NIS2 está siendo reescrita: lo que la propuesta de enmienda de 2026 significa para usted y sus clientes

Veintidós de los 27 estados miembros de la UE ya han transpuesto NIS2 a la legislación nacional. Mientras la mayoría de las organizaciones todavía luchan por cumplir los requisitos originales, la Comisión Europea ya ha publicado una propuesta para cambiar las reglas. El 20 de enero de 2026, la Comisión publicó un paquete de enmiendas que afecta al alcance, la notificación de ransomware, la certificación y la supervisión transfronteriza.

Por qué la Comisión ya está enmendando una directiva que no está completamente implementada

NIS2 se volvió ejecutable en octubre de 2024. El Paquete Ómnibus Digital de la Comisión, lanzado en noviembre de 2025, racionaliza la legislación digital de la UE para reducir la fragmentación. La implementación práctica también expuso brechas — la divergencia en las reglas nacionales y la falta de una vía de certificación armonizada.

La propuesta de enero de 2026 es "específica" — la Comisión no está revisando la arquitectura fundamental de NIS2. Las diez medidas del Artículo 21 permanecen sin cambios. Los plazos de notificación de incidentes (24 horas, 72 horas, un mes) permanecen sin cambios.

Estado de Implementación NIS2 por País (2025–2026)
✅
Plenamente en vigor
🇧🇪Bélgica
🇭🇷Croacia
🇭🇺Hungría
🇱🇹Lituania
🇱🇻Letonia
🇮🇹Italia
6 países
📋
Adoptada — finales 2025
🇩🇪Alemania
🇨🇿República Checa
🇫🇮Finlandia
3 países
⏳
En proceso — previsto 2026
🇳🇱Países Bajos
🇫🇷Francia
🇪🇸España
🇵🇱Polonia
🇦🇹Austria
🇸🇪Suecia
🇮🇪Irlanda
7 países

Notificación de ransomware: nuevas obligaciones en el horizonte

Si una autoridad nacional lo solicita, las organizaciones estarán obligadas a revelar si se realizó una demanda de rescate y por quién, si se pagó un rescate, el importe y el método de pago, y la identidad del destinatario (incluido cualquier proveedor de servicios de criptoactivos involucrado).

La divulgación no es automática — es activada por una solicitud de autoridad. La propuesta apunta a la asimetría de información con la que luchan los reguladores. Los clientes que gestionan incidentes de ransomware deben comenzar a construir prácticas de documentación interna ahora.

Cronología de Notificación de Incidentes NIS2
24h
⚡
Alerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
Paso 1
72h
📋
Notificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
Paso 2
1mo
📊
Informe Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Paso 3
24h
⚡
Alerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
72h
📋
Notificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
1mo
📊
Informe Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.

Cambios de alcance: quién entra, quién sale

Los operadores de cables submarinos entran en el alcance por primera vez. La distribución química sale: la enmienda elimina "distribución" del Anexo II. Una nueva categoría de "pequeñas medianas empresas" (menos de 750 empleados, facturación inferior a 150 millones de euros) sería tratada como "entidades importantes" en lugar de esenciales — supervisión reactiva en lugar de proactiva.

¿Se aplica la NIS2 a su organización?
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼
No▼
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗
La NIS2 no se aplica directamente a su organización.
Sí▼
No▼
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →
✗
La NIS2 no se aplica directamente a su organización.
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplica
Posiblemente aplica
No se aplica

La certificación como vía de cumplimiento: el certificado de postura cibernética

Las entidades podrán eventualmente obtener un "certificado de postura cibernética" de la UE bajo un futuro esquema europeo de certificación alineado con CSA2. Si una entidad tiene un certificado válido que cubre los requisitos del Artículo 21, las autoridades competentes no pueden someterla a auditorías de seguridad adicionales para esos requisitos. Demuestre el cumplimiento una vez, evite auditorías nacionales duplicadas.

CSA2 es en sí mismo todavía una propuesta. Pero la dirección es clara: invierta en marcos certificables. La orientación de ENISA que mapea NIS2 en ISO 27001 se convertirá probablemente en la base de los futuros certificados de postura cibernética.

Para más información sobre las diez medidas del Artículo 21, consulte el análisis profundo del Artículo 21 de NIS2.

Papel más fuerte de ENISA: supervisión transfronteriza

ENISA facilitará la cooperación entre autoridades nacionales, ayudará a determinar una autoridad líder, realizará un análisis de riesgo en los 15 meses posteriores a la entrada en vigor, y participará en actividades de supervisión conjunta bajo demanda. No es una ventanilla única al estilo del RGPD.

Qué cambia y cuándo: una línea temporal práctica

Estimación conservadora: estas enmiendas no estarán en la legislación nacional antes de finales de 2027 o principios de 2028. Asesore a los clientes ahora — de forma selectiva. La documentación de ransomware es económica de implementar. Los cambios de alcance son prioritarios para los sectores afectados.

El panorama general: la aplicación de NIS2 ya ha comenzado

Siete estados miembros ya han sido remitidos al Tribunal de Justicia. Las autoridades nacionales están comenzando a realizar inspecciones. Las primeras multas se esperan antes de fin de año.

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
▼
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
▼
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal

Las enmiendas propuestas no dan más tiempo. Añaden nuevas obligaciones encima de la línea base existente. La posición más defendible es un análisis de brechas documentado.

Si sus clientes aún no han realizado ese análisis, hágalo ahora. El quick-scan de NIS2 en NIS2Certify le da un punto de partida estructurado en menos de 20 minutos.