Directiva NIS-2

NIS-2 (Directiva UE 2022/2555) amplía las exigencias europeas de ciberseguridad a 18 sectores y unas 160.000 empresas, con notificación armonizada y responsabilidad personal de los administradores.

Qué es Directiva NIS-2?

NIS-2 distingue entidades esenciales e importantes. Ambas deben implantar un sistema de gestión de riesgos, notificar incidentes en 24 horas, 72 horas y 30 días, asegurar su cadena de suministro y documentar de forma explícita la responsabilidad del órgano de administración. En España la transposición corresponde a la ley nacional de ciberseguridad; el INCIBE-CERT y el CCN actúan como autoridades técnicas competentes. Las sanciones pueden alcanzar 10 millones de euros o el 2 por ciento de la facturación mundial.

Cómo se aplica Directiva NIS-2 en la IA empresarial?

Los sistemas de IA entran en el ámbito cuando forman parte de un servicio esencial o importante: detección de fraude bancario, apoyo al diagnóstico hospitalario, planificación logística. En la práctica, los proveedores de IA figuran en el análisis de cadena de suministro NIS-2 como terceros críticos y deben cumplir cláusulas contractuales, canales de notificación y derechos de auditoría. Las orientaciones del CCN de 2025 detallan la profundidad esperada.