Volver a los artículos
Normativa10 de julio de 20268 min de lectura

NIS2 y voz segura: lo que realmente exige el artículo 21(2)(j)

El artículo 21(2)(j) de NIS2 obliga a las entidades esenciales e importantes a usar 'comunicaciones de voz, vídeo y texto seguras', con multas de hasta 10 millones de euros o el 2% de la facturación mundial. Esto es lo que dice literalmente la disposición, a quién vincula y cómo cumplirla en la práctica.

La obligación en una frase

El artículo 21, apartado 2, letra j) de la Directiva NIS2 (Directiva (UE) 2022/2555) exige a las entidades esenciales e importantes de 18 sectores de la UE «el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda». Las entidades esenciales que lo ignoren se exponen a multas de hasta 10 millones de euros o el 2% de la facturación anual mundial.

El artículo 21, apartado 2, enumera diez medidas mínimas de gestión de riesgos de ciberseguridad, letras a) a j), que toda entidad incluida en el ámbito debe aplicar con un enfoque «de todos los riesgos» (all-hazards). La letra j) — citada arriba literalmente del texto oficial de EUR-Lex [1] — es el único punto de la lista que nombra una clase concreta de aplicaciones de negocio: las comunicaciones de voz, vídeo y texto. La interceptación de las comunicaciones internas se trata como un riesgo de primer orden, en la misma lista que la gestión de incidentes y la seguridad de la cadena de suministro.

La fórmula «cuando proceda» es una cláusula de proporcionalidad, no una exención. El artículo 21, apartado 1, exige medidas «adecuadas y proporcionadas» a la exposición al riesgo de la entidad, a su tamaño y a la gravedad probable de los incidentes, incluido su impacto social y económico [1]. La entidad que decida que las comunicaciones seguras no son adecuadas en su caso carga con la obligación de documentar ese razonamiento — y de defenderlo ante la autoridad de supervisión, quizá después de que una interceptación ya se haya producido.

Quién está en el ámbito: dos niveles, 18 sectores

NIS2 se aplica a entidades «esenciales» e «importantes», determinadas por sector, criticidad y, por regla general, tamaño de la empresa. El anexo I enumera once sectores de alta criticidad: energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC (entre empresas), administración pública y espacio. El anexo II añade otros siete sectores críticos: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentación, industria manufacturera, proveedores digitales e investigación [1].

El calendario ya no es teórico. Los Estados miembros debían transponer la directiva antes del 17 de octubre de 2024 y aplicar las medidas desde el 18 de octubre de 2024 (artículo 41); las listas nacionales de entidades esenciales e importantes debían establecerse antes del 17 de abril de 2025 (artículo 3, apartado 3) [1]. La transposición se retrasó en buena parte de la Unión: el 28 de noviembre de 2024 la Comisión Europea abrió procedimientos de infracción contra 23 Estados miembros por no transponer plenamente NIS2 a tiempo [4]. Las leyes nacionales tardías desplazaron las fechas de inicio de la aplicación en algunos países — no cambiaron el contenido de las obligaciones.

Italia: el Decreto Legislativo 138/2024 y la ACN

Italia transpuso antes del plazo. El Decreto Legislativo n.º 138, de 4 de septiembre de 2024, se publicó en la Gazzetta Ufficiale n.º 230 de 1 de octubre de 2024 y entró en vigor el 16 de octubre de 2024 [3]. Su lista de medidas de gestión de riesgos refleja el artículo 21, apartado 2, incluidas las «comunicazioni vocali, video e testuali protette» — la versión oficial italiana de las comunicaciones de voz, vídeo y texto seguras.

La Agenzia per la Cybersicurezza Nazionale (ACN) es la autoridad nacional competente NIS de Italia. Las entidades incluidas deben registrarse, o actualizar su registro, en el portal digital de la ACN entre el 1 de enero y el 28 de febrero de cada año, con actualización anual de la información entre el 15 de abril y el 31 de mayo; según el portal de la ACN, las obligaciones de notificación de incidentes para las entidades registradas se aplican desde enero de 2026 [5]. El registro es el detonante de todo el mecanismo italiano: la organización que aún no ha evaluado si pertenece a esa lista ya va con retraso.

El Reglamento de Ejecución 2024/2690: preciso en MFA, mudo en voz

Para las entidades de infraestructura digital — proveedores de servicios de DNS, registros de nombres de dominio de primer nivel, proveedores de servicios en la nube y de centros de datos, CDN, proveedores de servicios gestionados y de servicios de seguridad gestionados, mercados en línea, motores de búsqueda, plataformas de redes sociales y prestadores de servicios de confianza — la Comisión adoptó el Reglamento de Ejecución (UE) 2024/2690 el 17 de octubre de 2024, en vigor desde el 7 de noviembre de 2024 [2]. Su anexo traduce cada medida del artículo 21, apartado 2, en requisitos técnicos auditables.

El mapeo de la letra j) es revelador. La sección 11 del anexo («Control de acceso») cubre las letras i) y j) y especifica en detalle la autenticación multifactorial (punto 11.7) — pero no contiene ninguna especificación técnica adicional sobre las «comunicaciones de voz, vídeo y texto seguras» [2]. Ni siquiera para la categoría de entidades reguladas digitalmente más madura existe una lista de control a escala de la UE que defina qué significa «seguro» para una llamada telefónica. No es un resquicio: es una delegación. Cada entidad debe construir su propia definición a través de su análisis de riesgos y estar preparada para defenderla ante su autoridad de supervisión.

Lo que cuesta el incumplimiento

El artículo 34 hace directamente sancionables las infracciones del artículo 21 — la lista que contiene la letra j). Las entidades esenciales se enfrentan a multas administrativas de un máximo de al menos 10 000 000 EUR o del 2% del volumen de negocios anual total a escala mundial de la empresa en el ejercicio anterior, si esta cifra es superior; para las entidades importantes el techo es de al menos 7 000 000 EUR o el 1,4% [1].

El dinero no es la única palanca. Los supervisores pueden dictar instrucciones vinculantes y ordenar auditorías; en el caso de las entidades esenciales, pueden suspender temporalmente certificaciones o autorizaciones y solicitar la prohibición temporal del ejercicio de funciones directivas al nivel de director general o representante legal [1]. Y conforme al artículo 20, apartado 1, los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su aplicación y pueden ser considerados responsables de las infracciones. Elegir la pila de telefonía y mensajería corporativa es ya, jurídicamente, una decisión de consejo de administración.

Qué significa 'voz segura' en la práctica

La directiva no define «seguro». Leída a la luz de la finalidad del artículo 21 — proteger las redes y sistemas de información y los servicios que prestan — emergen cuatro criterios que un supervisor puede razonablemente examinar.

Primero, el cifrado de extremo a extremo (E2EE). Si la voz solo se cifra en el transporte (TLS o SRTP hacia una centralita o un servidor de conferencias), el contenido existe en claro en el servidor, y quien controle ese servidor — el proveedor, su operador de nube o un atacante dentro de él — puede escuchar. Para conversaciones cuya interceptación constituiría un incidente significativo, el cifrado solo de transporte es difícil de defender como «seguro». Segundo, la custodia de las claves. La verdadera pregunta es quién puede descifrar: si el proveedor posee las claves, la confidencialidad es una promesa contractual, no una propiedad técnica. Las palabras «en la entidad» de la letra j) encajan con naturalidad con material de claves bajo el control de la propia entidad — on-premises, en alojamiento soberano o anclado en hardware.

Tercero, la identidad autenticada. La letra j) une en la misma frase comunicaciones seguras y autenticación multifactorial: saber quién está en la llamada forma parte de la medida. Con el fraude por clonación de voz ya practicable, la autenticidad del hablante — no solo el cifrado del canal — pertenece al modelo de amenazas. Cuarto, la capacidad fuera de banda (out-of-band). Los «sistemas seguros de comunicaciones de emergencia» apuntan a un canal que sigue disponible y siendo de confianza cuando la infraestructura primaria está caída o comprometida. Durante la respuesta a un ransomware, coordinar la recuperación sobre la misma red que controla el atacante puede exponer la propia respuesta — mientras los plazos de 24 horas (alerta temprana) y 72 horas (notificación) del artículo 23 siguen corriendo [1].

Una consideración de futuro, más allá de la letra de NIS2: las llamadas cifradas pueden grabarse hoy y descifrarse dentro de unos años, cuando los ordenadores cuánticos rompan el intercambio de claves clásico — el escenario harvest-now-decrypt-later. Para comunicaciones cuya confidencialidad deba sobrevivir una década, un establecimiento de claves poscuántico como ML-KEM, estandarizado por el NIST, es un complemento racional de una implantación de la letra j), aunque la directiva todavía no lo exija.

Una lista de comprobación práctica

1) Determinar su estatus — esencial, importante o fuera del ámbito — y completar el registro nacional (en Italia: portal de la ACN, del 1 de enero al 28 de febrero) [5]. 2) Inventariar todos los canales de voz, vídeo y mensajería realmente en uso, incluidos los no oficiales en los teléfonos de los empleados. 3) Clasificar las conversaciones por el impacto de su interceptación y decidir, por escrito, dónde se exigen canales seguros — documentando el razonamiento de proporcionalidad de cada exclusión.

4) Para cada canal conservado, verificar el cifrado de extremo a extremo e identificar quién posee las claves; preferir una custodia bajo control propio. 5) Vincular el acceso a las comunicaciones a identidades respaldadas por MFA. 6) Establecer un canal de emergencia fuera de banda, independiente de la red corporativa, y probarlo en los ejercicios de continuidad de negocio (artículo 21, apartado 2, letra c)). 7) Trasladar los requisitos a los contratos con proveedores dentro de la seguridad de la cadena de suministro (letra d)). 8) Dejar constancia de la aprobación del órgano de dirección, la formación y las fechas de revisión (artículo 20).

Dónde encaja la voz protegida por hardware

Buena parte del mercado responde a la letra j) con software: aplicaciones cifradas de extremo a extremo que se ejecutan en el mismo sistema operativo del smartphone que aloja todo lo demás. Eso aguanta hasta que el propio terminal queda comprometido — un escenario que el enfoque de todos los riesgos de NIS2 contempla expresamente. Ese es el hueco para el que está construido Q-Audion de BCrypto: un sistema de voz antiinterceptación cifrado por hardware que combina un auricular cifrado, aplicaciones Android/iOS/escritorio, un servidor soberano y una VPN poscuántica. El establecimiento de claves usa ML-KEM-1024 (NIST FIPS 203) implementado en un acelerador criptográfico hardware, con AES-256-GCM y un TEE ARM TrustZone-M. El DMA Air-Gap, con patente en trámite, aísla galvánicamente la ruta de audio del teléfono anfitrión: un micrófono MEMS dedicado reside dentro del enclave seguro y el sistema operativo anfitrión nunca entra en la ruta de audio, de modo que un spyware en el teléfono no tiene nada que grabar. El TinyML en el dispositivo realiza la verificación antideepfake del hablante — la mitad de 'autenticidad' de la letra j). El sistema es compatible con BYOD, con una cadena de suministro diseñada en la UE.

En un contexto regulatorio la honestidad importa: Q-Audion está en TRL 6 — firmware completo en funcionalidades, con CI multiplataforma condicionada por KAT — con tres patentes presentadas ante la UIBM en 2026, y aún no posee certificaciones: ni FIPS 140-3, ni Common Criteria, ni aprobación de ANSSI, BSI o ACN. Las organizaciones que hoy exigen productos certificados deben ponderarlo. Las que diseñan su arquitectura del artículo 21(2)(j) para la próxima década — custodia de claves, capacidad fuera de banda, harvest-now-decrypt-later — pueden encontrar en el aislamiento por hardware el cimiento más duradero. En cualquier caso, la obligación ya está en vigor: el momento adecuado para decidir qué significa 'voz segura' para su entidad fue el 18 de octubre de 2024.

Referencias

  1. Directive (EU) 2022/2555 (NIS2 Directive) — full text, EUR-Lex CELEX:32022L2555
  2. Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 — EUR-Lex CELEX:32024R2690
  3. Decreto legislativo 4 settembre 2024, n. 138 — Gazzetta Ufficiale Serie Generale n. 230 del 01-10-2024
  4. European Commission — The Commission calls on 23 Member States to fully transpose the NIS2 Directive (28 November 2024)
  5. Agenzia per la Cybersicurezza Nazionale — Portale NIS

¿Listo para proteger su soberanía digital?

Únase a la revolución europea de la seguridad post-cuántica. Contacte con nuestro equipo para alianzas institucionales y colaboraciones estratégicas.