NIS2 sustituye a NIS1 corrigiendo sus tres grandes debilidades: cobertura insuficiente (de "operadores identificados manualmente" a 18 sectores automáticos), régimen sancionador débil (de multas heterogéneas a 10 M€/2% facturación armonizado) y notificación inconsistente (de plazos variables a 24h/72h/1 mes europeo). Las cuatro novedades operativas más relevantes: cadena de suministro obligatoria, responsabilidad personal de directivos, formación específica del consejo y evaluación obligatoria de eficacia. Si una empresa estaba bajo NIS1 como "operador de servicios esenciales", probablemente está ahora bajo NIS2 con obligaciones más exigentes.
Por qué NIS1 se quedó corta
La Directiva NIS de 2016 fue el primer marco europeo de ciberseguridad común. Después de seis años de aplicación, la Comisión Europea identificó tres grandes debilidades.
1. Cobertura desigual entre Estados miembros
NIS1 obligaba a cada país a identificar manualmente sus "operadores de servicios esenciales" (OSE). El resultado fue heterogéneo: algunos países identificaron muchos operadores; otros, muy pocos. Empresas idénticas en sectores idénticos quedaban dentro o fuera según el país, y la incertidumbre frenaba la inversión en seguridad.
2. Régimen sancionador débil
Las multas eran competencia nacional sin armonización mínima. Multas máximas variaban entre 100.000 € y varios millones según país, con pocos sancionadores activos y un efecto disuasorio bajo.
3. Notificación de incidentes inconsistente
Los plazos y formatos variaban entre países, lo que dificultaba la respuesta coordinada europea ante incidentes transfronterizos.
NIS2 corrige los tres frentes con un enfoque armonizado y vinculante.
Tabla comparativa: NIS1 vs NIS2
| Dimensión | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Norma | Directiva (UE) 2016/1148 | Directiva (UE) 2022/2555 |
| Cobertura | OSE identificados manualmente + Proveedores de Servicios Digitales (DSP) | 18 sectores con criterios automáticos: 11 esenciales (Anexo I) + 7 importantes (Anexo II) |
| Categorización | OSE / DSP | Esenciales / Importantes |
| Tamaño mínimo | Variable según país | Armonizado: ≥50 empleados o >10 M€ facturación |
| Excepciones PYME | Variables | Tasadas: DNS, TLDs, servicios de confianza, AAPP, sustituibilidad |
| Notificación incidentes | Plazos variables por país | 24h alerta temprana / 72h notificación / 1 mes informe final |
| Cadena de suministro | No tratada formalmente | Obligatoria (artículo 21 letra d) |
| Formación del consejo | No requerida | Obligatoria y específica |
| Responsabilidad directivos | No personal | Personal, con inhabilitación posible |
| Evaluación de eficacia | Recomendada | Obligatoria (artículo 21 letra f) |
| Régimen sancionador | Heterogéneo | Armonizado: hasta 10 M€/2% (esenciales) o 7 M€/1,4% (importantes) |
| Notificación voluntaria de amenazas | No prevista | Prevista y promovida |
| Sectores nuevos | – | AAPP, gestión de residuos, fabricación, alimentación, cloud, MSP/MSSP, espacio, investigación, infraestructura digital ampliada |
| Autoridad nacional | A elección del Estado miembro | Designación obligatoria + CSIRT competente |
| Cooperación europea | Grupo de Cooperación NIS | Grupo de Cooperación + EU-CyCLONe + ENISA reforzada |
Nuevos sectores incorporados en NIS2
NIS2 amplía sustancialmente el universo de obligados respecto a NIS1.
Anexo I — Entidades esenciales: nuevos respecto a NIS1
| Sector | Estado en NIS1 | Estado en NIS2 |
|---|---|---|
| Aguas residuales | No incluido | Nuevo |
| Espacio | No incluido | Nuevo (operadores terrestres) |
| Servicios cloud | Incluido como DSP (régimen ligero) | Refuerzo como entidad esencial |
| Data centers | No tratado | Nuevo |
| CDN | No tratado | Nuevo |
| Servicios gestionados (MSP) | No incluido | Nuevo |
| Servicios gestionados de seguridad (MSSP) | No incluido | Nuevo |
| Administración pública | Decisión nacional | Obligatoria (con excepciones de seguridad nacional) |
| Sanidad | Hospitales | Ampliación a laboratorios, farma, productos sanitarios |
| Hidrógeno | No tratado | Nuevo |
Anexo II — Entidades importantes: práctica novedad de NIS2
NIS1 no tenía esta categoría. Toda la lista del Anexo II es nueva:
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación, producción y distribución de productos químicos
- Producción y distribución de alimentos
- Fabricación (sanitarios, electrónica, eléctrico, maquinaria, vehículos, transporte)
- Proveedores digitales (mercados, motores de búsqueda, redes sociales)
- Investigación
Impacto práctico: muchas empresas medianas industriales y de servicios que estaban completamente fuera de NIS1 entran ahora bajo NIS2 como entidades importantes.
Notificación de incidentes: del modelo difuso al 24h/72h
Cómo era en NIS1
Cada país definía sus propios plazos y formatos. España aplicaba "sin demora indebida"; Francia tenía plazos propios; Alemania, otros. Las empresas multinacionales enfrentaban procedimientos paralelos.
Cómo es en NIS2
Plazo armonizado europeo:
| Plazo | Acción | Contenido mínimo |
|---|---|---|
| 24 horas desde el conocimiento | Alerta temprana al CSIRT competente | Indicación de si el incidente puede ser causado por actos ilícitos o de naturaleza maliciosa, e impacto transfronterizo si lo hay |
| 72 horas | Notificación de incidente | Evaluación inicial, severidad, impacto, indicadores de compromiso si los hay, medidas de mitigación |
| 1 mes | Informe final | Descripción detallada, gravedad, causa raíz, medidas adoptadas y en curso |
Adicionalmente, NIS2 prevé la notificación a destinatarios de los servicios cuando un incidente pueda afectarles negativamente.
Importante: para entidades del sector financiero, los plazos de DORA son lex specialis y prevalecen.
Cadena de suministro: la gran novedad operativa
NIS1 trataba la cadena de suministro de forma marginal. NIS2 la convierte en obligación específica del artículo 21 letra d, exigiendo:
- Inventario de proveedores TIC críticos mantenido y actualizado.
- Evaluación de riesgos de cada proveedor crítico, con criterios documentados.
- Cláusulas contractuales que impongan al proveedor medidas equivalentes.
- Verificación periódica mediante cuestionarios, evidencias y auditorías cuando aplique.
- Plan de respuesta ante incidentes que afecten al proveedor.
- Consideración del riesgo de concentración a nivel agregado.
Adicionalmente, las autoridades europeas pueden realizar evaluaciones coordinadas de la cadena de suministro de productos y servicios TIC críticos.
Impacto práctico: si eres proveedor de un obligado NIS2, recibirás cláusulas y cuestionarios reforzados aunque no estés directamente bajo NIS2.
Casos prácticos: empresas que pasaban de NIS1 a NIS2
Caso 1 — Empresa industrial mediana sin obligaciones bajo NIS1
Contexto: empresa de fabricación de equipos eléctricos, 220 empleados, 60 M€ facturación. Bajo NIS1 no fue identificada como OSE.
Bajo NIS2: cae en Anexo II como entidad importante del sector "Fabricación de equipos eléctricos". Aplican obligaciones del artículo 21, multas hasta 7 M€ o 1,4% facturación, notificación 24h/72h.
Esfuerzo de adecuación: proyecto de 6-9 meses si se parte de cero, con análisis de aplicabilidad, GAP frente a artículo 21, pruebas técnicas y plan de remediación.
Caso 2 — Operador de cloud bajo NIS1 como DSP
Contexto: proveedor cloud español con 180 empleados.
Bajo NIS1: estaba como DSP con régimen ligero (auto-evaluación, supervisión reactiva, sanciones limitadas).
Bajo NIS2: pasa a entidad esencial con régimen completo: gestión activa de cadena de suministro, evaluación de eficacia, multas hasta 10 M€/2%, supervisión proactiva.
Esfuerzo incremental: significativo el primer año — programa de pruebas técnicas estructurado, formalización de gestión de cadena de suministro, formación específica del consejo y procedimiento de notificación 24h/72h con simulacros.
Caso 3 — Entidad financiera bajo NIS1
Contexto: banco mediano que estaba bajo NIS1 como OSE del sector banca.
Bajo NIS2 + DORA: lex specialis hace que DORA prevalezca. NIS2 deja de aplicar directamente, pero las obligaciones DORA son superiores a las que tenía bajo NIS1: TLPT obligatorio cada 3 años, registro de proveedores, supervisión CTPP. Análisis dedicado en DORA vs NIS2.
Esfuerzo incremental: significativo, sobre todo por la introducción de TLPT obligatorio cada 3 años para entidades designadas. El TLPT es el ticket de mayor coste y duración del marco DORA.
Caso 4 — Administración pública
Contexto: ayuntamiento mediano.
Bajo NIS1: las AAPP eran decisión nacional y muchas quedaban fuera.
Bajo NIS2: las AAPP nacionales y regionales entran obligatoriamente (con excepciones de seguridad nacional). En España conviven con el ENS.
Coste incremental: depende del estado del ENS; si tiene ENS Alta implantado, la adecuación NIS2 es marginal.
Preguntas frecuentes
Si era OSE bajo NIS1, ¿automáticamente soy entidad esencial bajo NIS2?
Probablemente sí, pero no es automático. Hay que revisar Anexos I y II de NIS2 para confirmar la categorización exacta. La mayoría de OSE pasan a esenciales; algunos cambian de categoría según subsector.
¿NIS2 deroga formalmente NIS1?
Sí. El artículo 44 de NIS2 deroga la Directiva (UE) 2016/1148 con efecto desde el 18 de octubre de 2024.
¿Las identificaciones manuales de NIS1 se mantienen?
No automáticamente. NIS2 sustituye el modelo de identificación manual por criterios automáticos. Las autoridades nacionales reidentifican el universo bajo los nuevos criterios.
¿La autoridad nacional cambia respecto a NIS1?
Cada Estado miembro designa autoridades competentes y CSIRT. En España continúan INCIBE-CERT (sector privado) y CCN-CERT (AAPP), con autoridades sectoriales reforzadas.
¿Hay obligaciones nuevas que no estaban en NIS1?
Sí, las cuatro principales: cadena de suministro obligatoria, formación específica del consejo, responsabilidad personal de directivos y evaluación obligatoria de eficacia (incluyendo pruebas técnicas).
¿NIS2 se aplica a Reino Unido tras el Brexit?
No directamente. Pero entidades británicas que presten servicios en la UE están bajo NIS2 mediante representación designada. Reino Unido tiene su propia evolución del marco NIS (NIS Regulations) con criterios convergentes.
Migra de NIS1 a NIS2 con Secra
En Secra ejecutamos análisis comparativo NIS1↔NIS2, revisión de cláusulas contractuales pre-existentes, plan de adecuación a las nuevas obligaciones y diseño del procedimiento armonizado de notificación.
→ Conoce nuestro servicio de cumplimiento NIS2
→ Solicita una conversación inicial sin compromiso
Lecturas relacionadas
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.
Conoce al equipo →