NIS2 para Compliance (Entrada 3) Las obligaciones de NIS2 explicadas para Compliance: gobernanza, riesgo, cadena de suministro y notificación

 

NIS2 para Compliance (Entrada 3)

Las obligaciones de NIS2 explicadas para Compliance: gobernanza, riesgo, cadena de suministro y notificación

La Directiva NIS2 establece un marco de obligaciones que transforma la ciberseguridad en un deber de diligencia corporativa. No se trata de una lista de controles técnicos, sino de un sistema de gobernanza que exige supervisión, evidencia y responsabilidad.

Esta entrada desglosa las obligaciones de NIS2 desde la óptica del Compliance, con un enfoque operativo y no técnico. El objetivo es claro: que cualquier responsable de cumplimiento pueda entender qué exige la Directiva y cómo debe integrarse en el sistema de control interno.

1. Gobernanza: el órgano de dirección como responsable directo

NIS2 introduce un principio que cambia la arquitectura del riesgo en Europa:

El órgano de dirección es responsable de aprobar, supervisar y garantizar la implementación de las medidas de ciberseguridad.

Esto implica:

• supervisión activa y documentada,
• participación en la aprobación de políticas,
• formación obligatoria,
• responsabilidad personal en casos graves,
• trazabilidad de decisiones y reportes.

Para Compliance, esto supone:

• elevar la ciberseguridad al Consejo,
• integrar la supervisión en el mapa de riesgos,
• establecer un sistema de reporting periódico,
• documentar decisiones y evidencias.

NIS2 convierte la ciberseguridad en un asunto de gobernanza corporativa, no de departamentos técnicos.

2. Gestión del riesgo: el núcleo operativo de NIS2

La Directiva exige un sistema de gestión del riesgo que abarque toda la organización. No se trata de “tener medidas”, sino de gestionar el riesgo de forma continua y demostrable.

Las obligaciones incluyen:

2.1. Análisis de riesgos

Debe ser periódico, actualizado y documentado. Debe identificar activos críticos, amenazas, vulnerabilidades y escenarios de impacto.

2.2. Políticas de seguridad

La organización debe disponer de políticas formales, aprobadas por el órgano de dirección, que cubran:

• seguridad de la información,
• control de accesos,
• gestión de incidentes,
• continuidad de negocio,
• seguridad en la cadena de suministro,
• uso aceptable de sistemas,
• formación y concienciación.

2.3. Controles técnicos y organizativos

NIS2 no impone controles concretos, pero exige que sean:

• adecuados al riesgo,
• proporcionales,
• actualizados,
• auditables.

El ENS y las guías del CCN se convierten en referencias naturales.

2.4. Continuidad de negocio y recuperación

La organización debe garantizar:

• planes de continuidad,
• planes de recuperación,
• pruebas periódicas,
• mecanismos de redundancia.

2.5. Auditorías internas y externas

La Directiva exige capacidad de demostrar cumplimiento mediante:

• auditorías,
• informes,
• evidencias,
• trazabilidad documental.

3. Seguridad en la cadena de suministro: el nuevo frente regulatorio

NIS2 introduce una obligación que cambia la relación con proveedores:

Las organizaciones deben evaluar, gestionar y mitigar los riesgos de ciberseguridad derivados de sus proveedores críticos.

Esto implica:

3.1. Clasificación de proveedores

Identificar qué proveedores son críticos por:

• acceso a sistemas,
• tratamiento de información sensible,
• impacto en la continuidad del negocio.

3.2. Exigir garantías contractuales

Los contratos deben incluir:

• obligaciones de seguridad,
• niveles de servicio,
• requisitos de notificación de incidentes,
• derechos de auditoría,
• medidas de continuidad.

3.3. Verificación y supervisión

No basta con exigir: hay que verificar.

• cuestionarios,
• auditorías,
• certificaciones,
• revisiones periódicas.

3.4. Documentación de la supervisión

La evidencia es clave: si no está documentado, no existe.

4. Notificación de incidentes: un régimen más estricto que GDPR

NIS2 establece un sistema de notificación en tres fases:

4.1. Notificación temprana (24 horas)

Debe incluir:

• indicios del incidente,
• impacto potencial,
• medidas iniciales adoptadas.

4.2. Informe detallado (72 horas)

Debe incluir:

• análisis preliminar,
• alcance,
• sistemas afectados,
• impacto real o probable,
• medidas de contención.

4.3. Informe final (1 mes)

Debe incluir:

• análisis completo,
• causas raíz,
• impacto final,
• medidas correctivas,
• lecciones aprendidas.

Para Compliance, esto exige:

• un protocolo interno claro,
• roles definidos,
• coordinación entre áreas,
• simulacros,
• trazabilidad documental.

5. Cooperación con autoridades y supervisión reforzada

NIS2 establece un marco de supervisión más estricto:

• requerimientos de información,
• auditorías obligatorias,
• inspecciones,
• medidas correctivas,
• sanciones significativas.

Las organizaciones deben estar preparadas para demostrar cumplimiento en cualquier momento.

6. Formación y cultura corporativa

La Directiva exige que:

• el órgano de dirección reciba formación específica,
• los empleados reciban formación periódica,
• exista una cultura de seguridad transversal.

La ciberseguridad deja de ser un asunto técnico y se convierte en un componente cultural.

7. Documentación y evidencia: el lenguaje del Compliance

NIS2 exige un sistema de evidencia que permita demostrar:

• decisiones,
• análisis,
• políticas,
• auditorías,
• supervisión,
• acciones correctivas.

La documentación es el puente entre la norma y la responsabilidad.

8. Conclusión: NIS2 exige un Compliance más estratégico

Las obligaciones de NIS2 no son técnicas: son estructurales. Afectan a la gobernanza, al riesgo, a la cadena de suministro, a la continuidad y a la cultura corporativa.

Para Compliance, esto significa:

• liderar la integración,
• coordinar áreas,
• preparar evidencia,
• anticipar la supervisión,
• y garantizar que la organización actúa con diligencia debida.

En la próxima entrada analizaremos qué deberían estar haciendo ya las empresas españolas, incluso antes de que la transposición esté completa.