1. ¿Qué es la directiva NIS2?
La Directiva NIS2 (UE) 2022/2555 es el sucesor de la directiva NIS1 de 2016 y entró en vigor en enero de 2023. Obliga a los Estados miembros de la UE a garantizar un nivel común elevado de ciberseguridad en toda la Unión. El plazo de transposición a la legislación nacional era el 17 de octubre de 2024.
NIS2 amplía considerablemente el ámbito de aplicación en comparación con NIS1: en lugar de identificar caso a caso a los "operadores de servicios esenciales", la normativa se aplica ahora a todas las empresas de un determinado tamaño en determinados sectores, sin necesidad de una decisión administrativa individualizada.
Entidades esenciales e importantes
NIS2 distingue dos categorías con requisitos de diferente rigor:
- Entidades esenciales (EE) — sectores de riesgo más elevado; sujetas a supervisión proactiva y sanciones más estrictas.
- Entidades importantes (EI) — otros sectores afectados; supervisión reactiva (tras incidentes o reclamaciones).
2. ¿Quién está afectado — entidades esenciales e importantes?
Tamaño mínimo: ≥ 250 empleados O ≥ 50 M€ de facturación anual + ≥ 43 M€ de balance total
Las pequeñas empresas (menos de 50 empleados y menos de 10 M€ de facturación) están generalmente exentas, salvo excepciones específicas (DNS, TLD, servicios de confianza cualificados, infraestructuras críticas de pequeño tamaño).
| Sector | Categoría | Ejemplos españoles |
|---|---|---|
| Energía | EE | Red Eléctrica, Endesa, Iberdrola (redes de distribución) |
| Transporte | EE | RENFE, Aena, Puertos del Estado, gestores de tráfico |
| Banca y Mercados Financieros | EE | Entidades de crédito, gestoras de fondos, BME |
| Sanidad | EE | Hospitales con más de 250 empleados, fabricantes de productos sanitarios |
| Agua potable y residuales | EE | Gestores de redes de abastecimiento y saneamiento |
| Infraestructura digital | EE | Operadores de telecomunicaciones, DNS, proveedores cloud, CDN |
| Servicios digitales | EI | Mercados en línea, motores de búsqueda |
| Servicios postales | EI | Correos, operadores de paquetería |
| Gestión de residuos | EI | Operadores de tratamiento y valorización de residuos |
| Fabricación | EI | Fabricantes de productos críticos (sanitario, químico, alimentario) |
3. NIS2 en España — transposición nacional (INCIBE/CCN)
España transpone la directiva NIS2 mediante la Ley de Ciberseguridad Nacional y el marco normativo del Centro Nacional de Ciberseguridad. Los dos organismos de referencia son:
- INCIBE-CERT — Centro de Respuesta a Incidentes de Seguridad de referencia para el sector privado y ciudadanos. Dependiente del Ministerio para la Transformación Digital.
- CCN-CERT — Centro Criptológico Nacional. CSIRT nacional para la Administración Pública y operadores críticos del sector público.
Las entidades afectadas deben registrarse en el registro nacional de entidades esenciales e importantes. El registro es obligatorio y condiciona el acceso a los mecanismos de apoyo y coordinación previstos en la ley.
Adicionalmente, España cuenta con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), que coordina la protección de los sectores estratégicos y las infraestructuras críticas bajo la Ley 8/2011. NIS2 refuerza y amplía este marco existente.
4. Las 10 obligaciones de seguridad (Art. 21)
El artículo 21 de la directiva NIS2 establece diez grupos de medidas técnicas y organizativas que las entidades afectadas deben implementar, proporcionales a su perfil de riesgo, tamaño e impacto potencial.
- Política de seguridad de los sistemas de información Documentar los objetivos, responsabilidades y ciclos de revisión de la seguridad. Aprobación formal por el órgano de dirección.
- Gestión de incidentes Procedimientos para la detección, clasificación, respuesta y notificación de incidentes de seguridad. Designar un equipo de respuesta o equivalente.
- Continuidad del negocio y recuperación ante desastres Planes de continuidad (BCP), copias de seguridad (regla 3-2-1), plan de recuperación (DRP) y gestión de crisis. Pruebas periódicas obligatorias.
- Seguridad de la cadena de suministro Evaluación de riesgos de proveedores y prestadores de servicios. Requisitos de seguridad contractuales. Derecho de auditoría. Obligación del proveedor de notificar sus propios incidentes.
- Seguridad de redes y sistemas de información Segmentación de redes, gestión de vulnerabilidades (parcheo), control de accesos, gestión de configuraciones y monitorización de seguridad.
- Evaluación de la eficacia de las medidas de seguridad Auditorías periódicas, pruebas de penetración y revisiones de efectividad. Documentación de resultados y planes de acción correctiva.
- Higiene básica de ciberseguridad y formación Políticas de higiene básica (gestión de contraseñas, actualizaciones, reconocimiento de phishing). Formación periódica para todos los empleados, incluidos los directivos.
- Criptografía y cifrado Políticas para el uso de criptografía y cifrado de datos en tránsito y en reposo. Procedimientos de gestión de claves criptográficas.
- Seguridad de recursos humanos y control de acceso Principio de mínimo privilegio, gestión de identidades y accesos (IAM), gestión de cuentas privilegiadas, procesos de baja de empleados.
- Autenticación multifactor (MFA) MFA obligatoria o autenticación continua para todos los sistemas críticos, acceso remoto y cuentas privilegiadas. Canales de comunicación seguros en emergencias.
5. Notificación de incidentes — plazos y procedimiento
Uno de los elementos más exigentes de NIS2 es la obligación de notificación escalonada ante incidentes significativos. Los plazos son muy cortos: sin procesos preparados de antemano, cumplirlos en tiempo real es prácticamente imposible.
| Etapa | Plazo | Contenido |
|---|---|---|
| Alerta temprana | 24 horas desde que se tiene conocimiento | Incidente ocurrido, sospecha de ataque, evaluación inicial de gravedad; no se requiere informe completo |
| Notificación de incidente | 72 horas desde que se tiene conocimiento | Evaluación detallada: magnitud, sistemas afectados, impacto, indicadores de compromiso (IoC), medidas adoptadas |
| Informe intermedio | A petición del CSIRT (INCIBE-CERT/CCN-CERT) | Actualización del estado de gestión del incidente y progreso en la contención |
| Informe final | 1 mes tras la notificación del incidente | Descripción completa, causa raíz, medidas correctoras implementadas, lecciones aprendidas |
Punto de notificación en España: INCIBE-CERT y CCN-CERT
Las entidades del sector privado deben notificar a INCIBE-CERT a través del portal de incidentes disponible en incibe.es. Las entidades del sector público notifican a CCN-CERT. Ambos organismos coordinan con ENISA y la red de CSIRTs europea en caso de incidentes transfronterizos.
6. Responsabilidad de los directivos
El artículo 20 de la directiva NIS2 introduce la responsabilidad personal de los órganos de dirección. Los consejos de administración y la alta dirección deben:
- Aprobar formalmente las medidas de gestión de riesgos de ciberseguridad implementadas por la entidad.
- Completar formación en ciberseguridad para comprender los riesgos y su impacto en el negocio.
- Supervisar activamente el cumplimiento de las obligaciones NIS2.
En caso de incumplimiento grave por parte de entidades esenciales, las autoridades competentes pueden aplicar — conforme al artículo 32.7 — una prohibición temporal del ejercicio de funciones directivas para la persona responsable. Esta medida es una novedad significativa en el ordenamiento jurídico de ciberseguridad europeo.
7. Multas y sanciones
La directiva NIS2 establece umbrales mínimos de multas que los Estados miembros deben respetar. España puede establecer sanciones iguales o superiores.
| Categoría | Multa máxima |
|---|---|
| Entidades esenciales | 10.000.000 € o 2% de la facturación global anual — el importe mayor |
| Entidades importantes | 7.000.000 € o 1,4% de la facturación global anual — el importe mayor |
Además de las multas económicas, las autoridades pueden imponer:
- Publicación de la infracción — identificación pública de la entidad infractora (naming and shaming).
- Suspensión temporal de actividades o revocación de certificaciones.
- Auditoría obligatoria de seguridad a cargo de la entidad infractora.
- Prohibición temporal de funciones directivas para la persona responsable (entidades esenciales).
8. Por dónde empezar: nis2.saaslab.pl
Implementar NIS2 de forma completa requiere entre 3 y 6 meses para una organización mediana. A continuación, los cinco primeros pasos recomendados:
Autoidentificación — ¿soy entidad esencial o importante?
Analice el sector de actividad y el tamaño de su empresa. Utilice el cuestionario gratuito en nis2.saaslab.pl para obtener una evaluación en 10 minutos con indicación de la categoría y los próximos pasos obligatorios.
Registro ante la autoridad competente
Una vez confirmada la categoría, proceda al registro ante el organismo correspondiente (INCIBE-CERT para el sector privado). Designe una persona de contacto disponible 24/7 para la notificación de incidentes.
Inventario de activos y análisis de riesgos
Elabore un inventario completo de redes y sistemas de información. Realice un análisis de riesgos documentado (probabilidad × impacto) para cada activo. Este documento es la base de todas las medidas posteriores.
Implementar las 10 medidas del Art. 21
Priorice según el análisis de riesgos. Comience con MFA para sistemas críticos, parcheo sistemático, cifrado de datos y un plan documentado de continuidad. Documente cada medida con fecha y responsable.
Establecer y ensayar el proceso de notificación de incidentes
Defina quién clasifica un incidente como significativo, quién envía la alerta en 24 horas y cómo se preservan las evidencias. Realice un simulacro antes de que ocurra el incidente real: 24 horas no son suficientes para improvisar.
Verifique el estado NIS2 de su empresa — gratis
La herramienta nis2.saaslab.pl le guía a través de las preguntas clave y determina si su empresa es una entidad esencial o importante según NIS2.
Comprobar mi estado NIS2 →Sin tarjeta de crédito. Acceso básico gratuito.