La directiva europea NIS2 ha entrado en una nueva fase después de varios meses de retrasos en su transposición a las legislaciones nacionales. Ahora empieza a trasladar la presión desde Bruselas a los supervisores de cada país, ya que para las organizaciones consideradas esenciales o importantes, el cumplimiento ya no se limitará a contar con políticas de ciberseguridad documentadas, sino que tendrán que demostrar que tienen capacidad real para prevenir, responder, resistir y recuperarse de un ciberataque.
La directiva NIS2 de la UE, por tanto, está entrando en una fase de aplicación más estricta, y la responsabilidad ha pasado a las autoridades nacionales de supervisión. Es decir, la UE espera que las organizaciones clasificadas como entidades esenciales o importantes pasen de documentar las políticas de ciberseguridad a demostrar su capacidad para prevenir, gestionar y recuperarse de los incidentes de seguridad online.
A medida que siguen desarrollándose las normativas nacionales, las empresas pueden esperar más nivel de supervisión, a través de requisitos de registro, auditorías, evaluaciones de cumplimiento y posibles sanciones. Una de las principales implicaciones de la NIS2 es que la ciberresiliencia y la capacidad de recuperación pasan a ser obligaciones centrales de cumplimiento normativo.
Además, la directiva NIS2 exige medidas integrales de gestión de riesgos. Entre ellas, planes de continuidad de negocio, copias de seguridad, recuperación ante desastres, gestión de crisis, seguridad de la cadena de suministro, controles de acceso, cifrado y notificación de incidentes. Las empresas tienen que poder demostrar que pueden restaurar sus sistemas críticos y mantener operaciones incluso ante ciberataques de gran calado.
Esto llega en un momento en el que el ransomware sigue entre las principales amenazas para la continuidad del negocio, lo que confirma que reforzar las defensas no elimina la necesidad de tener una estrategia de recuperación sólida. De hecho, los atacantes llevan cada vez más sus acciones contra los entornos de backup para impedir la restauración de los datos y aumentar la presión sobre las víctimas. Si las copias de seguridad pueden modificarse, eliminarse o cifrarse, las organizaciones quedan expuestas no solo a interupciones operativas, sino también al incumplimiento de la normativa NIS2.
En este marco, Object First destaca la importancia de tener un almacenamiento de backups con Inmutabilidad Absoluta como componente esencial de cualquier estrategia de resiliencia. No obstante, la compañía advierte de que no todas las soluciones de almacenamiento de backup comercializadas como inmutables ofrecen el mismo nivel de protección.
Una de las diferencias más importantes es que, con la Inmutabilida Absoluta, ni siquiera los administradores con privilegios, y por tanto los atacantes que hayan accedido al entorno donde está la copia, pueden modificar o eliminar los datos de las copias de seguridad una vez que estos han sido escritos.
Para las organizaciones afectadas por la directiva NIS2, por tanto, la prioridad en 2026 es pasar de una preparación formal a demostrar con pruebas su capacidad real de respuesta. Contar con planes de continuidad de negocio o de políticas de backup ya no será suficiente. Los reguladores, clientes y partners pedirán cada vez más pruebas de que pueden restaurar sus datos, mantener sus operaciones y documentar su respuesta durante un incidente.
Daniel Fried, Vicepresidente de Ventas de Object First, ha señalado que «con la NIS2, la resiliencia y la capacidad de recuperación dejan de ser simples buenas prácticas técnicas para convertirse en requisitos de cumplimiento medibles. Las organizaciones deben demostrar que sus sistemas y datos críticos pueden restaurarse tras un ciberincidente, garantizando así la continuidad del negocio y la estabilidad operativa. Esto otorga una mayor importancia a la integridad de las copias de seguridad, ya que será necesario demostrar que los datos de recuperación no pueden ser modificados, cifrados ni eliminados por los atacantes durante un incidente».