NIS2: todo lo que debes saber sobre la ley de ciberseguridad y la compra de software
NIS2 es la ley europea de ciberseguridad más importante en años. Para las organizaciones en sectores críticos, hay muchos cambios, también en materia de compra de software y gestión de proveedores. Esto es todo lo que necesitas saber.
- 15 de enero de 2025
- 5 min
- NIS2 – Directiva de Ciberseguridad
La directiva NIS2 es la ley europea de ciberseguridad más relevante en años. Tiene un alcance amplio, una aplicación estricta y es directamente relevante para todos los responsables de la compra de software en una organización. Esto es lo que debes saber.
¿Qué es NIS2?
NIS2 significa Network and Information Security Directive 2, el sucesor de la directiva original NIS de 2016. Esta directiva obliga a las organizaciones de sectores críticos a reforzar de forma estructural su resiliencia digital. NIS2 entra en vigor en toda Europa el 17 de octubre de 2024. La implementación en Países Bajos a través de la Ley de Ciberseguridad se espera para el segundo trimestre de 2026.
¿A quién aplica NIS2?
NIS2 se aplica a organizaciones de 18 sectores críticos, divididos en entidades esenciales e importantes. Algunos ejemplos son: energía, transporte, salud, agua, infraestructura digital, servicios financieros, sector público y más. Pero también los proveedores de las organizaciones de estos sectores pueden estar indirectamente bajo la ley debido a la obligación de control de la cadena de suministro.
¿Qué cambia respecto a NIS1?
Los principales cambios son:
Mayor alcance: Muchísimos más sectores y organizaciones entran ahora en el ámbito de la directiva
Responsabilidad personal: Los directivos son responsables del cumplimiento y pueden ser personalmente responsables
Multas más elevadas: Hasta 10 millones de euros o el 2 % de la facturación mundial anual para entidades esenciales
Obligación de control de la cadena: Las organizaciones deben supervisar también la seguridad de sus proveedores
Obligación de notificación: Los incidentes deben notificarse en un plazo de 24 horas al CSIRT
¿Qué implica NIS2 para la compra de software?
La obligación de control de la cadena es el impacto más directo en la compra de software. Las organizaciones están obligadas a:
Mantener un registro actualizado de todos los proveedores de TIC y software
Establecer acuerdos contractuales de seguridad con todos los proveedores relevantes
Evaluar periódicamente la seguridad de los proveedores
Definir procedimientos de escalado de incidentes con proveedores de software críticos
Sin un control estructurado del software, cumplir con NIS2 no es posible. SoftVaro ayuda a las organizaciones a crear este control como punto de partida para la conformidad.
Preguntas frecuentes
Las preguntas más frecuentes sobre este tema.
¿Qué relación tiene NIS2 con la compra de software?
NIS2 obliga a las organizaciones a mantener un registro actualizado de todo el software y proveedores TIC, incluyendo acuerdos contractuales de seguridad. Sin ese registro, no estás en conformidad.
¿Cuándo entra en vigor NIS2 en Países Bajos?
La Ley de Ciberseguridad (implementación neerlandesa de NIS2) se espera para el segundo trimestre de 2026. Las organizaciones deben estar conformes desde el momento en que la ley entre en vigor.
¿Cuáles son las multas por incumplimiento de NIS2?
Las entidades esenciales se arriesgan a multas de hasta 10 millones de euros o el 2 % de la facturación mundial anual. Las entidades importantes, hasta 7 millones de euros o el 1,4 % de la facturación anual. Los directivos pueden ser personalmente responsables.
¿Listo para ahorrar en software?
SoftVaro negocia por ti el mejor trato con más de 4.000 proveedores. Independiente, transparente, en 24 horas.