NIS2: Adapte su Empresa antes de que el Supervisor Actue

La Directiva NIS2 (Directiva UE 2022/2555, de Seguridad de las Redes y Sistemas de Información) es la norma europea de ciberseguridad que amplía significativamente el perímetro de entidades obligadas respecto a su predecesora NIS1, añadiendo sectores como gestión de residuos, servicios postales, fabricación crítica, proveedores de servicios digitales y administraciones públicas. En España, la transposición de NIS2 está prevista para junio de 2026 y distingue entre entidades esenciales (sectores de energía, transporte, banca, infraestructuras de mercados financieros, salud, agua, infraestructura digital) y entidades importantes (servicios postales, gestión de residuos, fabricación, alimentación, proveedores digitales), con obligaciones de implementar medidas de seguridad apropiadas, notificar incidentes significativos al organismo supervisor (en España, el CCN o el INCIBE según el sector) en plazos de 24 horas para la alerta temprana y 72 horas para el informe inicial, y responder ante auditorías periódicas. Las sanciones máximas alcanzan 10 millones de euros o el 2% de la facturación global para entidades esenciales, y 7 millones o el 1,4% para entidades importantes.

NIS2 en España: quien está obligado y que sanciones arriesga

La Directiva NIS2 amplia el perimetro de entidades obligadas de forma muy significativa: miles de empresas españolas que nunca habian estado en el radar regulatorio pasan a ser entidades esenciales o importantes en 18 sectores. Las sanciones alcanzan 10 millones de euros o el 2% de la facturación global para entidades esenciales, y los directivos pueden ser declarados responsables personalmente. El plazo de transposicion en España ha sido superado, pero el tiempo para implementar los controles necesarios es escaso. El primer error es no saber si la empresa está dentro del alcance.

Nuestro equipo determina si la empresa es entidad esencial o importante según los criterios de sector, tamaño y criticidad del servicio, incluyendo el impacto de las relaciones en la cadena de suministro con entidades ya clasificadas. A partir de la clasificación, realizamos el gap analysis frente al artículo 21 de NIS2, implementamos el marco de gobierno documentado y aprobado por el consejo, y diseñamos el protocolo de notificación de incidentes significativos (24 horas para alerta temprana, 72 horas para informe inicial).

Artículo 21 NIS2 y coordinación con RGPD, ISO 27001 y CISO Virtual

Un mismo incidente puede activar simultáneamente las obligaciones de notificación NIS2 y las del RGPD ante la AEPD. Nuestro enfoque integrado garantiza que la respuesta cubra ambos marcos de forma coordinada. Para empresas que ya cuentan con certificación ISO 27001, los controles del SGSI proporcionan una base sólida para la evidencia de cumplimiento NIS2. Para las que inician el proceso desde cero, el proyecto NIS2 se integra en el mandato del CISO Virtual como parte del gobierno de seguridad de la organización.

Contexto regulatorio en España

La Directiva UE 2022/2555 (NIS2) debia transponerse al derecho español antes del 17 de octubre de 2024. España ha retrasado la transposicion, con nueva fecha prevista para junio de 2026. La directiva cubre 18 sectores en dos niveles: entidades esenciales (empresas medianas y grandes en sectores críticos) y entidades importantes (resto de entidades medianas y grandes en sectores adicionales). Las sanciones máximas son de 10 millones de euros o 2% de la facturación global para esenciales y 7 millones o 1,4% para importantes. La responsabilidad personal de los directivos ante negligencia en la supervisión es una novedad significativa frente a NIS1.

Resultados que puedes esperar

• Clasificación formal de la empresa como entidad esencial o importante con análisis jurídico documentado
• Gap analysis frente al artículo 21 de NIS2 con plan de remediacion priorizado por riesgo
• Marco de gobierno de ciberseguridad aprobado por el consejo con responsabilidades documentadas
• Protocolo de notificación de incidentes significativos (24h alerta temprana, 72h informe) implementado y testado
• Programa de gestión de riesgos de la cadena de suministro con cláusulas de seguridad en contratos
• Base de cumplimiento coordinada con NIS2, RGPD e ISO 27001 para respuesta integrada ante incidentes

La Directiva NIS2 representa el cambio regulatorio más significativo en ciberseguridad en la historia de la Unión Europea. No es una actualización menor de la directiva anterior: es una reescritura que amplia el alcance, eleva las exigencias de gobierno, introduce responsabilidad personal de los directivos y endurece las sanciones hasta niveles equiparables a los del RGPD. Las empresas españolas tienen hasta junio de 2026 para adaptarse, pero la implementación de los controles necesarios requiere meses de trabajo.

El primer paso siempre es la evaluación del alcance. NIS2 incluye 18 sectores con un catálogo amplio de actividades. Muchas empresas que no se consideran operadores de infraestructuras críticas en el sentido tradicional quedan incluidas: grandes plataformas de comercio electrónico, proveedores de servicios en la nube, empresas de mensajeria, fabricantes de equipos medicos o de alimentacion. Y además, las entidades que son proveedoras críticas de entidades esenciales pueden quedar arrastradas a las obligaciones de la cadena de suministro.

Una vez confirmado el alcance, el gap analysis revela el trabajo real. La mayoría de las empresas tienen controles técnicos básicos, pero NIS2 va más allá: exige un marco de gobierno documentado y aprobado por el consejo, un protocolo de notificación de incidentes que funcione en tiempo real (no solo sobre el papel) y una gestión activa de los riesgos de la cadena de suministro. Cada proveedor tecnológico crítico debe ser evaluado, y los contratos deben incluir cláusulas de seguridad ejecutables.

La coordinación con el servicio de protección de datos es fundamental: un mismo incidente puede activar simultáneamente las obligaciones de notificación NIS2 y las del RGPD ante la AEPD. Nuestro enfoque integrado garantiza que la respuesta al incidente cubra ambos marcos de forma coordinada, evitando que las prisas en una notificación generen problemas en la otra.

Para las empresas que ya cuentan con nuestro servicio de CISO Virtual, el cumplimiento NIS2 se integra directamente en el mandato del CISO como parte del gobierno de seguridad de la organización. Para las que inician el proceso desde cero, el proyecto NIS2 es con frecuencia el punto de partida para construir un sistema de gestión de la seguridad más robusto a largo plazo.