Directiva NIS2: todo lo que tu empresa necesita saber para cumplir en España
La directiva NIS2 es la normativa de ciberseguridad más ambiciosa de la Unión Europea. Afecta a miles de empresas en España — muchas de las cuales aún no saben que están incluidas. Las sanciones llegan hasta 10 millones de euros y, por primera vez, los directivos pueden ser suspendidos personalmente si no cumplen. Esta guía explica quién está obligado, qué se exige exactamente y cómo prepararse antes de que la transposición española sea definitiva.
Qué es NIS2 y por qué reemplaza a NIS1
NIS2 (Directiva 2022/2555) es la segunda directiva europea sobre seguridad de redes y sistemas de información. Reemplaza a la NIS1 de 2016 porque esta quedó obsoleta: cubría pocos sectores, las sanciones eran débiles, la notificación de incidentes era inconsistente entre países y no abordaba la cadena de suministro.
| Aspecto | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Sectores cubiertos | 7 sectores | 18 sectores (11 esenciales + 7 importantes) |
| Criterio de inclusión | Designación por cada estado miembro | Automático por sector + tamaño (armonizado) |
| Notificación de incidentes | "Sin demora indebida" | 24h (alerta) + 72h (informe) + 1 mes (informe final) |
| Cadena de suministro | No abordada | Obligación explícita de evaluar proveedores |
| Sanciones máximas | Definidas por cada estado | 10M € / 2% facturación (armonizado) |
| Responsabilidad directivos | No contemplada | Suspensión temporal si incumplen |
A quién afecta NIS2 en España
NIS2 clasifica las entidades en dos categorías, con distintos niveles de obligación y sanción:
Entidades esenciales (essential entities)
| Sector | Ejemplos en España |
|---|---|
| Energía | Iberdrola, Endesa, Repsol, Red Eléctrica, Enagás |
| Transporte | Renfe, Aena, Puertos del Estado, empresas de transporte |
| Banca y finanzas | Bancos, aseguradoras, infraestructuras de mercado |
| Sanidad | Hospitales, laboratorios, fabricantes de productos sanitarios |
| Agua potable y residuales | Canal de Isabel II, empresas de ciclo integral del agua |
| Infraestructura digital | ISPs, centros de datos, DNS, registros TLD, CDNs |
| Administración pública | AGE, comunidades autónomas (excluidos parlamentos y poder judicial) |
| Espacio | Operadores de infraestructura espacial terrestre |
Entidades importantes (important entities)
| Sector | Ejemplos |
|---|---|
| Servicios postales y mensajería | Correos, operadores privados de paquetería |
| Gestión de residuos | Empresas de recogida, tratamiento y reciclaje |
| Fabricación | Productos sanitarios, informáticos, electrónicos, maquinaria, vehículos |
| Alimentación | Producción, transformación y distribución de alimentos |
| Industria química | Fabricación, producción y distribución de sustancias químicas |
| Proveedores digitales | Marketplaces online, motores de búsqueda, redes sociales |
| Investigación | Organizaciones de investigación (no universidades) |
Criterio de tamaño: medianas empresas (50-249 empleados o 10-50M€ facturación) y grandes empresas (≥250 empleados o >50M€). Algunas entidades (DNS, registradores de dominios, proveedores de servicios de confianza) aplican independientemente del tamaño.
Las 4 obligaciones clave de NIS2
1. Gestión de riesgos de ciberseguridad
NIS2 exige un enfoque basado en riesgos que incluya, como mínimo: análisis de riesgos y políticas de seguridad de sistemas de información, gestión de incidentes (prevención, detección, respuesta), continuidad de negocio y gestión de crisis, seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas, políticas de cifrado, seguridad de recursos humanos, control de acceso y gestión de activos, autenticación multifactor (MFA) y comunicaciones seguras.
2. Notificación de incidentes
NIS2 establece plazos estrictos y escalonados para la notificación de incidentes significativos:
- 24 horas: alerta temprana al CSIRT de referencia (en España, CCN-CERT para sector público e INCIBE-CERT para sector privado). Debe incluir si se sospecha que el incidente es de origen malicioso y si puede tener impacto transfronterizo.
- 72 horas: notificación del incidente con evaluación inicial — gravedad, impacto, indicadores de compromiso.
- 1 mes: informe final con descripción detallada, causa raíz, medidas de mitigación aplicadas e impacto transfronterizo si aplica.
3. Seguridad de la cadena de suministro
Una de las novedades más relevantes de NIS2. Las entidades deben evaluar la ciberseguridad de sus proveedores directos y prestadores de servicios. Esto incluye: evaluar el nivel de seguridad de cada proveedor, incluir requisitos de ciberseguridad en los contratos, y monitorizar continuamente los riesgos de la cadena de suministro. En la práctica, esto significa que aunque tu empresa no esté directamente sujeta a NIS2, si eres proveedor de una que sí lo está, te van a exigir cumplimiento.
4. Gobernanza y responsabilidad de la dirección
NIS2 exige que los órganos de dirección (consejo de administración, dirección general) aprueben las medidas de gestión de riesgos, supervisen su implementación y reciban formación en ciberseguridad. La novedad: los directivos pueden ser personalmente responsables si no cumplen estas obligaciones.
Régimen sancionador
| Categoría | Sanción máxima | Responsabilidad personal |
|---|---|---|
| Entidades esenciales | 10M € o 2% facturación anual global | Suspensión temporal de directivos |
| Entidades importantes | 7M € o 1,4% facturación anual global | Responsabilidad administrativa |
Las sanciones se aplican no solo por incidentes de seguridad, sino también por incumplimiento de las obligaciones preventivas: no tener gestión de riesgos, no notificar incidentes en plazo, no evaluar la cadena de suministro o no formar a los directivos.
Estado de la transposición en España
El plazo de transposición venció el 17 de octubre de 2024. España, como la mayoría de estados miembros, no completó la transposición a tiempo. El anteproyecto de ley que actualiza el Real Decreto-ley 12/2018 (transposición de NIS1) está en tramitación. Hasta que la ley española se publique, la directiva NIS2 no es directamente aplicable a empresas (las directivas europeas necesitan transposición, a diferencia de los reglamentos como DORA o RGPD).
Sin embargo, el retraso no es excusa para no prepararse. Los requisitos de NIS2 están definidos y la ley llegará. Las empresas que empiecen ahora tendrán ventaja competitiva y evitarán la presión de cumplir en plazos ajustados cuando la norma sea definitiva.
Relación con ENS y DORA
El panorama normativo de ciberseguridad en España tiene tres marcos que conviven y se solapan parcialmente:
- ENS (Esquema Nacional de Seguridad): aplica al sector público español y sus proveedores TIC. Es específico de España. Si además operas en un sector NIS2, cumples ambos.
- DORA (Digital Operational Resilience Act): reglamento europeo para el sector financiero. Es lex specialis — prevalece sobre NIS2 en lo que regula. Si eres banco, aseguradora o proveedor TIC del sector financiero, DORA es tu marco principal.
- NIS2: marco general para todos los sectores críticos. Complementa a ENS y DORA donde estos no llegan.
Cómo prepararse: 8 pasos accionables
Paso 1: Determinar si estás dentro del ámbito
Cruza tu sector (CNAE) con las listas de entidades esenciales e importantes. Verifica el criterio de tamaño. Si tienes dudas, consulta con un asesor legal especializado — la exclusión por error puede costar cara.
Paso 2: Gap analysis
Compara tu situación actual de ciberseguridad con los requisitos del artículo 21 de NIS2 (las 10 medidas mínimas de gestión de riesgos). Identifica qué ya cumples, qué te falta y qué necesita mejora. Prioriza por riesgo e impacto.
Paso 3: Designar responsable de ciberseguridad
NIS2 exige que la dirección supervise la ciberseguridad. Esto requiere un responsable a nivel directivo (CISO o equivalente) con acceso al consejo. En pymes, puede ser un rol compartido con la dirección de IT, pero debe tener capacidad de decisión y presupuesto.
Paso 4: Implementar gestión de incidentes
Si no tienes un proceso formal de detección, clasificación y respuesta a incidentes, créalo. Debe incluir capacidad de notificación en 24h (alerta) y 72h (informe). Prueba el proceso con simulacros al menos dos veces al año.
Paso 5: Evaluar la cadena de suministro
Identifica tus proveedores TIC críticos. Evalúa su nivel de seguridad (certificaciones, políticas, historial de incidentes). Incluye requisitos de ciberseguridad en los contratos nuevos y renegocia los existentes.
Paso 6: Implementar MFA y controles de acceso
La autenticación multifactor es un requisito explícito de NIS2. Actívala en todos los accesos a sistemas críticos: VPN, email corporativo, paneles de administración, acceso remoto. Si tu web es parte de tu operativa crítica, esto también aplica a su panel de gestión.
Paso 7: Formar a la dirección
NIS2 exige formación en ciberseguridad para los órganos de dirección. No es un curso técnico — es entender los riesgos, las obligaciones legales y las implicaciones de sus decisiones. La formación debe ser recurrente, no un evento único.
Paso 8: Documentar todo
Políticas de seguridad, evaluaciones de riesgos, planes de continuidad, registros de incidentes, contratos con proveedores, actas de formación a directivos. NIS2 exige capacidad de demostrar cumplimiento, no solo cumplir. Si no está documentado, no existe.
NIS2 y tu presencia digital
Si tu web es parte de tu operativa (e-commerce, plataforma de clientes, captación de leads), los requisitos NIS2 aplican también a ella: HTTPS, headers de seguridad, gestión de vulnerabilidades, backups, monitorización. Para una guía práctica de seguridad web, lee cómo proteger tu web de ataques y para las vulnerabilidades técnicas más comunes, nuestra guía OWASP Top 10.
Checklist de preparación NIS2
- ☐ Confirmado que la empresa está dentro del ámbito NIS2
- ☐ Gap analysis completado contra requisitos del artículo 21
- ☐ Responsable de ciberseguridad designado a nivel directivo
- ☐ Proceso de gestión de incidentes implementado (24h/72h/1 mes)
- ☐ Proveedores TIC críticos evaluados y contratos actualizados
- ☐ MFA activo en todos los accesos a sistemas críticos
- ☐ Plan de continuidad de negocio y recuperación ante desastres
- ☐ Dirección formada en ciberseguridad (con acta)
- ☐ Políticas de cifrado implementadas para datos en tránsito y en reposo
- ☐ Gestión de activos y control de acceso documentados
- ☐ Seguridad de RR.HH.: onboarding y offboarding seguros
- ☐ Toda la documentación centralizada y actualizada
Conclusión
NIS2 no es "otra normativa más" — es el mayor salto regulatorio en ciberseguridad que ha dado Europa. Afecta a más sectores, exige más medidas, sanciona más fuerte y, por primera vez, hace responsables personales a los directivos. El hecho de que España aún no haya completado la transposición no es motivo para esperar: los requisitos son claros, los plazos se acortan y las empresas que se preparen ahora tendrán ventaja cuando la ley sea definitiva.
Si necesitas una auditoría de tu postura de ciberseguridad frente a NIS2 o ayuda con la implementación técnica (seguridad web, gestión de incidentes, monitorización), escríbenos a /contacto.
Preguntas frecuentes
¿Qué es la directiva NIS2?
NIS2 (Network and Information Security Directive 2) es la directiva europea 2022/2555 que sustituye a la NIS1 de 2016. Establece obligaciones de ciberseguridad para empresas de sectores críticos y esenciales en toda la UE. Los estados miembros debían transponerla a legislación nacional antes del 17 de octubre de 2024. En España, la transposición se está tramitando a través de un anteproyecto de ley que actualiza el Real Decreto-ley 12/2018.
¿A qué empresas afecta NIS2 en España?
NIS2 afecta a dos categorías: entidades esenciales (energía, transporte, banca, sanidad, agua, infraestructura digital, administración pública, espacio) y entidades importantes (servicios postales, gestión de residuos, fabricación, alimentación, industria química, proveedores digitales, investigación). El criterio de tamaño es medianas y grandes empresas (más de 50 empleados o más de 10M de euros de facturación), aunque algunas entidades aplican independientemente del tamaño.
¿Cuáles son las principales obligaciones de NIS2?
Cuatro obligaciones clave: (1) gestión de riesgos de ciberseguridad con medidas técnicas y organizativas, (2) notificación de incidentes significativos al CSIRT en 24 horas (alerta inicial) y 72 horas (informe completo), (3) seguridad de la cadena de suministro — evaluar a tus proveedores, (4) gobernanza — la dirección debe aprobar y supervisar las medidas de ciberseguridad, con responsabilidad personal.
¿Qué sanciones contempla NIS2?
Para entidades esenciales: hasta 10 millones de euros o el 2% de la facturación anual global (lo que sea mayor). Para entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación. Además, NIS2 introduce responsabilidad personal de los directivos: los órganos de dirección pueden ser suspendidos temporalmente si no cumplen sus obligaciones de supervisión.
¿Cuál es la diferencia entre NIS2 y el Esquema Nacional de Seguridad (ENS)?
El ENS (Real Decreto 311/2022) aplica al sector público español y a sus proveedores tecnológicos. NIS2 aplica a sectores críticos tanto públicos como privados. Son complementarios: una empresa que preste servicios al sector público y opere en un sector NIS2 puede estar sujeta a ambos. El ENS es específico de España; NIS2 es normativa europea armonizada.
¿Qué relación tiene NIS2 con DORA?
DORA (Digital Operational Resilience Act) es el reglamento europeo específico para el sector financiero (bancos, aseguradoras, gestoras de fondos, proveedores TIC del sector financiero). DORA es lex specialis respecto a NIS2: si tu empresa está sujeta a DORA, DORA prevalece en lo que regula. Pero NIS2 sigue aplicando en lo no cubierto por DORA. Ambas comparten el enfoque de gestión de riesgos y notificación de incidentes.
¿Cómo empiezo a prepararme para NIS2?
Cinco pasos iniciales: (1) determina si tu empresa está dentro del ámbito de aplicación (sector + tamaño), (2) haz un gap analysis comparando tu situación actual con los requisitos NIS2, (3) designa un responsable de ciberseguridad a nivel de dirección, (4) implementa un proceso de gestión de incidentes con capacidad de notificación en 24h, (5) evalúa la seguridad de tu cadena de suministro (proveedores TIC críticos). No esperes a la transposición completa: los requisitos son claros y el plazo se agota.
¿Tienes un proyecto en mente?
Cuéntanos qué necesitas y te proponemos la mejor solución sin compromiso.
Hablar con el equipo →