Noticias Opinión Entrevistas Casos de Éxito Encuentros Especiales Vídeos Webinar ¿Quién es Quién? La Guía del ISV

noticias

Las 10 tecnologías obligatorias para cumplir con NIS2

Home Seguridad
Dirección copiada

La directiva NIS2, que está a punto de aprobarse definitivamente en España y que refuerza las exigencias de protección de empresas que operan en sectores críticos, supone mejorar aspectos como la gestión de riesgos, la seguridad de la cadena de suministro, la notificación de incidentes o la formación de los empleados

Publicado el 22 jul 2025
NIS2 Europa

NIS2 es uno de los temas de conversación en el ámbito de la ciberseguridad en los dos últimos años. Aunque la aprobación definitiva en España de esta directiva europea destinada a reforzar la protección de las empresas y las instituciones de sectores críticos se ha retrasado, todo indica que será durante este año cuando definitivamente se apruebe el anteproyecto de ley que regula esta cuestión.  

En concreto, NIS2 afecta a compañías que operan en un total de 18 sectores, considerados esenciales -como energía, banca o salud- o críticos -como química, alimentación o fabricación-. El no cumplimiento de esta regulación puede conllevar sanciones de hasta 10 millones de euros o el 2% de la facturación, en el caso de las primeras, y de 7 millones o el 1,4% del volumen de negocio, para las segundas.

En este post, y con la ayuda de Fibratel, identificamos los tipos de soluciones que, en función de la madurez de seguridad de cada organización, serán necesarias para la adecuación a la normativa:

Gestión de riesgos

Las empresas necesitan identificar y evaluar los riesgos para establecer procedimientos que les permitan mejorar su postura de ciberseguridad. Para ello necesitarán soluciones que faciliten la evolución de continua tanto de los riesgos técnicos como humanos, y la definición de políticas centralizadas y obtener una visibilidad completa para su adecuada gestión. No hay que olvidarse de la evaluación y control de las amenazas procedentes de la nube.

Respuesta a incidentes y continuidad de negocio

Con NIS2 se convierte en necesaria la monitorización para mejorar la detección de amenazas y agilizar la respuesta ante incidencias para evitar la parada de las operaciones. En este punto, tanto para proteger los entornos cloud como on-premise, son necesarias soluciones o plataformas que detecten las amenazas, proporcionen alertas y automaticen la reacción.

Seguridad de la cadena de suministro

Las empresas deben proteger sus cadenas de suministro, físicas o digitales, contra posibles ataques. Aquí entran en juego soluciones de segmentación de red para aislar proveedores, herramientas de evaluación de la seguridad de terceros y productos de protección frente a la suplantación de identidad de proveedores, así como de control de acceso a aplicaciones SaaS de otras empresas.

Divulgación de vulnerabilidades

La norma exige establecer mecanismos para reportar y gestionar las vulnerabilidades de forma responsable. Para cumplir este requerimiento, se precisan soluciones para la identificación las vulnerabilidades susceptibles de ser explotadas, la detección de configuraciones inseguras en la nube y plataformas de inteligencia de amenazas y CVEs, entre otras.

Autenticación multifactor y cifrado de datos en tránsito y reposo

Es necesario también aplicar estas técnicas para proteger el acceso y la integridad de la información, con soluciones para este propósito.

Formación en ciberseguridad

La ley exige políticas de ciberhigiene y formación en ciberseguridad para todos los empleados, tanto para los más técnicos como para el resto de la plantilla. En este ámbito se puede recurrir a plataformas de formación y concienciación, que ofrecen recursos educativos y de simulación de ataques, e incluso existen herramientas que emiten alertas en tiempo real para usuarios que violan las políticas corporativas.

Notificación de incidentes

Con esta norma, las incidencias importantes tendrán que notificarse en 24 horas y las menos relevantes en 72. Por tanto, deberán definirse planes efectivos de respuesta y procedimientos claros de notificación. Existen soluciones que generan alertas automáticas e informes para cumplimiento, y otras que emiten notificaciones en tiempo real de violaciones de políticas, así como herramientas de filtrado de incidentes y de integración de sistemas de ticketing y notificación.

Gobernanza y responsabilidad de la alta dirección

Algo novedoso en esta regulación es que la dirección de la empresa debe asumir responsabilidad directa sobre el cumplimiento. Por esta razón, será importante disponer de herramientas que generen dashboards ejecutivos e informes de cumplimiento, y que evalúen el riesgo humano y la exposición de ejecutivos.

Supervisión continua de los sistemas y auditorías de seguridad

La ley lo exige para detectar y corregir posibles fallos. Para ello, existen soluciones de monitorización y auditoría, registro de eventos, telemetría continua y análisis forense y visibilidad completa del tráfico cloud y de las TI en la sombra.

Cooperación internacional y sectorial

Esto implica compartir la inteligencia de amenazas y una colaboración estrecha con los organismos de ciberseguridad.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

Redacción Channel Partner

Leer también:

Temas

Canales

Artículos relacionados

  • DORA mapa de Europa

  • especiales

    ¿Qué es el reglamento DORA?

    16 Ene 2025

    por Redacción Channel Partner

    Compartir
  • Daniel Sánchez, subdirector general de Depau

  • entrevistas

    Daniel Sánchez (Depau): "El año pasado vendimos más de 220.000 smartphones"

    15 Ene 2025

    por Juan Cabrera

    Compartir