Ir al contenido principal
NIS2Certify
Volver al resumen

¿Qué es NIS2? Todo lo que necesitas saber sobre la directiva de ciberseguridad de la UE

Por NIS2Certify
nis2cumplimientociberseguridaddirectiva-uearticulo-21

NIS2 (Directiva 2022/2555) es la directiva de ciberseguridad actualizada de la Unión Europea. Reemplaza la Directiva NIS original de 2016 y se aplica a organizaciones en 18 sectores críticos en todos los estados miembros de la UE.

En este artículo explicamos qué es NIS2, a quién se aplica, qué debes hacer y qué ocurre si no cumples.

¿Por qué existe NIS2?

Los ciberataques contra hospitales, proveedores de energía y sistemas gubernamentales han demostrado que las amenazas digitales pueden paralizar sociedades enteras. Un solo ataque de ransomware a un proveedor puede provocar una reacción en cadena transfronteriza e interrumpir servicios de los que dependen millones de personas.

La UE concluyó que la ciberseguridad ya no puede dejarse en manos de organizaciones individuales o estados miembros. NIS2 establece un nivel mínimo de ciberseguridad que todos los estados miembros deben hacer cumplir, eliminando eslabones débiles para que una vulnerabilidad en un país no comprometa toda la Unión.

¿Qué ha cambiado respecto a la Directiva NIS original?

  • Ámbito más amplio — de unos pocos sectores a 18
  • Requisitos más específicos — 10 categorías de medidas concretas en lugar de directrices vagas
  • Aplicación más estricta — multas de hasta 10 millones de euros y responsabilidad personal de los directivos
  • Notificación de incidentes más estricta — notificación obligatoria en 24 horas

¿A quién se aplica NIS2?

NIS2 utiliza un umbral de tamaño como criterio principal. La directiva se aplica a tu organización si cumples ambas condiciones:

  • 50 o más empleados, o una facturación anual / total del balance superior a 10 millones de euros
  • Operas en uno de los 18 sectores designados

Sectores de alta criticidad (Anexo I)

  • Energía (electricidad, petróleo, gas, hidrógeno, calefacción urbana)
  • Transporte (aéreo, ferroviario, marítimo/fluvial, por carretera)
  • Banca e infraestructuras de mercados financieros
  • Sanidad
  • Agua potable y aguas residuales
  • Infraestructura digital (DNS, registros TLD, nube, centros de datos, CDN)
  • Gestión de servicios TIC (B2B — servicios gestionados, seguridad gestionada)
  • Administración pública
  • Espacio

Otros sectores críticos (Anexo II)

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Industria química
  • Producción y distribución de alimentos
  • Industria manufacturera (productos sanitarios, electrónica, maquinaria, vehículos de motor)
  • Proveedores digitales (mercados en línea, motores de búsqueda, redes sociales)
  • Instituciones de investigación

Nota: Algunas organizaciones están incluidas en NIS2 independientemente de su tamaño — entre ellas los proveedores de servicios de confianza cualificados, los registros de dominios de nivel superior y los proveedores de servicios DNS.

Entidades esenciales vs. importantes

NIS2 distingue dos categorías:

  • Entidades esenciales — organizaciones más grandes en sectores de alta criticidad. Sujetas a supervisión proactiva: las autoridades pueden auditar e inspeccionar en cualquier momento.
  • Entidades importantes — sujetas a supervisión reactiva: las autoridades solo actúan tras un incidente o señal de incumplimiento.

Ambas categorías deben implementar las mismas medidas de seguridad. La diferencia está en el modelo de supervisión y las multas máximas.

¿Qué exige NIS2? Las 3 obligaciones fundamentales

1. Deber de diligencia — las 10 medidas del artículo 21

Las organizaciones deben adoptar medidas técnicas, operativas y organizativas apropiadas para gestionar los riesgos de ciberseguridad. El artículo 21 enumera diez categorías específicas de medidas que debes implementar como mínimo.

Aquí tienes una visión general de cómo se organizan las 10 medidas:

Artículo 21 — 10 Medidas de Ciberseguridad NIS2
Artículo 21
10 Medidas de Ciberseguridad
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad
Incidentes & Continuidad
2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres
Cadena de Suministro & Sistemas
4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información
Controles Técnicos
8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras
Personas & Activos
7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

Cada medida en detalle:

  1. Análisis de riesgos y políticas de seguridad de la información — evaluaciones documentadas de riesgos y políticas de seguridad para tus sistemas de información
  2. Gestión de incidentes — procesos de detección, respuesta y recuperación ante incidentes de seguridad
  3. Continuidad de negocio y gestión de crisis — estrategias de copia de seguridad, recuperación ante desastres y procedimientos de gestión de crisis
  4. Seguridad de la cadena de suministro — requisitos de seguridad para tus proveedores, incluidas disposiciones contractuales
  5. Adquisición, desarrollo y mantenimiento seguros — seguridad en el ciclo de vida de tus redes y sistemas de información, incluida la gestión de vulnerabilidades
  6. Evaluación de la eficacia — políticas y procedimientos para evaluar si tus medidas de ciberseguridad realmente funcionan
  7. Ciberhigiene y formación — prácticas básicas de ciberseguridad para todo el personal, además de programas de formación específicos
  8. Criptografía y cifrado — políticas sobre cuándo y cómo aplicar controles criptográficos y cifrado
  9. Seguridad de RRHH, control de acceso y gestión de activos — verificación del personal, controles de acceso basados en roles e inventario actualizado de activos
  10. Autenticación multifactor y comunicaciones seguras — MFA para sistemas críticos, comunicaciones internas cifradas y canales de comunicación de emergencia seguros

2. Obligación de notificación (Artículo 23)

Cuando se produce un incidente significativo, debes notificarlo en tres fases:

PlazoQué debes presentar
En 24 horasNotificación inicial a la autoridad supervisora y al CSIRT nacional — ¿fue malintencionado? ¿Posible impacto transfronterizo?
En 72 horasInforme de seguimiento con evaluación inicial de gravedad, impacto e indicadores de compromiso
En 1 mesInforme final con descripción detallada, análisis de causas y medidas correctivas aplicadas

3. Obligación de registro

Las organizaciones incluidas en NIS2 deben registrarse ante su autoridad nacional de supervisión. Los plazos y portales de registro varían según el país.

¿Qué ocurre si no cumples?

Las consecuencias son significativas — tanto para la organización como para los directivos individualmente.

Sanciones financieras

  • Entidades esenciales: multas de hasta 10 millones de euros o el 2 % de la facturación anual global (lo que sea mayor)
  • Entidades importantes: multas de hasta 7 millones de euros o el 1,4 % de la facturación anual global

Responsabilidad personal de los directivos

Aquí es donde NIS2 va más allá que la mayoría de las regulaciones. El artículo 20 sitúa la responsabilidad de la ciberseguridad explícitamente en el órgano de dirección:

  • Los directivos deben aprobar las medidas de gestión de riesgos
  • Los directivos deben supervisar su implementación
  • Los directivos pueden ser considerados personalmente responsables en caso de incumplimiento
  • Los directivos están obligados a recibir formación en ciberseguridad

No se trata solo de firmar un documento de política. NIS2 espera que la dirección comprenda activamente el panorama de riesgos de la organización y tome decisiones informadas.

Calendario de implementación de NIS2 en la UE

NIS2 entró en vigor a nivel de la UE en enero de 2023. Los estados miembros tenían hasta el 17 de octubre de 2024 para transponerla a su legislación nacional. Sin embargo, los calendarios varían significativamente:

PaísEstado
BélgicaPlenamente en vigor desde octubre de 2024 — de los primeros
AlemaniaNIS2UmsuCG aprobada en noviembre de 2025; registro en BSI requerido para abril de 2026
Países BajosLey de Ciberseguridad presentada al parlamento en junio de 2025; prevista para T2 2026
FranciaTransposición en curso; ley nacional prevista para 2026
ItaliaDecreto legislativo adoptado; implementación en marcha
EspañaTransposición en curso
PoloniaProyecto de ley en trámite parlamentario

Conclusión: Independientemente del calendario de tu país, la dirección está clara. Las organizaciones que empiecen a prepararse ahora tendrán una ventaja significativa.

¿Cómo empezar con el cumplimiento de NIS2?

Prepararse para NIS2 no tiene por qué ser abrumador. Sigue estos cinco pasos:

  1. Determina si NIS2 se aplica a ti — verifica el umbral de tamaño (50+ empleados o €10M+ de facturación) y confirma tu sector
  2. Evalúa tu situación actual — mapea tus medidas existentes contra las 10 categorías del artículo 21 e identifica las carencias
  3. Prioriza e implementa — aborda primero las carencias de mayor riesgo; no intentes hacerlo todo a la vez
  4. Documenta todo — NIS2 exige cumplimiento demostrable. Lo que no puedas probar, no cuenta
  5. Involucra a tu dirección — asegúrate de que la dirección comprende su responsabilidad personal y aprueba el enfoque de gestión de riesgos

Empieza con un quickscan NIS2 gratuito

¿No sabes dónde se encuentra tu organización? Nuestro quickscan NIS2 gratuito te ofrece una evaluación inicial de tu preparación en solo unos minutos.

El scan cubre las 10 categorías de medidas del artículo 21 y te muestra exactamente dónde necesitas actuar — sin compromiso.

Lee también

Hacer el quickscan gratuito →

    ¿Qué es NIS2? Todo lo que necesitas saber sobre la directiva de ciberseguridad de la UE — NIS2Certify