NIS2: España está a avanzar en ciberseguridade, pero a maioría das empresas aínda non cumpren coa directiva europea.

Última actualización: 30/06/2025
Autor: Alberto navarro

  • O NIS2 eleva os requisitos de ciberseguridade para sectores críticos e empresas esenciais en España.
  • Só unha de cada tres empresas forma regularmente os seus empregados en ciberseguridade; as autopercepcións sobre a protección non se corresponden coa realidade.
  • A falta de talento especializado e a necesidade de investir en tecnoloxía e formación dificultan o cumprimento da normativa.
  • O incumprimento conleva multas e riscos operativos; a acción estruturada e a colaboración público-privada tórnanse esenciais.
NIS2

Desde a entrada en vigor do Directiva NIS2 En outubro de 2024, o Empresas españolas Están a enfrontarse a un dos maiores desafíos regulatorios en ciberseguridade dos últimos anos.Seis meses despois da súa aplicación, a realidade demostra que o nivel de cumprimento é claramente insuficiente en moitos sectores, o que preocupa tanto aos expertos como ás autoridades.

Aínda que a percepción de seguridade dentro das organizacións é alta, varios estudos de referencia reflicten unha desaxuste entre a autoconfianza percibida e as medidas eficaces realmente adoptadas polas empresas. Só o 34 % forma o seu persoal en ciberseguridade regularmente e máis dun cuarto non teñen ningunha persoa responsable, pero Máis do 70 % considera que está preparado contra as ameazas dixitais.

Obrigas clave e novas características do NIS2

Directiva NIS2

La Directiva NIS2 substitúe e amplía o alcance do seu predecesor de 2016, o que require un maior número de entidades, especialmente as consideradas esencial ou importante— despregar políticas rigorosas de análise de riscos, plans de continuidade empresarial e xestión de incidentes. Formación continua en todos os niveis, incluíndo as capas de xestión, convértese nun requisito legal.

Contido exclusivo - Fai clic aquí  Que é o algoritmo de cifrado DES?

Ademais, a lexislación impón a obriga de notificar calquera incidente grave nun prazo de 24 horas e eleva o listón nos aspectos organizativos, técnicos e de formación. Isto afecta a sectores tan diversos como a enerxía, o transporte, a banca, a saúde e as infraestruturas dixitais, que deben demostrar unha maior resiliencia ante ameazas cada vez máis complexas.

Dificultades de implementación e falta de talento

Un dos pescozo de botella máis relevante é o escaseza de profesionais cualificados en ciberseguridadeInformes de ENISA Advirten sobre a dificultade para cubrir postos clave en áreas como a análise forense, as operacións e a arquitectura de seguridade, tanto en España como no resto da Unión Europea. O impacto é especialmente preocupante en sectores cun baixo nivel de madurez dixital e alta criticidade, como a sanidade, as tecnoloxías da información e a administración pública.

As cifras oficiais indican que a taxa media de cumprimento entre as principais entidades apenas supera o 27 %, e só as que estaban reguladas previamente logran unha implementación superior ao 90 %. É fundamental fortalecer tanto a cultura organizativa de seguridade como a como os recursos asignados á xestión de riscos dixitais.

borrado seguro
Artigo relacionado:
Borrado seguro vs. eliminación tradicional: que ocorre exactamente cando se elimina un ficheiro

Requisitos técnicos, organizativos e humanos

Directiva de ciberseguridade NIS2 para España

A normativa esixe que as organizacións:

  • Implante políticas de análise de riscos e seguridade actualizada para os seus sistemas de información.
  • Ten dispoñible procedementos claros para incidentes, incluíndo plans de continuidade, recuperación ante desastres e xestión de crises.
  • Comproba a seguridade do cadea de subministración e xestionar activamente as relacións cos provedores críticos.
  • Controlar o ciclo de vida das redes e os sistemas, incluíndo o desenvolvemento e o mantemento seguros.
  • Avaliar periodicamente a eficacia das medidas adoptadas.
  • Asegurar o formación e sensibilización de todo o persoal, desde técnicos ata membros do equipo directivo.
  • Implementar controis de acceso, autenticación forte e, cando sexa necesario, criptografía para protexer a información.
  • Manter canles de comunicación seguras e políticas de xestión de activos e seguridade física.
Contido exclusivo - Fai clic aquí  Para que serve Orbot?

Estratexias e solucións para o cumprimento normativo

Para afrontar estes retos, as empresas non só deben investir en tecnoloxía, senón tamén desenvolver programas continuos de formación adaptada a todos os niveis e promover a gobernanza compartida entre as administracións e o sector privadoFerramentas como os sistemas de detección e resposta de endpoints (EDR/XDR), os servizos de monitorización xestionada (MDR) e as plataformas avanzadas de concienciación e formación son algúns dos recursos recomendados por expertos e empresas especializadas como Kaspersky.

Combinar solucións tecnolóxicas, auditorías frecuentes e unha estratexia de mellora continua é esencial para cumprir coas novas obrigas.Ademais, contar con socios tecnolóxicos fiables pode marcar a diferenza para acadar os estándares requiridos e reducir o risco de sancións.

Converxencia tecnolóxica
Artigo relacionado:
Cando todo se conecta: a converxencia tecnolóxica explicada con exemplos da vida real

Consecuencias do incumprimento

Multas de vídeo AI sen etiquetar-6

A lexislación española para a transposición do NIS2 contempla unha réxime sancionador moito máis estritoAs multas Cualificaranse segundo a gravidade do incumprimento e as inspeccións Centraranse especialmente en sectores estratéxicosA coordinación entre os organismos nacionais e europeos será intensiva para garantir unha supervisión eficaz.

Contido exclusivo - Fai clic aquí  Como me aseguro de que as miñas compras estean protexidas?

El O incumprimento destes requisitos pode resultar en sancións económicas elevadas., ademais de poñer en risco a reputación e a continuidade do negocio. Polo tanto, as organizacións de todos os tamaños deben revisar a súa preparación, reforzar a formación e contratar expertos para garantir o cumprimento dos prazos establecidos.

O cambio de paradigma imposto por NIS2 implica que a ciberseguridade xa non é só unha necesidade, senón unha obxectivo estratéxico clave na xestión empresarial. Integrar a xestión de riscos dixitais en todos os procesos e estruturas é esencial para garantir que as empresas non queden atrás no novo contexto europeo.