NIS2 obliga a las empresas a demostrar que pueden recuperarse de un ciberataque, no solo prevenirlo

La directiva europea NIS2 entra en una etapa decisiva para las empresas afectadas por su ámbito de aplicación. Tras meses marcados por retrasos en su incorporación a las legislaciones nacionales, la responsabilidad de supervisar su cumplimiento comienza a trasladarse de las instituciones comunitarias a las autoridades competentes de cada Estado miembro.

Este nuevo escenario supone un cambio significativo para las organizaciones consideradas entidades esenciales o importantes. A partir de ahora, ya no será suficiente con disponer de políticas de ciberseguridad formalmente documentadas; las empresas deberán demostrar que cuentan con mecanismos efectivos para prevenir, gestionar y recuperarse de incidentes de ciberseguridad que puedan comprometer su actividad.

La presión regulatoria también se ha intensificado a nivel europeo. En mayo de 2025, la Comisión Europea emitió dictámenes motivados a 19 Estados miembros que todavía no habían completado la transposición de la directiva, un paso que podría derivar en procedimientos ante el Tribunal de Justicia de la Unión Europea si persisten los incumplimientos.

A medida que las normativas nacionales continúan desarrollándose, las organizaciones pueden prepararse para un mayor nivel de control por parte de los organismos supervisores. Entre las medidas previstas figuran registros obligatorios, auditorías periódicas, evaluaciones de conformidad y posibles sanciones para quienes no acrediten el cumplimiento de los requisitos establecidos.

Uno de los aspectos más relevantes de la NIS2 es que la ciberresiliencia pasa a ocupar un papel central dentro de las obligaciones regulatorias. La normativa exige la implantación de medidas integrales de gestión de riesgos que abarcan desde planes de continuidad de negocio y estrategias de recuperación ante desastres hasta sistemas de copia de seguridad, protocolos de gestión de crisis, protección de la cadena de suministro, controles de acceso, cifrado de datos y mecanismos de notificación de incidentes.

En este contexto, las empresas deberán acreditar no solo que cuentan con medidas preventivas, sino también que son capaces de restablecer sus sistemas críticos y mantener la continuidad operativa incluso frente a ciberataques de gran impacto. La capacidad de recuperación se convierte así en un elemento clave para cumplir con las nuevas exigencias regulatorias europeas.

La amenaza del ransomware

Este requisito llega en un momento en el que el ransomware sigue siendo una de las mayores amenazas para la continuidad del negocio. Según el Informe de Tendencias sobre Ransomware de Veeam 2025, el 69 % de las organizaciones encuestadas sufrió al menos un ataque de ransomware. Esta cifra confirma que reforzar las defensas no elimina la necesidad de contar con una estrategia de recuperación sólida.

Los atacantes dirigen cada vez más sus acciones específicamente contra los entornos de backup para impedir la restauración de los datos y aumentar la presión sobre las víctimas. Si las copias de seguridad pueden modificarse, eliminarse o cifrarse, las organizaciones quedan expuestas no solo a interrupciones operativas, sino también al incumplimiento de la normativa.

La importancia de la Inmutabilidad

En este contexto, Object First destaca la importancia de contar con un almacenamiento de copias de seguridad con Inmutabilidad Absoluta (Absolute Immutability) como componente esencial de cualquier estrategia de resiliencia. No obstante, la compañía advierte de que no todas las soluciones de almacenamiento de backup comercializadas como inmutables ofrecen el mismo nivel de protección. Una de las diferencias más importantes es que, con la Inmutabilidad Absoluta, ni siquiera los administradores con privilegios (o los atacantes que hayan conseguido acceder al entorno de almacenamiento), pueden modificar o eliminar los datos de las copias de seguridad una vez que estos han sido escritos.

Para las organizaciones afectadas por la directiva, la prioridad en 2026 será pasar de una preparación meramente formal a demostrar con pruebas su capacidad real de respuesta. Disponer de planes de continuidad de negocio o de políticas de backup ya no será suficiente. Los reguladores, clientes y socios exigirán cada vez más evidencias de que las organizaciones pueden restaurar sus datos, mantener sus operaciones y documentar su respuesta durante un incidente.

Scroll al inicio