Tabla de Contenidos
La Directiva NIS2 (UE 2022/2555) obliga a miles de empresas españolas a implementar medidas de ciberseguridad que antes solo afectaban a operadores de servicios esenciales. España está transponiendo la directiva a su legislación nacional, con entrada en vigor efectiva prevista para finales de 2026. Según estimaciones de ENISA, NIS2 afectará a más de 100.000 entidades en toda la UE, de las cuales entre 8.000 y 12.000 se encuentran en España. En este checklist desglosamos cada requisito y los pasos concretos para cumplir.
¿Cuáles son los requisitos de NIS2 para empresas españolas?
NIS2 establece tres bloques de requisitos obligatorios para todas las entidades afectadas:
1. Medidas de gestión de riesgos de ciberseguridad (Artículo 21): diez medidas mínimas que toda entidad debe implementar, sin excepciones ni proporcionalidad por tamaño.
2. Obligaciones de notificación de incidentes (Artículo 23): plazos estrictos de 24, 72 horas y un mes para reportar incidentes significativos a la autoridad competente.
3. Gobernanza de la ciberseguridad (Artículo 20): la dirección de la entidad es responsable directa de aprobar las medidas de seguridad y puede ser sancionada personalmente por incumplimiento.
Además, NIS2 introduce obligaciones sobre la seguridad de la cadena de suministro, que afectan a todas las empresas que prestan servicios a entidades reguladas, aunque ellas mismas no sean entidades esenciales o importantes.
¿Qué medidas de gestión de riesgos exige NIS2?
El Artículo 21 de NIS2 establece diez medidas mínimas de gestión de riesgos:
Políticas de análisis de riesgos y seguridad de los sistemas de información: la entidad debe tener un marco formal de evaluación y gestión de riesgos ciber, actualizado periódicamente.
Gestión de incidentes: procedimientos para detectar, gestionar, notificar y responder a incidentes de ciberseguridad. Incluye capacidades de detección y respuesta (SOC o equivalente).
Continuidad de negocio y gestión de crisis: planes de continuidad, backup, disaster recovery y gestión de crisis ciber probados periódicamente.
Seguridad de la cadena de suministro: evaluación de riesgos de proveedores TIC críticos, requisitos contractuales de seguridad y auditorías a terceros.
Seguridad en la adquisición, desarrollo y mantenimiento de sistemas: gestión de vulnerabilidades, desarrollo seguro (SDLC) y parcheo en plazos razonables.
Políticas y procedimientos para evaluar la eficacia de las medidas: auditorías internas, pruebas de seguridad y métricas de eficacia.
Prácticas básicas de ciberhigiene y formación: concienciación y formación periódica para todos los empleados, no solo el equipo técnico.
Políticas de uso de criptografía: cifrado de datos en tránsito y en reposo según la sensibilidad de la información.
Seguridad de recursos humanos, control de acceso y gestión de activos: políticas de acceso basadas en el principio de mínimo privilegio, gestión del ciclo de vida de identidades.
Autenticación multifactor y comunicaciones seguras: MFA para accesos críticos y uso de comunicaciones cifradas dentro de la organización.
¿Cómo debe ser la notificación de incidentes bajo NIS2?
NIS2 establece plazos estrictos y escalonados para la notificación de incidentes significativos:
| Plazo | Tipo de notificación | Contenido |
|---|---|---|
| 24 horas | Alerta temprana | Sospecha de incidente significativo, posible causa, impacto transfronterizo |
| 72 horas | Notificación de incidente | Evaluación inicial de gravedad e impacto, indicadores de compromiso |
| 1 mes | Informe final | Descripción detallada, causa raíz, medidas de mitigación, impacto real |
Un incidente se considera significativo si ha causado o puede causar: perturbación operativa grave del servicio, pérdidas financieras significativas, o daño considerable a personas físicas o jurídicas.
La autoridad competente en España será el CCN-CERT para el sector público y el INCIBE-CERT para el sector privado. Las entidades deben establecer canales de comunicación previamente acordados con estas autoridades.
¿Qué requisitos de gobernanza establece NIS2?
NIS2 introduce una novedad fundamental: la responsabilidad directa de la dirección (Artículo 20). Los órganos de dirección de las entidades afectadas deben:
- Aprobar las medidas de gestión de riesgos de ciberseguridad
- Supervisar su implementación y ser informados periódicamente de su eficacia
- Recibir formación en ciberseguridad para poder tomar decisiones informadas
- Ser responsables personalmente del incumplimiento de estas obligaciones
Esto significa que los consejeros delegados, directores generales y miembros del consejo de administración pueden enfrentar sanciones personales si la entidad incumple NIS2 y se demuestra que no ejercieron la debida supervisión.
Riskitera mapea automáticamente controles ENS, NIS2 e ISO 27001, reduciendo el esfuerzo manual un 70%.
Ver cómo¿Qué empresas están obligadas a cumplir NIS2 en España?
NIS2 clasifica las entidades en dos categorías:
Entidades esenciales (supervisión proactiva, sanciones más altas):
- Energía (electricidad, petróleo, gas, hidrógeno)
- Transporte (aéreo, ferroviario, marítimo, carretera)
- Banca y infraestructuras de mercados financieros
- Sanidad (hospitales, laboratorios, fabricantes de productos médicos)
- Agua (potable y residual)
- Infraestructura digital (proveedores DNS, IXPs, proveedores cloud, data centers)
- Administración pública (gobierno central y regional)
- Espacio
Entidades importantes (supervisión reactiva):
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación de productos químicos
- Industria alimentaria
- Fabricación de dispositivos médicos, productos informáticos, maquinaria
- Proveedores de servicios digitales (marketplaces, motores de búsqueda, redes sociales)
- Investigación
El criterio de tamaño: empresas medianas (50+ empleados o 10M+ EUR facturación) y grandes. Las micropymes y pymes pequeñas quedan fuera salvo excepciones (infraestructura digital crítica, monopolios regionales).
¿Cuál es el plazo para cumplir con NIS2?
La Directiva NIS2 entró en vigor el 16 de enero de 2023. Los estados miembros tenían hasta el 17 de octubre de 2024 para transponerla a su legislación nacional. España no cumplió este plazo. La transposición está en trámite parlamentario y se espera completada en 2026.
Una vez en vigor la ley nacional, las entidades afectadas deberán:
- Registrarse ante la autoridad competente
- Implementar las medidas del Artículo 21 en un plazo que la ley nacional determinará (estimación: 12-18 meses)
- Establecer canales de notificación de incidentes
La recomendación de ENISA y del CCN-CERT es no esperar a la transposición: los requisitos de NIS2 son conocidos y la preparación lleva meses. Las organizaciones que empiecen ahora tendrán ventaja competitiva.
Checklist de cumplimiento NIS2: los 10 puntos clave
- Determinar si tu organización es entidad esencial o importante
- Designar un responsable de ciberseguridad a nivel de dirección
- Realizar un análisis de riesgos de ciberseguridad actualizado
- Implementar las 10 medidas del Artículo 21
- Establecer procedimientos de notificación de incidentes (24h/72h/1 mes)
- Evaluar y documentar la seguridad de proveedores TIC críticos
- Implementar MFA para accesos críticos
- Establecer programa de formación y concienciación
- Planificar pruebas de continuidad de negocio y recuperación
- Documentar todo: políticas, procedimientos, evidencias y métricas
¿Qué sanciones hay por incumplir NIS2 en España?
NIS2 establece sanciones máximas a nivel europeo que la legislación nacional debe respetar:
| Tipo de entidad | Sanción máxima |
|---|---|
| Entidades esenciales | 10 millones EUR o 2% facturación global (lo que sea mayor) |
| Entidades importantes | 7 millones EUR o 1,4% facturación global (lo que sea mayor) |
Además, NIS2 permite sanciones personales a los directivos responsables, incluyendo inhabilitación temporal para ejercer funciones de dirección. La legislación española concretará los importes y criterios de graduación.
Automatiza la recopilación de evidencias y el seguimiento de controles con Riskitera.
Solicitar demoArtículos relacionados:
Preguntas frecuentes
¿Mi empresa tiene 45 empleados, le aplica NIS2?
Si tu empresa opera en un sector cubierto por NIS2 pero tiene menos de 50 empleados y factura menos de 10 millones de euros, en principio no le aplica NIS2 directamente. Sin embargo, hay excepciones: si eres proveedor de servicios DNS, TLD, proveedor de servicios de confianza o tu servicio es crítico para una entidad regulada, puedes estar obligado independientemente del tamaño.
¿NIS2 sustituye al ENS?
No. NIS2 y el ENS son marcos complementarios. El ENS seguirá siendo obligatorio para el sector público. NIS2 añade requisitos adicionales para entidades esenciales e importantes, tanto públicas como privadas. Los organismos públicos afectados por ambos deberán cumplir ambos marcos simultáneamente.
¿Cómo se relaciona NIS2 con DORA?
DORA (Digital Operational Resilience Act) es la normativa específica para el sector financiero. NIS2 reconoce expresamente que DORA es lex specialis: las entidades financieras sujetas a DORA cumplen los requisitos de NIS2 a través de DORA. No hay doble cumplimiento, pero si la entidad presta servicios no financieros cubiertos por NIS2, deberá cumplir ambos.
¿Necesito un CISO para cumplir NIS2?
NIS2 no exige explícitamente un CISO, pero exige que la dirección apruebe y supervise las medidas de seguridad. En la práctica, las organizaciones medianas y grandes necesitan al menos un responsable de ciberseguridad dedicado que reporte directamente a la dirección. Este rol puede ser interno o externalizado, pero la responsabilidad sigue siendo de la dirección.
¿Qué diferencia hay entre NIS2 y el RGPD en cuanto a notificación de incidentes?
El RGPD exige notificar brechas de datos personales a la AEPD en 72 horas. NIS2 exige una alerta temprana en 24 horas para incidentes significativos (no solo los que afecten a datos personales), seguida de una notificación detallada en 72 horas y un informe final en un mes. Si un incidente afecta a datos personales y es significativo bajo NIS2, hay que notificar a ambas autoridades.
¿Conoces tu nivel de madurez en ciberseguridad?
Diagnóstico gratuito en 3 minutos. Score personalizado, mapa de brechas y plan de acción adaptado a tu sector.
Posts Relacionados
ENS en la administración pública: requisitos, plazos y errores comunes
Guía práctica del Esquema Nacional de Seguridad para administraciones públicas: requisitos obligatorios, plazos de cumplimiento, herramientas del CCN y errores frecuentes en la implementación.
Seguridad en el sector salud: proteger datos clínicos bajo ENS y RGPD
Guía de ciberseguridad para hospitales y centros sanitarios: protección de datos clínicos, cumplimiento del ENS y RGPD, amenazas específicas del sector salud y buenas prácticas.
Ciberseguridad en banca: cómo cumplir DORA paso a paso
Guía práctica para entidades bancarias y fintech sobre cómo cumplir el reglamento DORA: requisitos técnicos, gestión de riesgos TIC, pruebas de resiliencia y plazos de implementación.