NIS2: Adapte su Empresa antes de que el Supervisor Actue

La Directiva NIS2 (Directiva UE 2022/2555, de Seguridad de las Redes y Sistemas de Información) es la norma europea de ciberseguridad que amplía significativamente el perímetro de entidades obligadas respecto a su predecesora NIS1, añadiendo sectores como gestión de residuos, servicios postales, fabricación crítica, proveedores de servicios digitales y administraciones públicas. En España, la transposición de NIS2 está prevista para junio de 2026 y distingue entre entidades esenciales (sectores de energía, transporte, banca, infraestructuras de mercados financieros, salud, agua, infraestructura digital) y entidades importantes (servicios postales, gestión de residuos, fabricación, alimentación, proveedores digitales), con obligaciones de implementar medidas de seguridad apropiadas, notificar incidentes significativos al organismo supervisor (en España, el CCN o el INCIBE según el sector) en plazos de 24 horas para la alerta temprana y 72 horas para el informe inicial, y responder ante auditorías periódicas. Las sanciones máximas alcanzan 10 millones de euros o el 2% de la facturación global para entidades esenciales, y 7 millones o el 1,4% para entidades importantes.

NIS2 en España: quien está obligado y que sanciones arriesga

La Directiva NIS2 amplia el perimetro de entidades obligadas de forma muy significativa: miles de empresas españolas que nunca habian estado en el radar regulatorio pasan a ser entidades esenciales o importantes en 18 sectores. Las sanciones alcanzan 10 millones de euros o el 2% de la facturación global para entidades esenciales, y los directivos pueden ser declarados responsables personalmente. El plazo de transposicion en España ha sido superado, pero el tiempo para implementar los controles necesarios es escaso. El primer error es no saber si la empresa está dentro del alcance.

Nuestro equipo determina si la empresa es entidad esencial o importante según los criterios de sector, tamaño y criticidad del servicio, incluyendo el impacto de las relaciones en la cadena de suministro con entidades ya clasificadas. A partir de la clasificación, realizamos el gap analysis frente al artículo 21 de NIS2, implementamos el marco de gobierno documentado y aprobado por el consejo, y diseñamos el protocolo de notificación de incidentes significativos (24 horas para alerta temprana, 72 horas para informe inicial).

Artículo 21 NIS2 y coordinación con RGPD, ISO 27001 y CISO Virtual

Un mismo incidente puede activar simultáneamente las obligaciones de notificación NIS2 y las del RGPD ante la AEPD. Nuestro enfoque integrado garantiza que la respuesta cubra ambos marcos de forma coordinada. Para empresas que ya cuentan con certificación ISO 27001, los controles del SGSI proporcionan una base sólida para la evidencia de cumplimiento NIS2. Para las que inician el proceso desde cero, el proyecto NIS2 se integra en el mandato del CISO Virtual como parte del gobierno de seguridad de la organización.

Contexto regulatorio en España

La Directiva UE 2022/2555 (NIS2) debia transponerse al derecho español antes del 17 de octubre de 2024. España ha retrasado la transposicion, con nueva fecha prevista para junio de 2026. La directiva cubre 18 sectores en dos niveles: entidades esenciales (empresas medianas y grandes en sectores críticos) y entidades importantes (resto de entidades medianas y grandes en sectores adicionales). Las sanciones máximas son de 10 millones de euros o 2% de la facturación global para esenciales y 7 millones o 1,4% para importantes. La responsabilidad personal de los directivos ante negligencia en la supervisión es una novedad significativa frente a NIS1.

Resultados que puedes esperar

• Clasificación formal de la empresa como entidad esencial o importante con análisis jurídico documentado
• Gap analysis frente al artículo 21 de NIS2 con plan de remediacion priorizado por riesgo
• Marco de gobierno de ciberseguridad aprobado por el consejo con responsabilidades documentadas
• Protocolo de notificación de incidentes significativos (24h alerta temprana, 72h informe) implementado y testado
• Programa de gestión de riesgos de la cadena de suministro con cláusulas de seguridad en contratos
• Base de cumplimiento coordinada con NIS2, RGPD e ISO 27001 para respuesta integrada ante incidentes

La Directiva NIS2 representa el cambio regulatorio más significativo en ciberseguridad en la historia de la Unión Europea. No es una actualización menor de la directiva anterior: es una reescritura que amplia el alcance, eleva las exigencias de gobierno, introduce responsabilidad personal de los directivos y endurece las sanciones hasta niveles equiparables a los del RGPD. Las empresas españolas tienen hasta junio de 2026 para adaptarse, pero la implementación de los controles necesarios requiere meses de trabajo.

El primer paso siempre es la evaluación del alcance. NIS2 incluye 18 sectores con un catálogo amplio de actividades. Muchas empresas que no se consideran operadores de infraestructuras críticas en el sentido tradicional quedan incluidas: grandes plataformas de comercio electrónico, proveedores de servicios en la nube, empresas de mensajeria, fabricantes de equipos medicos o de alimentacion. Y además, las entidades que son proveedoras críticas de entidades esenciales pueden quedar arrastradas a las obligaciones de la cadena de suministro.

Una vez confirmado el alcance, el gap analysis revela el trabajo real. La mayoría de las empresas tienen controles técnicos básicos, pero NIS2 va más allá: exige un marco de gobierno documentado y aprobado por el consejo, un protocolo de notificación de incidentes que funcione en tiempo real (no solo sobre el papel) y una gestión activa de los riesgos de la cadena de suministro. Cada proveedor tecnológico crítico debe ser evaluado, y los contratos deben incluir cláusulas de seguridad ejecutables.

La coordinación con el servicio de protección de datos es fundamental: un mismo incidente puede activar simultáneamente las obligaciones de notificación NIS2 y las del RGPD ante la AEPD. Nuestro enfoque integrado garantiza que la respuesta al incidente cubra ambos marcos de forma coordinada, evitando que las prisas en una notificación generen problemas en la otra.

Para las empresas que ya cuentan con nuestro servicio de CISO Virtual, el cumplimiento NIS2 se integra directamente en el mandato del CISO como parte del gobierno de seguridad de la organización. Para las que inician el proceso desde cero, el proyecto NIS2 es con frecuencia el punto de partida para construir un sistema de gestión de la seguridad más robusto a largo plazo.

Régimen sancionador NIS2: infracciones, importes y responsabilidad personal de directivos

El régimen sancionador de la Directiva NIS2 —que se articula en España a través de la legislación de transposición prevista para junio de 2026— establece uno de los marcos de multas más severos del derecho europeo de ciberseguridad, equiparable en estructura al del RGPD:

Entidades esenciales: multas de hasta 10.000.000 de euros o el 2% del volumen de negocio anual mundial total del ejercicio precedente, aplicándose el importe que sea mayor. Los sectores de actividad de entidades esenciales incluyen: energía, transporte, banca, infraestructuras de mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital (IXP, DNS, TLD, cloud, CDN, centros de datos, redes de comunicaciones electrónicas), gestión de servicios TIC, administración pública y espacio.

Entidades importantes: multas de hasta 7.000.000 de euros o el 1,4% del volumen de negocio anual mundial total del ejercicio precedente. Los sectores de entidades importantes incluyen: servicios postales y de mensajería, gestión de residuos, fabricación de productos químicos, producción y distribución de alimentos, fabricación (equipos médicos, informáticos, electrónicos, eléctricos, maquinaria, vehículos de motor) y proveedores de servicios digitales (mercados en línea, motores de búsqueda, plataformas de redes sociales).

Responsabilidad personal de directivos. Esta es la novedad más relevante de NIS2 frente a NIS1: el artículo 32.5 de la Directiva establece que los Estados miembros pueden responsabilizar personalmente a los directivos de entidades esenciales por incumplimientos derivados de negligencia grave. En la práctica, esto significa que el CEO, el Consejo de Administración u otros directivos con supervisión de la ciberseguridad pueden ser objeto de sanciones individuales si se demuestra que incumplieron sus obligaciones de supervisión. Los administradores tienen un deber activo de informarse sobre los riesgos de ciberseguridad y de asegurarse de que la empresa implementa las medidas adecuadas.

Publicidad de las sanciones. Las autoridades supervisoras pueden hacer públicas las sanciones impuestas bajo NIS2, lo que añade un riesgo reputacional significativo al puramente económico. En sectores donde la confianza digital es un activo clave (fintech, salud digital, proveedores de infraestructura), la publicación de una sanción NIS2 puede tener un impacto mayor que la propia multa.

El protocolo de notificación de incidentes NIS2: proceso paso a paso

El plazo de notificación de incidentes significativos bajo NIS2 es uno de los más exigentes de toda la regulación europea: 24 horas para la alerta temprana, 72 horas para el informe inicial y un mes para el informe final. En la práctica, esto significa que las empresas deben tener un protocolo operativo que funcione en tiempo real, no solo sobre el papel.

Qué es un incidente significativo bajo NIS2. Un incidente es significativo cuando: (a) ha causado o puede causar una perturbación operativa grave de los servicios o pérdidas económicas para la entidad; o (b) ha afectado o puede afectar a otras personas físicas o jurídicas causando perjuicios considerables. No todos los incidentes de ciberseguridad son notificables — solo los que superan este umbral de significatividad. La evaluación debe hacerse en tiempo real, con criterios definidos de antemano.

Alerta temprana (primeras 24 horas). La alerta temprana debe comunicarse al organismo supervisor (en España, el CCN para la Administración Pública y entidades del ámbito de seguridad nacional, el INCIBE-CERT para el resto de entidades privadas en sectores críticos) indicando si el incidente se sospecha que es intencionado, si tiene alcance transfronterizo y si puede tener un impacto grave. El contenido puede ser parcial: basta con la información disponible en ese momento.

Informe inicial (72 horas). El informe inicial debe incluir una descripción del incidente, una evaluación inicial de su gravedad e impacto, y las medidas de mitigación adoptadas o en curso. Si el incidente también afecta a datos personales, este informe se coordina con la notificación a la AEPD bajo el artículo 33 del RGPD, cuyo plazo es idéntico (72 horas).

Informe final (1 mes). El informe final incluye la descripción completa del incidente, el análisis de causa raíz, las medidas de mitigación implementadas y las mejoras adoptadas para prevenir incidentes similares. Este informe es el que las autoridades supervisoras utilizan para evaluar la adecuación de las medidas de seguridad de la entidad y para determinar si existe responsabilidad sancionadora.

NIS2 vs. ISO 27001: diferencias clave y sinergias para la implementación

Una pregunta frecuente en las empresas que tienen o están implementando la certificación ISO 27001 es si ese esfuerzo es suficiente para cumplir NIS2. La respuesta es: parcialmente.

Puntos comunes. ISO 27001 e NIS2 comparten muchos objetivos: gestión de riesgos de seguridad de la información, controles de acceso, gestión de incidentes, continuidad de negocio, formación y concienciación, y auditorías periódicas. Una empresa con ISO 27001 implementada tiene una base sólida de evidencia de controles que puede reutilizarse para NIS2.

Diferencias relevantes. NIS2 va más allá de ISO 27001 en tres áreas que requieren atención específica:

1. Obligaciones de notificación de incidentes. ISO 27001 exige un proceso de gestión de incidentes, pero no fija plazos regulatorios de notificación externos. Los plazos NIS2 (24/72 horas) son más exigentes y requieren capacidades operativas específicas que no están incluidas en el alcance estándar de ISO 27001.

2. Responsabilidad de la alta dirección. NIS2 establece responsabilidad personal para los directivos, no solo institucional. ISO 27001 requiere compromiso de la dirección, pero no prevé consecuencias sancionadoras individuales para los directivos.

3. Seguridad de la cadena de suministro. NIS2 impone obligaciones específicas de evaluación y gestión de riesgos de proveedores que son más detalladas que las de ISO 27001:2022, especialmente en lo que respecta a las cláusulas contractuales de seguridad con proveedores críticos y al monitoreo continuo de su nivel de seguridad.

Nuestro enfoque integra el gap analysis NIS2 sobre el SGSI existente para identificar exclusivamente los controles adicionales necesarios, evitando duplicar el trabajo ya realizado para la certificación ISO 27001.

Preguntas frecuentes ampliadas

¿Puedo ser multado antes de que España transponga NIS2? La directiva NIS2 tiene efecto directo potencial frente al Estado español en determinadas condiciones, y las empresas que operen en otros Estados miembros que ya han transpuesto (Alemania desde julio de 2024, Francia, Italia) están sujetas al cumplimiento de NIS2 en esas jurisdicciones. Además, los supervisores sectoriales españoles (CNE, CNMV, Banco de España) ya aplican criterios equivalentes en sus inspecciones de ciberseguridad a sus entidades supervisadas.

¿Cuánto cuesta implementar NIS2? El coste depende del tamaño de la empresa, el sector, el estado actual de los controles de seguridad y si ya existe o no una certificación ISO 27001. Para empresas medianas (50-249 empleados) sin marco de seguridad previo, un proyecto de implementación completa puede requerir entre 4 y 8 meses y una inversión combinada en servicios de consultoría y tecnología. Para empresas con ISO 27001 vigente, el gap adicional es significativamente menor.

¿Necesito un CISO para cumplir NIS2? NIS2 no exige explícitamente un CISO, pero sí requiere que exista responsabilidad directiva clara sobre la ciberseguridad, que el órgano de gobierno apruebe las medidas de gestión de riesgos y que exista capacidad operativa para responder a incidentes en los plazos requeridos. Para muchas empresas medianas, el CISO Virtual es la solución más eficiente: proporciona la capacidad técnica y la responsabilidad directiva necesaria sin el coste de un director de ciberseguridad a tiempo completo.