NIS2 y las nuevas directrices de ACN: qué cambios afectan a las empresas y cómo prepararse

Redazione RHC : 21 octubre 2025 07:36

La directiva europea NIS2 representa un punto de inflexión para la ciberseguridad en Italia y Europa, al imponer nuevas responsabilidades a las organizaciones públicas y privadas en la gestión de los ciberriesgos. Para apoyar el proceso de cumplimiento en todas las etapas, la Agencia Nacional de Ciberseguridad ( ACN ) publicó recientemente una guía para la lectura de las » Directrices NIS – Especificaciones Básicas», un documento que aclara las obligaciones de las entidades NIS esenciales e importantes involucradas y define los plazos y métodos para adoptar medidas mínimas de seguridad y reportar incidentes.

Este documento proporciona una valiosa orientación para que las empresas y los organismos públicos comprendan cómo cumplir con las obligaciones establecidas en el Decreto Legislativo 138/2024, que implementó la Directiva europea NIS2 en Italia.

En este artículo, analizaremos en detalle los dos capítulos centrales de las directrices de ACN: primero, las » Medidas Básicas de Seguridad», que deben identificarse mediante un enfoque basado en riesgos y, por lo tanto, adaptarse al contexto de cada organización; luego, revisaremos los tipos de requisitos y la evidencia documental requerida. Otro aspecto clave se refiere a los » Incidentes Significativos Básicos», con especial atención a los tipos identificados, los criterios de evidencia y los riesgos asociados al abuso de privilegios. Al mismo tiempo, exploraremos la importancia de confiar en un socio experto como ELMI para gestionar de forma eficaz e integral los riesgos y el cumplimiento normativo de NIS2.

Directrices ACN NIS2: Medidas básicas de seguridad

La primera parte del documento de directrices de ACN cubre las medidas básicas de seguridad, con especial atención a:

• estructura de las medidas de seguridad
• enfoque basado en el riesgo según el cual se desarrollaron las medidas
• tipos de requisitos de medida
• principal prueba documental requerida.

Las entidades del SNI deben implementar medidas de seguridad en un plazo de 18 meses (octubre de 2026) a partir de la notificación de su inscripción en la lista nacional del SNI. Estas medidas de seguridad se aplican a los sistemas de información y red que utilizan las entidades en sus operaciones o en la prestación de sus servicios.

Estas medidas, desarrolladas de acuerdo con el Marco Nacional de Ciberseguridad , se organizan en funciones, categorías y subcategorías, cada una con requisitos específicos. En la práctica, cada medida indica qué debe implementarse y qué pruebas documentales deben aportarse para demostrar su cumplimiento.

En total, las directrices de ACN definen:

• 37 medidas de seguridad y 87 requisitos para temas importantes;
• 43 medidas de seguridad y 116 requisitos para trabajadores esenciales.

La diferencia refleja la mayor exposición al riesgo y el papel crítico de las entidades esenciales; de hecho, deben cumplir un mayor número de medidas y requisitos que las entidades importantes, ya que la legislación tiene en cuenta su mayor exposición a los riesgos y el potencial impacto social y económico de un potencial accidente.

En este contexto, el apoyo de un socio especializado como ELMI permite a las organizaciones interpretar correctamente los requisitos de ACN, traducirlos en planes operativos concretos y preparar la documentación necesaria, reduciendo el riesgo de incumplimiento.

Medidas básicas de seguridad: enfoque basado en riesgos

Al definir las medidas de seguridad, la ACN aplicó lo dispuesto en el artículo 31 del Decreto NIS2: las obligaciones no son las mismas para todos, sino que deben calibrarse en función del grado de exposición al riesgo de los sistemas de información y de red.

Los requisitos más complejos se modulan a través de algunas cláusulas que orientan su aplicación:

• puede afectar al menos a los sistemas y redes más relevantes para la organización;
• debe definirse sobre la base de la evaluación de riesgos (medida ID.RA-05);
• sólo permiten excepciones en presencia de razones técnicas o reglamentarias documentadas ;
• También se aplican a los suministros que puedan tener un impacto directo en la seguridad del sistema.

Tipos de requisitos

Para traducir las medidas de seguridad en acciones concretas, la ACN define requisitos específicos que las entidades NIS deben cumplir para lograr el cumplimiento normativo. Estos requisitos se dividen en dos categorías principales:

• Organizacionales: Se refieren principalmente a la gestión, organización, documentación y control de procesos y actividades, como la adopción y aprobación de políticas o procedimientos, la definición de procesos internos y la elaboración de documentación oficial. Muchos de los requisitos para las medidas básicas de seguridad se incluyen en esta categoría, como la medida GV.RR-02 , que define la organización de seguridad de TI y sus funciones y responsabilidades, o la medida GV.PO-01 , relativa a la adopción y documentación de políticas de seguridad.
• Tecnológicos: Implican la adopción de herramientas y soluciones tecnológicas para garantizar la protección de los sistemas de información. Algunos ejemplos incluyen el cifrado de datos, las actualizaciones de software o el uso de sistemas de autenticación multifactor. Algunos requisitos tecnológicos están relacionados, por ejemplo, con la medida DE.CM-01 , que exige sistemas de detección de intrusiones y herramientas para analizar y filtrar el tráfico entrante.

Esta distinción permite combinar controles organizacionales y tecnológicos , garantizando que las medidas de seguridad no sólo sean adoptadas formalmente, sino que sean realmente efectivas para prevenir y mitigar los riesgos cibernéticos.

Documentación que respalda las medidas de seguridad

Para demostrar la implementación efectiva de las medidas de seguridad, las entidades del SNI deben preparar una serie de documentos clave , estructurados según su organización y contexto operativo. Entre los principales se encuentran:

• Listas: Personal de la organización de seguridad de la información, configuraciones de referencia y sistemas accesibles de forma remota.
• Inventarios: equipos físicos, servicios, sistemas de software y aplicaciones, flujos de red, servicios de proveedores y sus proveedores.
• Planes: gestión de riesgos, continuidad de negocio y recuperación ante desastres, gestión de riesgos, gestión de vulnerabilidades, evaluación de adaptación y eficacia, capacitación en ciberseguridad, respuesta a incidentes.
• Políticas de seguridad informática: definidas con base en los requisitos establecidos en los Anexos 1 y 2 de la Resolución 164179/2025, para entidades importantes y esenciales, respectivamente.
• Procedimientos: desarrollados en relación a los requisitos específicos para los cuales son requeridos.
• Registros: resultados de la revisión de políticas, actividades de capacitación del personal, mantenimiento realizado.

La organización puede decidir cómo estructurar la documentación, por ejemplo concentrando múltiples contenidos en un solo documento o distribuyéndolos en múltiples archivos, siempre que los documentos sean fácilmente accesibles y consultables por quienes necesiten verificarlos.

ELMI apoya a las organizaciones con una plataforma de gestión documental que les permite mapear los requisitos regulatorios, centralizar y proteger la documentación, controlar el acceso y las responsabilidades, y automatizar los procesos de aprobación. También facilita la gestión controlada de políticas, planes y análisis de riesgos, garantizando actualizaciones continuas y apoyando la capacitación del personal.

De esta forma, las empresas no sólo cumplen con las obligaciones NIS2, sino que transforman el cumplimiento en un proceso sencillo, seguro y fácilmente auditable.

Los incidentes básicos significativos

Las directrices de ACN también definen los tipos básicos de incidentes significativos , que son eventos que pueden tener un impacto significativo en la seguridad de los datos o la continuidad de los servicios de las entidades NIS. Los incidentes se diferencian según el tipo de entidad: se han identificado tres incidentes mayores para entidades importantes , mientras que se han identificado cuatro incidentes mayores para entidades esenciales , además de un evento específico relacionado con el abuso de privilegios otorgados.

En detalle, los principales tipos de accidentes básicos significativos son:

• IS-1: pérdida de confidencialidad de datos digitales propiedad del sujeto o bajo su control;
• IS-2: Pérdida de integridad de los datos, con impacto externo;
• IS-3: Violación de los niveles de servicio esperados de los servicios o actividades de la entidad;
• IS-4 (solo para asignaturas esenciales): Acceso no autorizado o abuso de los privilegios otorgados a datos digitales, incluso parciales. El abuso de privilegios ocurre cuando el acceso se realiza infringiendo las políticas internas de la organización o con fines ajenos a las necesidades funcionales.

La evidencia del incidente es el punto de partida para cumplir con las obligaciones de notificación: un incidente se considera significativo solo cuando la entidad cuenta con evidencia objetiva que confirma que el evento realmente ocurrió. Los plazos de prenotificación (24 horas) y notificación oficial (72 horas) al CSIRT de Italia empiezan a correr desde el momento en que se obtiene la evidencia.

La evidencia se puede obtener a través de varias fuentes, entre ellas:

• Informes externos , por ejemplo comunicaciones recibidas de CSIRT Italia;
• Informes internos , como solicitudes de soporte o fallos de funcionamiento informados por los usuarios al servicio de asistencia;
• Eventos detectados por sistemas de monitoreo , como registros de seguridad, alertas o sistemas de detección de intrusiones.

En la práctica, tener evidencia significa poder demostrar con datos concretos que el incidente ocurrió, permitiendo una respuesta oportuna y la correcta gestión de las obligaciones regulatorias.

Para muchas organizaciones, el elemento crítico no es solo la detección de incidentes, sino contar con una presencia constante capaz de monitorear y bloquear ciberamenazas en tiempo real. Con esto en mente, el Centro de Competencia en Seguridad de ELMI ofrece monitoreo las 24 horas y, gracias a herramientas avanzadas de búsqueda de amenazas y respuesta a incidentes, reduce drásticamente el tiempo necesario para confirmar un evento e iniciar la notificación de acuerdo con las directrices NIS2.

Directiva NIS2: Obligaciones y plazos para las empresas

Las entidades incluidas en la lista de entidades NIS deben cumplir plazos específicos, sin margen de demora. Las entidades NIS deben organizar su cumplimiento de forma proactiva y oportuna para garantizar el cumplimiento de la NIS2 y reducir los riesgos cibernéticos.

El proceso regulatorio incluye una serie de etapas fundamentales:

• a partir de enero de 2026, las entidades deberán cumplir con las obligaciones básicas de notificación de accidentes;
• Para abril de 2026, la ACN definirá y adoptará el modelo para categorizar actividades y servicios, así como preparar obligaciones a largo plazo;
• Para septiembre de 2026 , las entidades deberán implementar medidas básicas de seguridad y categorizar sus actividades y servicios;
• A partir de octubre de 2026 entrará en vigor la obligación de que las entidades implementen íntegramente las obligaciones a largo plazo.

Paralelamente a este calendario, las principales actividades a planificar incluyen:

• Implementación de medidas básicas de seguridad , calibradas al riesgo específico de los sistemas y redes;
• Preparación de documentación clave , como listas, inventarios, planes, políticas, procedimientos y registros;
• Monitoreo y gestión de incidentes significativos , con foco en recolección de evidencia y reporte.

Para cumplir eficazmente con estos plazos, es recomendable establecer planes operativos claros, asignar responsabilidades específicas, implementar sistemas de monitoreo continuo e integrar el cumplimiento normativo con la capacitación del personal. De esta manera, las organizaciones no solo cumplen con la normativa, sino que también fortalecen su resiliencia digital y reducen el impacto de posibles incidentes.

ELMI apoya a las entidades NIS en esta fase crucial, apoyándolas en la planificación del cumplimiento normativo y la preparación de la documentación necesaria. Mediante evaluaciones específicas y planes de cumplimiento normativo, la empresa les permite cumplir los plazos establecidos por la directiva NIS2 sin interrumpir los procesos internos, garantizando al mismo tiempo la continuidad operativa y unas defensas sólidas.

Cómo ELMI apoya a las organizaciones en el cumplimiento de NIS2

Confiar en un socio altamente cualificado como ELMI significa seguir un camino estructurado hacia el cumplimiento de la Directiva NIS2 , con soluciones personalizadas, integradas y escalables diseñadas para cada fase del proceso de cumplimiento. Gracias a su sólida experiencia en ciberseguridad y consultoría, ELMI apoya a las organizaciones en la implementación de medidas de seguridad, la gestión de incidentes y la cumplimentación de la documentación requerida por la normativa.

Evaluación y análisis del perímetro NIS2

ELMI apoya a las empresas con una evaluación estructurada destinada a evaluar el alcance de la directiva: análisis de los servicios prestados, la infraestructura de TI y las limitaciones regulatorias, la identificación de los roles y responsabilidades en materia de ciberseguridad y la evaluación del nivel actual de seguridad.

Posteriormente, se realiza un análisis de brechas para identificar áreas de incumplimiento y oportunidades de mejora, evaluando los riesgos, las vulnerabilidades y el impacto operativo de cualquier incidente. Con base en esto, se desarrolla un plan de intervención que incluye contramedidas técnicas y procedimentales para fortalecer la seguridad y garantizar el cumplimiento de los requisitos regulatorios.

Gestión proactiva de eventos

El Centro de Competencia en Seguridad es el centro de operaciones de ELMI, diseñado para abordar los desafíos de ciberseguridad con un enfoque integrado y proactivo. El Centro de Operaciones de Seguridad (SOC) y el Centro de Operaciones de Red (NOC) garantizan la protección de la información crítica, el cumplimiento normativo, la monitorización continua y la resiliencia de la infraestructura de TI. En concreto:

• El Centro de Operaciones de Seguridad (SOC) es el centro de operaciones equipado con una sala de control dedicada al monitoreo continuo, triaje y gestión de eventos de seguridad 24/7 que puedan impactar la infraestructura de la empresa.
• El Centro de Operaciones de Red (NOC) se centra en la gestión y supervisión de redes para garantizar su eficiencia, disponibilidad y resiliencia.

Juntos, el SOC y el NOC forman el corazón operativo para proteger activos críticos y gestionar incidentes.

A través de un servicio 24/7 y herramientas avanzadas de inteligencia de amenazas y sistemas de alerta temprana, ELMI asegura una gestión completa de incidentes, reduciendo el tiempo de detección y el tiempo de respuesta , garantizando un control constante sobre las redes, sistemas y aplicaciones críticas, en línea con los requisitos de la Directiva NIS2.

Capacitación y apoyo regulatorio continuo

El cumplimiento de NIS2 no se limita a la implementación técnica y procedimental. ELMI apoya a las organizaciones con programas de capacitación específicos enfocados en la gestión de incidentes, la gobernanza de la seguridad y la difusión de la cultura de ciberseguridad en todos los niveles de la empresa.

Paralelamente, ELMI ofrece apoyo regulatorio continuo , con actualizaciones sobre nuevas disposiciones y directrices, revisión periódica de políticas y procedimientos y asistencia en la interpretación técnica de los requisitos, asegurando un enfoque sostenible e integrado para el cumplimiento de NIS2.

La Directiva Europea NIS2 y las directrices ACN establecen un estándar claro para la gestión de riesgos de TI , desde las medidas básicas de seguridad hasta la gestión adecuada de incidentes significativos . Para las organizaciones, cumplir estos requisitos implica adoptar un enfoque basado en el riesgo , con controles organizativos y tecnológicos integrados, monitorización continua y procedimientos documentados.

Contar con un socio como ELMI y su equipo de especialistas certificados le permite convertir el cumplimiento de NIS2 en una verdadera ventaja competitiva. Gracias a servicios de ciberseguridad personalizados y programas de capacitación y soporte regulatorio, las empresas pueden garantizar sistemas de información robustos , trazabilidad de eventos, menor tiempo de detección y respuesta, y pleno cumplimiento de las obligaciones de reporte.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli