ISGroup Consultoría de Ciberseguridad

ACN y la lista NIS2: todo lo que hay que saber sobre el cumplimiento de la Directiva NIS2 antes del 31 de marzo

La Directiva NIS2 ha introducido una serie de medidas estrictas para mejorar la ciberseguridad de las infraestructuras críticas y los servicios esenciales en toda la Unión Europea. En Italia, la Agencia para la Ciberseguridad Nacional (ACN) es el organismo encargado de la implementación de la normativa, con la tarea de definir la lista definitiva de los sujetos que deben cumplirla.

Con la fecha límite para el registro fijada para el 28 de febrero de 2025, muchas empresas están llamadas ahora a finalizar el proceso de adecuación. Sin embargo, es posible completar el registro hasta el 10 de marzo de 2025, siempre y cuando ya se haya realizado el censo. Para el 31 de marzo de 2025, la ACN publicará la lista NIS2 definitiva, identificando de manera oficial a las organizaciones obligadas a cumplir con los nuevos requisitos de seguridad.

[Callforaction-NIS2]

¿Qué contempla la Directiva NIS2?

En comparación con la anterior Directiva NIS1, la NIS2 (Directiva UE 2022/2555) impone obligaciones más rigurosas para la gestión de la ciberseguridad, la identificación de riesgos y la notificación de incidentes. Las principales novedades incluyen:

  • Ampliación del grupo de sujetos involucrados, incluyendo no solo a los proveedores de servicios esenciales, sino también a muchas empresas privadas.
  • Mayor atención a la cadena de suministro (supply chain), con obligaciones de control sobre la seguridad de los proveedores.
  • Obligaciones de notificación para los incidentes de seguridad dentro de plazos precisos.
  • Sanciones elevadas para quienes no se adecúen, con multas de hasta el 2% de la facturación anual global.

ACN y la lista NIS2: las etapas de la adecuación

La implementación de la Directiva NIS2 se ha dividido en cuatro fases principales:

  1. Fase de transposición (febrero 2023 – octubre 2024): periodo necesario para la adopción de la normativa a nivel nacional.
  2. Primera fase de implementación (octubre 2024 – abril 2025): periodo en el que las empresas deben registrarse y prepararse para la adecuación.
  3. Segunda fase de implementación (abril 2025 – abril 2026): implementación práctica de las medidas de seguridad.
  4. Tercera fase de implementación (a partir de abril 2026): plena operatividad de la NIS2, con controles periódicos y verificaciones de cumplimiento.

El censo y el registro obligatorio

Las empresas sujetas a la NIS2 están obligadas a registrarse en la plataforma digital de la ACN antes del 28 de febrero de 2025. Quienes aún no hayan completado el procedimiento tienen una última oportunidad hasta el 10 de marzo de 2025. Sin embargo, para acogerse a esta prórroga, es necesario haber realizado ya el censo preliminar antes de la primera fecha límite.

Publicación de la lista definitiva NIS2 el 31 de marzo de 2025

Uno de los momentos clave del proceso de adecuación es la publicación de la lista definitiva de los sujetos que deben cumplirla. Esta lista, elaborada por la ACN, se publicará el 31 de marzo de 2025 e incluirá:

  • Las empresas y entidades públicas obligadas a cumplir con la normativa.
  • Las categorías de operadores esenciales que entran dentro del perímetro NIS2.
  • Las obligaciones específicas para cada categoría de sujeto.

Una vez publicada la lista, las empresas incluidas tendrán hasta abril de 2026 para implementar las medidas de seguridad necesarias.

Las principales medidas de cumplimiento de la NIS2

Las empresas que figuran en la lista NIS2 deben adoptar una serie de medidas para garantizar el cumplimiento, entre ellas:

  1. Gestión del riesgo informático: implementar un enfoque estructurado para prevenir y mitigar los ciberataques.
  2. Protección de la cadena de suministro: verificar la seguridad de los proveedores y adoptar controles adecuados.
  3. Notificación obligatoria de incidentes: informar puntualmente de cualquier violación o ciberataque a la ACN y al CSIRT Italia. Para las organizaciones incluidas en la lista, la designación del referente CSIRT es uno de los trámites operativos que deben completarse en la fase de implementación.
  4. Auditorías y verificaciones periódicas: someterse a controles de seguridad regulares para evitar sanciones.

Para las organizaciones que deben estructurar este camino, es útil comenzar con una evaluación del estado actual: el soporte para el cumplimiento de la NIS2 de ISGroup acompaña a las empresas desde el análisis de brechas (gap analysis) hasta la implementación de las medidas exigidas por la normativa.

Sanciones por incumplimiento

La falta de adecuación a la Directiva NIS2 conlleva sanciones severas. En particular, las empresas que no cumplan se arriesgan a:

  • Multas de hasta 10 millones de euros o el 2% de la facturación anual global.
  • Sanciones accesorias para los directivos, incluida la suspensión temporal de sus cargos de responsabilidad.
  • Obligación de adoptar medidas correctivas de inmediato, con posibles inspecciones sorpresa.

Qué hacer ahora si tu empresa está en la lista NIS2

La Directiva NIS2 representa un punto de inflexión fundamental para la ciberseguridad en Europa. La lista NIS2 de la ACN, publicada antes del 31 de marzo de 2025, define de forma definitiva las empresas y entidades obligadas a cumplir con las nuevas reglas.

Las empresas que aún no han iniciado el camino de adecuación deben actuar de inmediato para evitar sanciones y garantizar la protección de sus infraestructuras digitales.

El cumplimiento de la NIS2 no es solo una obligación normativa, sino una estrategia esencial para garantizar la resiliencia empresarial frente a las ciberamenazas cada vez más sofisticadas. Para profundizar en el marco normativo de referencia, también está disponible el documento oficial de la Directiva NIS2.

Preguntas frecuentes sobre el cumplimiento de la NIS2

  • Estoy en la lista NIS2 publicada por la ACN: ¿por dónde debo empezar?
  • El punto de partida es un análisis de brechas (gap analysis) respecto a los requisitos de la normativa: gobernanza, gestión del riesgo, protección de la cadena de suministro y procedimientos de notificación de incidentes. Solo después de esta evaluación es posible definir un plan de implementación realista antes de la fecha límite de abril de 2026.
  • ¿Qué sucede si no me registré antes de los plazos de la ACN?
  • La falta de registro no exime de la obligación de cumplimiento si la organización entra dentro de los criterios dimensionales y sectoriales previstos por la normativa. La ACN puede incluir al sujeto en la lista de oficio e iniciar verificaciones. Es aconsejable regularizar la situación lo antes posible.
  • ¿Para cuándo debo implementar las medidas de seguridad exigidas por la NIS2?
  • Las empresas incluidas en la lista definitiva tienen hasta abril de 2026 para implementar las medidas técnicas y organizativas exigidas. A partir de esa fecha, se activarán los controles periódicos y las verificaciones de cumplimiento con las sanciones correspondientes en caso de incumplimiento.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *