cuatro razones por las que sectores críticos confían en Grupo CFI para abordar la adecuación a NIS 2.

20+ años en SGSI

Consultoría a sectores regulados desde 2003.

Sectores críticos

Energía, sanidad, banca, administración y proveedores TIC.

Lead Auditor ISO 27001

Equipo con experiencia ante CSIRT y autoridades nacionales.

Certificaciones corporativas

ISO 9001, ISO 27001, ENS Alto e ISO 14001.

FAQ

Preguntas frecuentes sobre NIS 2

Las dudas más habituales sobre la adecuación a la Directiva UE de ciberseguridad.

¿Soy entidad esencial o importante?
Depende del sector y del tamaño. Esenciales: >250 empleados o >50 M€ facturación en sectores anexo I. Importantes: >50 empleados o >10 M€ facturación en sectores anexos I y II. El primer paso de la adecuación es esa determinación.
¿Cómo está la transposición en España?
La transposición al ordenamiento jurídico español está en curso. Mientras se publica la norma de transposición, las entidades afectadas deben prepararse con base directa en la Directiva UE. Le mantenemos actualizado sobre los cambios.
¿Cuáles son las 10 medidas mínimas del artículo 21?
Políticas de análisis de riesgos y seguridad, gestión de incidentes, continuidad y gestión de crisis, seguridad de la cadena de suministro, seguridad en adquisición/desarrollo, evaluación de eficacia, higiene cibernética y formación, criptografía, seguridad de RRHH, MFA y comunicaciones seguras.
¿Qué plazos hay para notificar incidentes significativos?
Alerta temprana en 24 horas, notificación del incidente en 72 horas, informe intermedio si el incidente continúa, informe final en 1 mes. La autoridad puede solicitar información adicional en cualquier momento.
¿Tengo que auditarme externamente?
NIS 2 no exige certificación, pero la autoridad puede inspeccionar y exigir auditorías independientes en entidades esenciales. Recomendamos auditorías periódicas que sirvan como evidencia y permitan responder con agilidad.
¿Es compatible con DORA si soy entidad financiera?
Sí, pero DORA prevalece sobre NIS 2 en materia de ciberseguridad TIC para entidades financieras. Si está en sector financiero, DORA es el marco principal y NIS 2 complementa en aspectos generales.
¿COMENZAMOS?

Prepare su organización para NIS 2 antes de la inspección.

Un diagnóstico inicial le dice exactamente qué le falta sobre las 10 medidas del artículo 21 y cómo organizarlo en un plan de adecuación realista. Hablemos sin compromiso.