La Directiva NIS2 (Directiva UE 2022/2555) es el marco europeo de ciberseguridad que sustituye a la antigua NIS1, con un alcance significativamente ampliado, obligaciones técnicas más estrictas y un régimen sancionador que llega hasta el 2% de la facturación anual mundial. En España, su transposición se materializa a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad, y afecta ya a miles de organizaciones de sectores como energía, sanidad, banca, transporte, infraestructura digital, administraciones públicas y proveedores TIC críticos. Esta guía pillar reúne todo lo que un directivo, CISO o responsable de cumplimiento necesita saber para entender el alcance real, las obligaciones del artículo 21, los plazos de notificación de incidentes y la hoja de ruta de cumplimiento en 12 meses.
Lo esencial
- NIS2 obliga a miles de entidades en España, no solo a operadores de servicios esenciales clásicos.
- El umbral general es 50+ empleados o más de 10 M€ de facturación, con excepciones tasadas.
- El artículo 21 fija 10 áreas mínimas de gestión de riesgos que deben estar documentadas y operativas.
- Las multas alcanzan hasta 10 M€ o el 2% de la facturación mundial para entidades esenciales.
- La notificación de incidentes significativos sigue tres ventanas: 24 horas, 72 horas y 1 mes.
Qué es NIS2 y por qué importa en España 2026
La Directiva NIS2 sustituye a la NIS1 de 2016 con el objetivo de elevar el nivel común de ciberseguridad en la Unión Europea. La motivación fue clara: NIS1 dejaba demasiados sectores fuera, las obligaciones eran genéricas y la aplicación entre Estados miembros era muy desigual. NIS2 corrige esos puntos ampliando los sectores incluidos, introduciendo dos categorías (entidades esenciales y entidades importantes), reforzando las medidas técnicas y organizativas mínimas y armonizando el régimen sancionador.
En España, la directiva se transpone a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad, que sustituye al Real Decreto-ley 12/2018 que había transpuesto NIS1. La ley designa a los CSIRT competentes (INCIBE-CERT para sector privado no financiero, CCN-CERT para sector público, ESPDEF-CERT para defensa) y atribuye las funciones de autoridad competente a varios organismos sectoriales (Banco de España, CNMV, SEPBLAC para sector financiero, ministerios sectoriales para el resto).
El impacto real es doble. Por un lado, organizaciones que nunca habían tenido obligaciones específicas de ciberseguridad (proveedores de servicios gestionados, fabricantes de productos químicos, empresas alimentarias medianas, gestores de residuos) entran ahora en el perímetro regulatorio. Por otro, el régimen sancionador deja de ser nominal: las multas tienen techos altos, la responsabilidad de los órganos de dirección es personal y la autoridad competente puede inhabilitar a directivos por incumplimientos graves.
Calendario de transposición y aplicación en España
El plazo original de la Directiva NIS2 fijaba la transposición por los Estados miembros antes del 17 de octubre de 2024. España, como buena parte de la Unión, no cumplió ese plazo: la transposición se aprobó con retraso ya entrado 2025, lo que generó un periodo de inseguridad jurídica para las entidades obligadas. La Comisión Europea abrió procedimientos de infracción contra los Estados miembros que no transpusieron a tiempo.
Una vez en vigor la ley española de transposición, las entidades obligadas deben:
- Identificarse como sujeto obligado mediante registro ante la autoridad competente, en los plazos que fija la norma nacional (generalmente 5 meses desde la entrada en vigor).
- Mantener actualizada la información de contacto del CSIRT competente y del responsable de seguridad designado.
- Acreditar la implantación de las medidas del artículo 21 ante una eventual inspección o auditoría.
- Notificar los incidentes significativos en las ventanas 24h, 72h y 1 mes desde su detección.
INCIBE-CERT actúa como punto de contacto operativo para el sector privado no financiero. Para sectores específicos, los CSIRT sectoriales (CCN-CERT para administraciones públicas, ESPDEF-CERT para defensa, CSIRT autonómicos en algunas comunidades) coordinan la respuesta a incidentes y la comunicación con las autoridades. La coordinación europea se canaliza vía ENISA y la red CSIRTs Network.
Quién está obligado: entidades esenciales vs importantes
NIS2 introduce una clasificación binaria que determina el nivel de supervisión y el techo de las sanciones. La pertenencia a una u otra categoría depende del sector (Anexos I y II de la directiva) y del tamaño de la entidad.
Sectores incluidos
| Anexo | Sector | Subsectores principales |
|---|---|---|
| I | Energía | Electricidad, gas, hidrógeno, petróleo, redes urbanas de calor y frío |
| I | Transporte | Aéreo, ferroviario, marítimo, por carretera |
| I | Banca | Entidades de crédito |
| I | Infraestructura mercados financieros | Centros de negociación, contrapartes centrales |
| I | Sanidad | Hospitales, laboratorios de referencia, fabricantes de productos farmacéuticos críticos |
| I | Agua potable | Suministro y distribución |
| I | Aguas residuales | Recogida, eliminación y tratamiento |
| I | Infraestructura digital | DNS, TLD, IXP, datacenter, cloud, CDN, servicios de confianza |
| I | Gestión servicios TIC B2B | Proveedores servicios gestionados, MSSP |
| I | Administraciones públicas | AGE, autonómica, según designe el Estado miembro |
| I | Espacio | Operadores infraestructuras terrestres |
| II | Servicios postales y mensajería | Operadores designados |
| II | Gestión de residuos | Empresas cuya actividad principal sea la gestión |
| II | Fabricación, producción y distribución de productos químicos | |
| II | Producción, transformación y distribución de alimentos | Distribución mayorista y producción industrial |
| II | Manufactura crítica | Productos sanitarios, ordenadores, electrónica, óptica, maquinaria, vehículos |
| II | Proveedores digitales | Marketplaces, motores de búsqueda, redes sociales |
| II | Investigación | Organizaciones de investigación designadas |
Umbrales por tamaño
La directiva remite al criterio de la Recomendación 2003/361/CE de la Comisión:
- Gran empresa: más de 250 empleados, o facturación superior a 50 M€ y balance superior a 43 M€. Cae automáticamente en entidad esencial si pertenece a un sector del Anexo I.
- Mediana empresa: 50 a 250 empleados, o facturación entre 10 M€ y 50 M€. Cae en entidad importante salvo excepciones (DNS, TLD, servicios de confianza cualificados, AAPP centrales, entidades con monopolio funcional, que son esenciales por naturaleza).
- Pequeña y micro empresa: por debajo de esos umbrales, no obligada salvo excepción sectorial.
Diferencias entre regímenes
| Aspecto | Entidad esencial | Entidad importante |
|---|---|---|
| Supervisión | Ex ante y ex post (proactiva) | Ex post (reactiva, tras incidente o denuncia) |
| Auditorías ordenadas | Sí, autoridad puede imponerlas | Solo tras indicio de incumplimiento |
| Multas máximas | 10 M€ o 2% facturación mundial (la mayor) | 7 M€ o 1,4% facturación mundial (la mayor) |
| Sanciones accesorias | Inhabilitación directivos, publicación incumplimiento | Idem, con menor frecuencia práctica |
Las 10 medidas de gestión de riesgos del artículo 21
El artículo 21 de la directiva fija el contenido mínimo obligatorio. Cada entidad debe aplicar un enfoque basado en riesgos, proporcionado a su tamaño y exposición, pero no puede dejar fuera ninguna de las 10 áreas.
1. Políticas de análisis de riesgos y seguridad de los sistemas de información
La entidad debe disponer de una metodología documentada de análisis de riesgos sobre los activos de información, aprobada por la dirección y revisada al menos anualmente. La política debe definir el apetito de riesgo, los criterios de aceptación, los responsables del tratamiento de cada riesgo identificado y la trazabilidad entre amenazas, vulnerabilidades, controles y riesgos residuales. En la práctica, las metodologías más utilizadas son ISO 27005, NIST SP 800-30 y MAGERIT, esta última especialmente extendida en organizaciones que ya cumplen el Esquema Nacional de Seguridad.
El error frecuente es presentar un análisis estático realizado una sola vez por una consultora externa. La autoridad competente exige que el análisis esté vivo: cada cambio relevante (nueva aplicación, nuevo proveedor, cambio organizativo) debe disparar una revisión y los riesgos altos deben tener planes de tratamiento con fechas y responsables asignados.
2. Gestión de incidentes
Procedimiento documentado y operativo que cubra detección, clasificación, contención, erradicación, recuperación y aprendizaje. Debe definir roles (responsable de incidentes, equipo de respuesta, dirección, comunicación), niveles de severidad, criterios de escalado y vías de comunicación interna y externa. Las herramientas habituales son SIEM, SOAR, EDR y plataformas de threat intelligence, pero NIS2 no impone tecnologías concretas, sino capacidades.
El procedimiento debe estar integrado con la notificación regulatoria a CSIRT en las ventanas 24h, 72h y 1 mes. Esto exige que el equipo técnico sepa cuándo un incidente es significativo (impacto en disponibilidad, integridad o confidencialidad por encima de los umbrales definidos) y active la cadena de notificación sin necesidad de validación jurídica que retrase los plazos.
3. Continuidad de negocio y recuperación
Plan de continuidad de negocio (BCP) y plan de recuperación ante desastres (DRP) con objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO) definidos para cada servicio crítico. Las copias de seguridad deben seguir la regla 3-2-1 (tres copias, dos soportes distintos, una fuera de sitio), estar cifradas, ser inmutables frente a ransomware y probarse periódicamente con restauraciones reales, no simulacros documentales.
La gestión de crisis incluye la activación de un comité, comunicación con clientes y autoridades, gestión de la presión mediática y continuidad de operaciones esenciales mientras dura el incidente. Las pruebas anuales tipo tabletop son obligatorias en la práctica para acreditar madurez.
4. Seguridad de la cadena de suministro
Esta es una de las grandes novedades respecto a NIS1. La entidad debe inventariar a sus proveedores TIC críticos, evaluar su nivel de seguridad, exigir contractualmente medidas equivalentes (cláusulas tipo, derecho de auditoría, obligaciones de notificación de incidentes en cascada) y reevaluar periódicamente. La directiva pone foco especial en proveedores de servicios gestionados, cloud, software empresarial y hardware.
El alcance llega a proveedores de segundo y tercer nivel cuando el riesgo lo justifica. Casos reales como SolarWinds, Kaseya o MOVEit han demostrado que un compromiso en la cadena impacta a cientos de clientes simultáneamente, lo que justifica el rigor exigido.
5. Seguridad en adquisición, desarrollo y mantenimiento de sistemas
Ciclo de vida de desarrollo seguro (SDLC) que cubra requisitos de seguridad, diseño seguro, codificación segura, pruebas (SAST, DAST, SCA, pentesting), despliegue controlado y mantenimiento. Incluye una política de gestión de vulnerabilidades con SLA por severidad, divulgación responsable de vulnerabilidades (coordinated vulnerability disclosure) y gestión específica de actualizaciones de seguridad.
Para entidades que adquieren software de terceros, la obligación se traduce en exigir SBOM (Software Bill of Materials), revisiones de seguridad previas a la contratación y mecanismos de actualización oportunos. La gestión de vulnerabilidades debe alinearse con CVE, CVSS y, cuando proceda, EPSS para priorizar.
6. Políticas y procedimientos para evaluar la eficacia de las medidas
No basta con tener controles, hay que demostrar que funcionan. Esto exige auditorías internas planificadas, pruebas técnicas (pentesting, red team, threat hunting), métricas de seguridad reportadas a dirección, revisiones por la dirección documentadas y mejora continua. El estándar ISO 27001:2022 proporciona un marco probado: las cláusulas 9 (evaluación del desempeño) y 10 (mejora) son directamente aplicables.
Las métricas mínimas razonables incluyen tiempo medio de detección (MTTD), tiempo medio de respuesta (MTTR), porcentaje de vulnerabilidades críticas remediadas dentro de SLA, cobertura de formación obligatoria y resultados de campañas de phishing simulado.
7. Higiene cibernética básica y formación
Programa de formación obligatorio para todo el personal, con módulos diferenciados para administradores de sistemas, desarrolladores y órganos de dirección. La formación del consejo es una novedad importante: los miembros del órgano de administración deben recibir formación específica sobre ciberseguridad y son personalmente responsables del cumplimiento.
Las prácticas de higiene cubren gestión de contraseñas, MFA, identificación de phishing, uso seguro del correo, navegación segura, manejo de dispositivos personales (BYOD) y comunicación segura. Las campañas de phishing simulado y la formación reforzada para usuarios reincidentes son prácticas habituales en organizaciones maduras.
8. Políticas y procedimientos sobre uso de criptografía y cifrado
Estándares documentados sobre algoritmos aceptados (AES-256, RSA-3072 o superior, ECC P-256 o superior), gestión de claves (rotación, custodia, separación de funciones), cifrado de datos en reposo (bases de datos, copias de seguridad, dispositivos móviles, almacenamiento cloud) y en tránsito (TLS 1.2+, IPsec, SSH). La política debe abordar también la transición a criptografía post-cuántica como horizonte de planificación.
La gestión de certificados digitales (PKI interna o externa, ACME, vigilancia de caducidades) y la firma de código para artefactos críticos forman parte de esta área. Las claves criptográficas deben tener su propio inventario y procedimiento de gestión.
9. Seguridad de recursos humanos, control de accesos y gestión de activos
Verificación de antecedentes proporcional a la sensibilidad del puesto, cláusulas de confidencialidad, procedimientos de alta y baja, segregación de funciones y revisión periódica de accesos. La gestión de identidades y accesos (IAM) debe soportar principio de mínimo privilegio, autenticación robusta, gestión del ciclo de vida de cuentas privilegiadas (PAM) y revisión periódica de permisos.
El inventario de activos cubre hardware, software, datos, servicios cloud y, cada vez más relevante, identidades no humanas (cuentas de servicio, tokens API, credenciales máquina). Cada activo debe tener propietario, clasificación de criticidad y controles asociados.
10. Uso de MFA, comunicaciones seguras y sistemas de comunicación de emergencia
Autenticación multifactor obligatoria en accesos privilegiados, accesos remotos, correo electrónico y aplicaciones críticas. La directiva no impone un factor concreto, pero los códigos por SMS están considerados débiles. Las opciones recomendadas incluyen aplicaciones TOTP, llaves físicas FIDO2 y biometría con almacenamiento local.
Las soluciones de comunicación segura abarcan correo cifrado (S/MIME, PGP), mensajería con cifrado extremo a extremo para comunicaciones sensibles y videoconferencia con cifrado verificado. Los sistemas de comunicación de emergencia (out-of-band) deben funcionar cuando los sistemas habituales están comprometidos, condición indispensable durante un incidente grave.
Obligaciones de notificación de incidentes
La notificación regulatoria es una de las áreas donde NIS2 endurece sustancialmente las exigencias respecto a NIS1. Toda entidad obligada debe notificar los incidentes significativos (los que provocan, o pueden provocar, una perturbación operativa grave o pérdidas financieras importantes) al CSIRT competente en tres ventanas obligatorias:
| Plazo | Tipo | Contenido mínimo |
|---|---|---|
| 24 horas desde la detección | Alerta temprana | Indicación de si se sospecha causa ilícita, posible impacto transfronterizo |
| 72 horas desde la detección | Notificación de incidente | Evaluación inicial, indicadores de compromiso, severidad, impacto |
| A petición o cuando esté disponible | Informe intermedio | Estado de la respuesta, actualizaciones relevantes |
| 1 mes desde la notificación | Informe final | Descripción detallada, causa raíz, medidas adoptadas, impacto transfronterizo |
La diferencia con la notificación RGPD (72 horas desde el conocimiento, a la AEPD, solo si hay datos personales afectados) es importante: un mismo incidente puede disparar ambas obligaciones en paralelo, con autoridades distintas y plazos diferentes. La coordinación interna entre el DPO y el responsable de seguridad debe estar definida en el procedimiento.
Respecto a DORA (Reglamento UE 2022/2554, aplicable a entidades financieras desde enero 2025), los plazos son aún más exigentes: 4 horas para clasificar un incidente mayor, 24 horas para la notificación inicial. Una entidad financiera obligada a ambas normas (banco, aseguradora, gestor de fondos) cumple primero los plazos DORA, que prevalecen como lex specialis para sus incidentes TIC.
Régimen sancionador en España
NIS2 armoniza al alza el régimen sancionador en toda la Unión. Las multas tienen techos altos, la responsabilidad de los directivos es personal y la autoridad competente dispone de sanciones accesorias con impacto reputacional y operativo significativo.
| Categoría | Multa máxima |
|---|---|
| Entidad esencial | 10 M€ o 2% facturación mundial del ejercicio anterior (la mayor) |
| Entidad importante | 7 M€ o 1,4% facturación mundial del ejercicio anterior (la mayor) |
Las sanciones accesorias previstas incluyen:
- Publicación del incumplimiento en medios oficiales, identificando a la entidad sancionada.
- Prohibición temporal de ejercer funciones directivas a los miembros del consejo o de la alta dirección personalmente responsables.
- Designación de un interventor que supervise la implantación de las medidas correctoras.
- Orden de cese o suspensión de la actividad del servicio afectado en casos graves.
La responsabilidad personal de los directivos es uno de los cambios más relevantes culturalmente. La directiva exige que el órgano de dirección apruebe las medidas de gestión de riesgos, supervise su aplicación y reciba formación específica. El incumplimiento de estas obligaciones es directamente imputable y puede acarrear inhabilitación temporal.
INCIBE-CERT, CCN-CERT y autoridades competentes
España cuenta con un ecosistema de CSIRT y autoridades sectoriales que se reparten las funciones de prevención, respuesta y supervisión.
| Organismo | Ámbito |
|---|---|
| INCIBE-CERT | Sector privado no financiero (PYME, gran empresa, infraestructuras digitales civiles) |
| CCN-CERT | Administraciones públicas y entidades del sector público |
| ESPDEF-CERT | Defensa, contratistas críticos del Ministerio de Defensa |
| CSIRT autonómicos | Coordinación a nivel autonómico (CSUC en Cataluña, CSIRT-CV en Comunidad Valenciana, Andalucía-CERT, otros) |
| Banco de España | Supervisión NIS2 entidades de crédito (coordinación con DORA) |
| CNMV | Supervisión NIS2 infraestructuras de mercados financieros |
| SEPBLAC | Cooperación específica en blanqueo de capitales relacionado con incidentes |
| Ministerios sectoriales | Autoridad competente en sectores como sanidad, transporte, energía |
A nivel europeo, ENISA (Agencia de Ciberseguridad de la Unión Europea) coordina la cooperación entre Estados miembros, mantiene la red CSIRTs Network, gestiona el repositorio europeo de vulnerabilidades y publica guías metodológicas. La cooperación operativa transfronteriza se canaliza vía CyCLONe (red europea de gestión de crisis ciberseguridad a nivel ejecutivo).
Plan de cumplimiento NIS2 en 12 meses
Una hoja de ruta realista para una organización mediana (entre 100 y 1.000 empleados) sin madurez previa de ciberseguridad ocupa típicamente entre 9 y 14 meses. La planificación por fases evita inversiones precipitadas y permite priorizar lo que más reduce riesgo y exposición sancionadora.
Fase 0: Identificación y registro (mes 1)
Determinar si NIS2 aplica, en qué categoría (esencial o importante) y a qué entidades del grupo. Designar al responsable de seguridad ante la autoridad competente y registrar la entidad en el plazo legal. Mapear servicios críticos cuya interrupción provocaría incidente significativo.
Fase 1: Gap analysis frente al artículo 21 (meses 2 a 3)
Auditoría documental y de campo de las 10 áreas obligatorias. Inventario de controles existentes, evaluación de madurez por área (escala 0 a 5), priorización de huecos por riesgo e impacto regulatorio. El entregable es un informe con plan de remediación priorizado y estimación de esfuerzo.
Fase 2: Implementación de controles prioritarios (meses 3 a 8)
Ejecución del plan de remediación con foco en los huecos críticos: procedimiento de notificación 24h/72h, MFA en accesos privilegiados, cifrado de copias de seguridad, gestión de proveedores TIC críticos, formación del consejo. La planificación por sprints quincenales con KPI por sprint permite mantener el ritmo.
Fase 3: Documentación y procedimientos (meses 6 a 9, en paralelo)
Política maestra de seguridad, políticas específicas por dominio (gestión de incidentes, criptografía, cadena de suministro, control de accesos, continuidad), procedimientos operativos y registros. La documentación debe ser usable, no decorativa: la autoridad inspectora pregunta por evidencias de aplicación, no por documentos guardados en una carpeta.
Fase 4: Testing y tabletop (meses 9 a 10)
Pruebas técnicas (pentesting interno y externo, auditoría de configuración cloud, revisión de gestión de identidades) y ejercicios de simulación (tabletop con dirección, simulacro de notificación al CSIRT, ejercicio de recuperación ante ransomware). Resultados que retroalimentan la mejora continua.
Fase 5: Auditoría externa y certificación (meses 10 a 12)
Auditoría independiente de cumplimiento NIS2 que produzca informe defendible ante la autoridad. Para entidades que también busquen certificación voluntaria, la certificación ISO 27001:2022 puede acreditarse en paralelo, ya que cubre aproximadamente el 65 a 75% de los requisitos del artículo 21.
Mantenimiento continuo
Revisión anual del análisis de riesgos, actualización del inventario de proveedores, formación recurrente, simulacros periódicos, monitorización continua de vulnerabilidades y métricas reportadas trimestralmente a dirección. NIS2 no es un proyecto con fin, es una capacidad permanente.
NIS2 vs ISO 27001 vs ENS vs DORA
Las organizaciones que ya cumplen otros marcos suelen preguntarse en qué medida les sirve lo hecho. La comparación práctica ayuda a priorizar inversiones.
| Marco | Alcance | Obligatoriedad | Certificable | Encaje España |
|---|---|---|---|---|
| NIS2 | Ciberseguridad de entidades esenciales e importantes (Anexos I y II) | Obligatorio para sujetos incluidos | No (cumplimiento normativo, no certificación) | Ley de Coordinación y Gobernanza |
| ISO 27001:2022 | Sistema de gestión de seguridad de la información, cualquier sector | Voluntario | Sí (auditoría tercera parte acreditada) | Estándar internacional, ampliamente reconocido |
| ENS | Sistemas de información del sector público y proveedores | Obligatorio para AAPP y sus proveedores | Sí (certificación o autoevaluación según categoría) | Real Decreto 311/2022 |
| DORA | Resiliencia operativa digital de entidades financieras | Obligatorio para entidades financieras | No | Reglamento UE directamente aplicable desde 17/01/2025 |
Una organización financiera de tamaño grande puede tener simultáneamente obligaciones NIS2, DORA y, si es proveedor AAPP, ENS. La estrategia eficiente es construir un sistema de gestión único basado en ISO 27001:2022 con extensiones específicas que cubran cada marco regulatorio.
Errores comunes de cumplimiento NIS2
La experiencia en proyectos reales muestra patrones recurrentes que terminan en hallazgos o sanciones evitables.
1. Asumir que ISO 27001 ya cubre todo
ISO 27001:2022 es un excelente punto de partida y cubre buena parte del artículo 21, pero NIS2 incorpora obligaciones específicas que no encajan automáticamente: notificación 24h al CSIRT, gestión profundizada de cadena de suministro, formación obligatoria del consejo, registro como entidad obligada. El gap analysis es imprescindible.
2. No notificar en 24 horas por miedo a reputación
El cálculo "esperamos a tener todo claro" para evitar comunicar un incidente que después se desmiente es contrario al espíritu y a la letra de la norma. La alerta temprana en 24h no es un compromiso público, es una comunicación a la autoridad competente con información preliminar. El incumplimiento del plazo es una infracción autónoma, independientemente de cómo evolucione el incidente.
3. Scope incompleto en cadena de suministro
Inventariar solo los proveedores TIC directos y olvidar dependencias críticas (datacenter, ISP, proveedores cloud, software empresarial, herramientas de monitorización, MSSP) es un error frecuente. La cadena debe mapearse end-to-end y los proveedores críticos identificados con criterios objetivos de impacto.
4. Falta de testing TLPT o red team
Las pruebas declarativas (cuestionarios al equipo TI) no acreditan eficacia. La autoridad inspectora valora pruebas reales: pentesting con resultados, simulacros tabletop documentados, ejercicios de red team o threat-led penetration testing (TLPT) cuando el tamaño y madurez lo justifican.
5. Formación solo para directivos
Aunque la formación del consejo es novedad y obligatoria, limitarse a ella deja desprotegida la primera línea operativa. La estrategia debe combinar formación del consejo (gobierno, responsabilidad, lectura de informes de riesgo), formación general del personal (phishing, contraseñas, dispositivos), formación técnica diferenciada (desarrolladores, sistemas, operaciones) y formación reforzada para usuarios reincidentes en simulacros.
Casos públicos relevantes
El estado de la transposición de NIS2 en la Unión Europea es heterogéneo. A inicios de 2025, varios Estados miembros (incluyendo España, Francia, Países Bajos, Bélgica) seguían en proceso de aprobación parlamentaria de sus leyes nacionales, lo que motivó la apertura de procedimientos de infracción por parte de la Comisión Europea contra los Estados retrasados.
Los primeros casos sancionadores documentados públicamente proceden de Estados que transpusieron en plazo. En Polonia, la autoridad sectorial publicó actuaciones tempranas contra entidades de infraestructura digital por incumplimiento de obligaciones de registro. En Lituania, comunicaciones públicas del CSIRT nacional confirmaron procedimientos sancionadores contra operadores de servicios esenciales por notificación tardía de incidentes.
INCIBE-CERT y CCN-CERT publican comunicaciones periódicas (avisos de seguridad, alertas, guías sectoriales) durante 2025 y 2026 que sirven como referencia operativa para entidades obligadas. La consulta periódica de estas fuentes oficiales es parte de la diligencia debida exigible.
Preguntas frecuentes
¿Mi empresa está obligada a cumplir NIS2?
Lo está si pertenece a un sector de los Anexos I o II de la directiva (energía, transporte, banca, sanidad, agua, infraestructura digital, AAPP, postal, residuos, química, alimentación, manufactura crítica, proveedores digitales, investigación) y supera el umbral general (más de 50 empleados o facturación superior a 10 M€). Hay excepciones tasadas para entidades clasificadas como esenciales por naturaleza (DNS, TLD, servicios de confianza cualificados, AAPP centrales) que aplican independientemente del tamaño.
¿Cuál es el plazo real de cumplimiento en España?
El plazo europeo de transposición venció el 17 de octubre de 2024. España transpuso con retraso ya entrado 2025 mediante la Ley de Coordinación y Gobernanza de la Ciberseguridad. Desde la entrada en vigor de la ley nacional, las entidades obligadas disponen de los plazos que esta fije (generalmente 5 meses para registro y un plazo razonable para acreditar implantación de medidas). En la práctica, la recomendación es no esperar y avanzar el cumplimiento ya, dado que la obligación material existe desde la directiva.
¿NIS2 sustituye a ENS si soy proveedor AAPP?
No, son marcos complementarios. ENS regula los sistemas de información del sector público y de sus proveedores cuando tratan información o servicios del sector público. NIS2 regula la ciberseguridad de entidades en sectores designados. Un proveedor TIC de la administración puede tener simultáneamente obligaciones ENS (por su relación contractual con AAPP) y NIS2 (si pertenece a un sector obligado y supera umbrales). La integración eficiente se construye sobre un sistema de gestión común.
¿Qué pasa si no notifico un incidente en 24 horas?
El incumplimiento del plazo de alerta temprana es una infracción autónoma. La autoridad competente puede sancionar el retraso o la falta de notificación con independencia de la sanción que corresponda al incidente subyacente. La cuantía depende de la categoría de la entidad (esencial o importante), del grado de cooperación posterior y de la gravedad del incidente. Las sanciones accesorias (publicación del incumplimiento, intervención, inhabilitación de directivos) pueden añadirse a la multa.
¿Cómo demuestro cumplimiento ante un auditor?
Mediante evidencias documentales y operativas: políticas firmadas y vigentes, análisis de riesgos actualizado, registro de incidentes con tiempos de detección y respuesta, registros de notificaciones al CSIRT, registros de formación, resultados de pruebas técnicas, actas de revisión por la dirección, métricas de seguridad, inventarios actualizados, contratos con proveedores con cláusulas de seguridad. La consigna es trazabilidad: cualquier afirmación de cumplimiento debe poder respaldarse con evidencia.
¿Necesito ISO 27001 antes de NIS2?
No es obligatorio, pero acorta el camino significativamente. Una organización con ISO 27001:2022 implantado cubre aproximadamente el 65 a 75% del artículo 21, y los huecos típicos (notificación 24h al CSIRT, formación específica del consejo, gestión profundizada de cadena de suministro) son acotables. Si no tienes ISO 27001 y vas a implantar NIS2 desde cero, plantéate construir el sistema de gestión con la estructura ISO 27001 desde el inicio, así abres la puerta a certificarte después sin reescribir.
¿Quién supervisa mi sector?
Depende del sector. Banca, infraestructuras de mercados financieros, seguros: Banco de España, CNMV, DGSFP, en coordinación con DORA. Sanidad: Ministerio de Sanidad y autoridades autonómicas competentes. Energía, transporte, agua: ministerios sectoriales. Infraestructura digital, MSSP, proveedores digitales: autoridad designada por la ley de transposición, con INCIBE-CERT como CSIRT operativo. AAPP: CCN-CERT y autoridades de cada nivel administrativo. Defensa: ESPDEF-CERT. Si tienes dudas, consulta la designación específica en la Ley de Coordinación y Gobernanza de la Ciberseguridad.
Recursos relacionados
- Auditoría NIS2 paso a paso
- Directiva NIS2: aplicación y multas
- NIS2 vs NIS1: diferencias clave
- DORA vs NIS2: diferencias y solapamientos
- ISO 27001 y NIS2: complementariedad
- DORA: guía de cumplimiento para empresas 2026
- ENS para pymes: guía completa
- ISO 27001 explicada
Diagnóstico NIS2 con Secra
En Secra acompañamos a entidades esenciales e importantes en el cumplimiento NIS2 con un enfoque pragmático y defendible ante la autoridad competente. Nuestro servicio cubre:
- Gap analysis en 4 semanas frente a las 10 áreas del artículo 21, con scoring de madurez y plan de remediación priorizado.
- Hoja de ruta de cumplimiento a 9 a 12 meses con sprints quincenales, KPI por sprint y reporting ejecutivo.
- Evidencia auditable generada durante la implantación: políticas, procedimientos, registros, métricas, resultados de pruebas técnicas.
- Formación específica para el órgano de dirección sobre responsabilidades, gobierno de ciberseguridad y lectura de informes de riesgo.
- Soporte continuo durante el primer año tras la implantación, con simulacros de notificación, revisiones trimestrales y actualización ante cambios regulatorios.
Si tu organización está dentro del perímetro NIS2 y necesitas claridad sobre por dónde empezar, escríbenos y agendamos una primera conversación sin compromiso para evaluar tu situación.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.