Ir al contenido

NIS2 en España: Todo lo que su Empresa Necesita Saber para Cumplir con la Directiva de Ciberseguridad

La Directiva NIS2 afecta a unas 40.000 entidades en España y amplia la responsabilidad personal de los administradores. Todo lo que su empresa necesita saber sobre el cumplimiento NIS2.

Evaluar si mi empresa esta afectada por NIS2

El problema

La Directiva NIS2 (Directiva (UE) 2022/2555) supone la mayor revisión del marco europeo de ciberseguridad desde 2016. Amplia considerablemente el perimetro de entidades obligadas —de unos cientos de operadores de servicios esenciales bajo NIS1 a cerca de 40.000 entidades en España— e introduce un régimen sancionador nuevo con multas de hasta 10 millones de euros o el 2% de la facturación global para las entidades esenciales, y de hasta 7 millones o el 1,4% para las entidades importantes. Lo que preocupa más a los responsables legales y de cumplimiento es la responsabilidad personal de los órganos de dirección. NIS2 establece que los administradores y directivos pueden incurrir en responsabilidad personal si la entidad no ha implementado medidas adecuadas de gestión del riesgo de ciberseguridad. Esta no es una responsabilidad teorica: las autoridades supervisoras europeas han comenzado a investigar activamente el cumplimiento. En España, la transposicion de NIS2 —que debia producirse antes del 17 de octubre de 2024— se ha retrasado, pero las obligaciones de la directiva son directamente aplicables en muchos aspectos y la normativa nacional se espera para el primer semestre de 2026. Muchas empresas que deberán cumplir NIS2 aun no saben si están afectadas, que medidas tecnológicas y organizativas deben implementar, ni como gestionar el nuevo requisito de notificación de incidentes en 24 horas.

Nuestra solución

BMC ofrece un programa integral de cumplimiento NIS2 que cubre todas las dimensiones de la directiva: evaluación inicial del ámbito de aplicación, análisis de brechas respecto al estándar de medidas de seguridad requeridas, hoja de ruta de implementación, políticas y procedimientos de gestión del riesgo, y apoyo continuo en el cumplimiento y la gestión de incidentes. Nuestro equipo combina abogados especializados en cumplimiento normativo tecnológico con expertos en ciberseguridad que pueden evaluar tanto la dimensión jurídica como la técnica del cumplimiento NIS2. Actuamos como CISO Virtual para entidades que no disponen de Director de Seguridad de la Información propio, y asesoramos a los órganos de administración sobre sus responsabilidades personales y como documentar el cumplimiento de sus obligaciones de supervisión. Integramos el cumplimiento NIS2 con el RGPD (especialmente en lo relativo a la notificación de brechas de seguridad), con los esquemas de certificación de ciberseguridad europeos, y con ISO 27001 cuando la empresa ya trabaja bajo ese estándar.

Proceso

Como lo hacemos

1

Evaluación del ámbito de aplicación

Determinamos si su empresa entra en el perimetro NIS2 como entidad esencial o importante, basandonos en el sector de actividad, el tamaño de la empresa y su relevancia para la infraestructura crítica. Identificamos los subsectores específicos del Anexo I y II de la Directiva que aplican y las implicaciones para el régimen de supervisión.

2

Análisis de brechas (gap analysis)

Evaluamos las medidas técnicas y organizativas de gestión del riesgo de ciberseguridad actualmente implementadas en la empresa y las comparamos con los requisitos del artículo 21 de NIS2: políticas de seguridad, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, seguridad en el desarrollo de sistemas, gestión de vulnerabilidades, cifrado y autenticacion multifactor.

3

Implementación y documentación

Desarrollamos e implementamos las políticas, procedimientos y controles tecticos necesarios para cubrir las brechas identificadas: política de seguridad de la información, procedimiento de notificación de incidentes (alerta 24h, informe 72h, informe final mensual), plan de continuidad, evaluaciones de riesgo de proveedores clave y programa de formación y concienciacion.

4

Supervisión y respuesta ante incidentes

Proporcionamos monitorizacion continua del cumplimiento, apoyo en la notificación de incidentes significativos al INCIBE-CERT o al CCN-CERT según el sector, asistencia legal en inspecciones de la autoridad supervisora, y actualización del programa de cumplimiento ante cambios normativos o nuevas orientaciones de la ENISA.

10M EUR
Multa máxima para entidades esenciales (o 2% facturación global)
40.000
Entidades afectadas estimadas en España
24 horas
Plazo para notificar incidentes significativos a la autoridad competente

Descargue nuestra guía

Descargue nuestra guía: 'NIS2 en 10 pasos — De la evaluación de ámbito a la notificación de incidentes'

La Directiva NIS2: el mayor cambio en ciberseguridad europea desde 2016

La Directiva (UE) 2022/2555, conocida como NIS2, reemplaza a la Directiva NIS original de 2016 y representa la revisión más ambiciosa del marco europeo de ciberseguridad hasta la fecha. Su objetivo es elevar el nivel comun de ciberseguridad en la Union Europea, reducir las divergencias entre estados miembros y ampliar significativamente el perimetro de entidades que están sujetas a obligaciones de seguridad.

El cambio de escala es considerable. La Directiva NIS original afectaba a un número limitado de Operadores de Servicios Esenciales y Proveedores de Servicios Digitales. NIS2 amplia ese perimetro a todos los sectores del Anexo I y II de la Directiva —incluyendo sectores como la gestión de residuos, la producción química, la industria alimentaria o la fabricacion de maquinaria que antes no estaban sujetos a regulación de ciberseguridad— y aplica a las empresas que superen umbrales de tamaño, lo que en España se traduce en aproximadamente 40.000 entidades afectadas.

Entidades esenciales vs. entidades importantes: diferencias prácticas

NIS2 distingue dos categorías de entidades afectadas con diferentes niveles de obligación y sanción:

Entidades esenciales (Anexo I): Energía (electricidad, gas, petroleo, hidrogeno), transporte (aereo, ferroviario, maritimo, por carretera), banca, infraestructuras de mercados financieros, sector sanitario, agua potable y aguas residuales, infraestructura digital (IXPs, DNS, TLD, proveedores de computacion en la nube, centros de datos, redes de distribución de contenidos, proveedores de servicios de confianza) y gestión de servicios TIC. Las entidades esenciales están sujetas a supervisión ex ante y a sanciones de hasta 10M EUR o 2% de la facturación global.

Entidades importantes (Anexo II): Servicios postales y de mensajeria, gestión de residuos, fabricacion de productos químicos, producción alimentaria, fabricacion (dispositivos medicos, electrónica, maquinaria, vehículos de motor), proveedores de servicios digitales (mercados en línea, motores de busqueda, plataformas de redes sociales). Las entidades importantes están sujetas a supervisión ex post y a sanciones de hasta 7M EUR o 1,4% de facturación global.

Las medidas de gestión del riesgo que exige NIS2

El artículo 21 de NIS2 establece las medidas mínimas que deben adoptar las entidades afectadas. Estas medidas deben ser “adecuadas y proporcionadas” al nivel de riesgo de la entidad, considerando su tamaño, el estado del arte tecnológico y las vulnerabilidades específicas del sector:

Políticas de análisis de riesgo y seguridad de los sistemas de información: La entidad debe tener políticas formales de gestión del riesgo de ciberseguridad, aprobadas por el órgano de dirección.

Gestión de incidentes: Procedimientos para detectar, analizar, contener y comunicar incidentes de ciberseguridad, con los plazos de notificación establecidos en la directiva.

Continuidad del negocio y gestión de crisis: Planes de continuidad que cubran escenarios de ciberataque, incluyendo recuperacion de sistemas y procedimientos de crisis.

Seguridad de la cadena de suministro: Evaluación de riesgos de los proveedores con acceso a sistemas críticos y cláusulas contractuales de seguridad.

Seguridad en el desarrollo, adquisición y mantenimiento de sistemas: Prácticas de seguridad en el ciclo de vida del software y los sistemas, incluyendo gestión de vulnerabilidades.

Políticas y procedimientos para evaluar la eficacia de las medidas: Evaluación y auditoría periódica de las medidas implementadas.

Prácticas de higiene informática básica y formación: Formación en ciberseguridad para el personal y los órganos de dirección.

Cifrado y criptografia: Uso de cifrado para la protección de datos en tránsito y en reposo donde sea necesario.

Autenticacion multifactor y comunicaciones seguras: MFA para sistemas críticos y comunicaciones cifradas.

Nuestro equipo de cumplimiento NIS2 ayuda a las empresas a implementar estas medidas de forma documentada y auditable, estableciendo el registro de evidencias que la autoridad supervisora puede requerir en caso de inspección.

La dimensión de recursos humanos y formación en NIS2

NIS2 introduce una dimensión de gestión de personas que no debe subestimarse. La directiva exige que los órganos de dirección reciban formación periódica en ciberseguridad suficiente para comprender los riesgos y supervisar las decisiones de gestión de riesgos. No se trata de convertir a los directivos en técnicos de seguridad, sino de que puedan ejercer su función de supervisión con conocimiento suficiente.

Para el personal en general, la directiva exige programas de formación y concienciacion en ciberseguridad que incluyan el reconocimiento de amenazas de ingenieria social (phishing, vishing), el uso seguro de sistemas y datos, y los procedimientos internos de reporte de incidentes.

BMC ofrece programas de formación NIS2 para órganos de administración y comités de auditoría, adaptados al nivel de conocimiento técnico de los participantes y centrados en las responsabilidades de supervisión que la directiva les asigna.

NIS2 y el CISO virtual: cuando no se necesita un Director de Seguridad a tiempo completo

Muchas entidades afectadas por NIS2 —especialmente las de tamaño mediano— no tienen un Chief Information Security Officer (CISO) propio, ni necesitan uno a tiempo completo. Para estas empresas, el servicio de CISO Virtual de BMC ofrece la función de dirección de seguridad de la información de forma externalizada: gestión del programa de seguridad, supervisión de proveedores tecnológicos, relación con la autoridad supervisora y representación ante el órgano de dirección en las revisiones periódicas de ciberseguridad.

El CISO Virtual es responsable a efectos prácticos de la función NIS2 de la entidad, con el nivel de dedicacion y responsabilidad que el tamaño y complejidad de la empresa requieren, y con el respaldo del equipo legal de BMC para las cuestiones regulatorias y de notificación.

FAQ

Preguntas frecuentes

NIS2 distingue entre entidades esenciales (Anexo I) y entidades importantes (Anexo II). Son entidades esenciales las empresas de sectores críticos como energía, transporte, banca, infraestructuras del mercado financiero, sector sanitario, agua, infraestructura digital y gestión de servicios TIC. Son entidades importantes las de sectores como servicios postales, gestión de residuos, química, alimentacion, fabricacion de dispositivos medicos, fabricacion de maquinaria, fabricacion de automoviles, y proveedores de servicios digitales. En ambos casos, los umbrales de tamaño importan: la directiva aplica generalmente a empresas medianas (50+ empleados o 10M EUR de facturación) y grandes. Las microempresas y pequeñas empresas quedan excluidas salvo excepciones específicas para sectores especialmente críticos.
La Directiva NIS2 debia transponerse al ordenamiento español antes del 17 de octubre de 2024. España, como otros estados miembros, no ha completado la transposicion en ese plazo. El proyecto de Ley de Ciberseguridad Nacional, que incorporaria la NIS2, se espera para el primer semestre de 2026. Sin embargo, muchas obligaciones de la directiva son ya de aplicación directa en virtud del principio de efecto directo del derecho de la UE, y las autoridades españolas (INCIBE, CCN) han emitido orientaciones sobre las medidas que deben implementar las entidades afectadas. La dilacion no exime del cumplimiento de las obligaciones sustantivas.
Para las entidades esenciales, las sanciones máximas son 10 millones de euros o el 2% del volumen de negocios anual mundial total (la cifra más alta). Para las entidades importantes, el máximo es 7 millones de euros o el 1,4% del volumen de negocios anual mundial total. Además de las multas económicas, la directiva preve la posibilidad de suspender temporalmente la autorización de funcionamiento de la entidad e inhabilitar temporalmente a personas físicas que ejerzan funciones directivas. Los estados miembros pueden establecer sanciones adicionales en su legislación nacional de transposicion.
Este es uno de los aspectos más novedosos de NIS2. La directiva impone a los órganos de dirección la obligación de: (1) aprobar las medidas de gestión del riesgo de ciberseguridad; (2) supervisar su implementación; y (3) responder personalmente por las infracciones. Los estados miembros deben garantizar que los miembros de los órganos de dirección puedan ser declarados responsables del incumplimiento de las obligaciones de la entidad. La directiva preve también que las autoridades competentes puedan emitir avisos públicos e imponer prohibiciones temporales de ejercicio a personas físicas responsables. Para los directivos, esto significa que la ciberseguridad ya no puede delegarse completamente al departamento de IT: es una responsabilidad de gobierno corporativo.
NIS2 establece un sistema de notificación de incidentes en tres fases: (1) alerta temprana en 24 horas tras tener conocimiento del incidente significativo, indicando si se sospecha que es intencional o si tiene dimensión transfronteriza; (2) notificación de incidente en 72 horas con una evaluación inicial del incidente, su severidad e impacto, y los indicadores de compromiso disponibles; y (3) informe final en el plazo de un mes con descripcion detallada del incidente, tipo de amenaza, causa raiz, medidas adoptadas y, si es transfronterizo, impacto en otros estados miembros. Un incidente es 'significativo' si causa perturbacion operativa grave, perdidas financieras importantes para la entidad, o daño material o inmaterial a terceros.
ISO 27001 e NIS2 son complementarios pero no equivalentes. Tener la certificación ISO 27001 es un indicador positivo de madurez en seguridad de la información y puede simplificar significativamente el cumplimiento NIS2, ya que muchos controles de ISO 27001 cubren requisitos de NIS2. Sin embargo, la certificación ISO 27001 no garantiza automáticamente el cumplimiento NIS2 porque: (1) NIS2 tiene requisitos específicos sobre notificación de incidentes, cadena de suministro y formación de directivos que van más alla del estándar ISO; y (2) el alcance del SGSI puede no cubrir todos los sistemas en ámbito NIS2. Recomendamos un gap analysis específico NIS2 incluso para empresas ya certificadas en ISO 27001.
En caso de un ciberincidente que también suponga una brecha de datos personales, la empresa debe cumplir simultaneamente con las obligaciones de notificación de NIS2 (a la autoridad de ciberseguridad: INCIBE-CERT o CCN-CERT) y del RGPD (a la autoridad de protección de datos: AEPD, en España). Ambas normativas tienen plazos de 72 horas para la notificación principal, pero los destinatarios, el contenido requerido y las consecuencias difieren. NIS2 también puede activarse sin que haya datos personales afectados (por ejemplo, un ataque de denegacion de servicio). BMC gestiona la coordinación de ambas obligaciones de notificación para garantizar que se cumplen correctamente y sin contradiciones en el caso de incidentes que activan las dos normativas simultaneamente.
NIS2 introduce por primera vez obligaciones explicitas sobre la seguridad de la cadena de suministro: las entidades afectadas deben evaluar los riesgos de ciberseguridad de sus proveedores y prestadores de servicios, especialmente los que tienen acceso a sus sistemas o datos, y deben establecer cláusulas contractuales que garanticen niveles adecuados de seguridad en esa cadena. Esto tiene un efecto de cascada: una empresa que es proveedor de una entidad NIS2 recibira requerimientos de seguridad de su cliente, aunque ella misma no este en el ámbito directo de NIS2. La Comisión Europea y la ENISA han publicado orientaciones específicas sobre evaluación de riesgos de proveedores.

Servicios relacionados

Prevencion Blanqueo Empresas Canal Denuncias Empresas Hub Csrd Sostenibilidad
Ver todos los servicios de esta área

De el primer paso

Solicite una consulta sin compromiso y descubra lo que podemos hacer por su empresa.

Consulta gratuita
Llamar Contacto