Contenidos
Qué es NIS2 y qué le exige a tu empresa
NIS2 es la directiva europea de ciberseguridad que va a cambiar las reglas del juego para miles de empresas españolas. Vamos a explicarlo sin jerga jurídica.
Si tu empresa opera en sectores como energía, transporte, salud, banca, alimentación, fabricación, infraestructura digital o administración pública, y tiene más de 50 empleados o factura más de 10 millones de euros, NIS2 te obliga a hacer cuatro cosas que hasta ahora eran opcionales o voluntarias.
Tener un sistema formal de gestión de riesgos de ciberseguridad. No un documento genérico: un marco documentado, aprobado por dirección y revisado periódicamente, que cubra diez áreas específicas — desde la gestión de incidentes hasta la seguridad de tu cadena de suministro.
Notificar los incidentes de seguridad en plazos muy cortos. Veinticuatro horas para la primera alerta, setenta y dos para el informe preliminar, un mes para el informe final. Si hoy un incidente tarda dos días solo en llegar al CTO, ese ritmo no vale.
Demostrar que tus controles funcionan. No basta con tener medidas: tienes que auditarlas, probarlas y documentar los resultados. Lo que no se puede demostrar no existe ante un regulador.
Responder personalmente como directivo. NIS2 exige que el órgano de dirección apruebe las medidas de ciberseguridad, supervise su implementación y se forme específicamente. No es delegable. Si algo falla y no cumpliste con estas obligaciones, las consecuencias recaen sobre ti como persona, incluyendo la posibilidad de inhabilitación temporal.
Las sanciones por incumplimiento llegan hasta los 10 millones de euros o el 2% de la facturación anual global para las entidades más críticas. Para las de menor criticidad, hasta 7 millones o el 1,4%. Hablamos de cifras que convierten la ciberseguridad en un tema de comité de dirección, no de departamento técnico.
NIS2 sustituye a la primera directiva NIS de 2016, que se quedó corta: cubría pocos sectores, cada país la interpretó como quiso, y las sanciones no disuaían. NIS2 corrige las tres carencias de golpe. Amplía el ámbito a 18 sectores, establece criterios automáticos de aplicación, armoniza requisitos mínimos en toda Europa y endurece las sanciones hasta niveles comparables al RGPD.
El Gobierno español estima que más de 5.700 empresas entran directamente en el ámbito de aplicación. Pero el número real es mayor, porque NIS2 exige a las entidades obligadas que gestionen la ciberseguridad de su cadena de suministro. Si eres proveedor de una de esas 5.700 empresas, las obligaciones te llegan por contrato aunque tú no estés en el ámbito directo.
| Criterio | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Sectores cubiertos | 7 sectores esenciales | 18 sectores (esenciales + importantes) |
| Criterio de aplicación | Discrecional por cada Estado | Automático: sector + tamaño (50+ empleados o 10M€+) |
| Empresas afectadas en España | ~400 operadores esenciales | Más de 5.700 entidades estimadas |
| Notificación de incidentes | Sin plazo armonizado | 24h (alerta) + 72h (informe) + 1 mes (final) |
| Sanciones máximas | Variables por país, generalmente bajas | 10M€ o 2% facturación global (esenciales) |
| Responsabilidad directivos | No explícita | Obligación personal: aprobación, supervisión y formación |
| Cadena de suministro | No regulada | Obligación de gestionar riesgos de proveedores |
| Supervisión | Reactiva | Proactiva: inspecciones, auditorías, solicitudes de información |
| Armonización entre países | Baja (transposiciones muy diferentes) | Alta (requisitos mínimos comunes obligatorios) |
Por qué te afecta ahora aunque la ley no esté en el BOE
Si operas en España y piensas que NIS2 es algo que ya resolverás cuando se publique la ley, necesitamos tener una conversación incómoda.
España lleva más de 18 meses de retraso en transponer la directiva. El plazo europeo venció en octubre de 2024. La Comisión Europea envió un dictamen motivado en mayo de 2025 por incumplimiento. El Anteproyecto de Ley sigue en tramitación parlamentaria. Y sin embargo, NIS2 ya está condicionando contratos, auditorías y decisiones de compra en toda Europa.
¿Por qué debería importarte ahora? Por tres razones:
La directiva es vinculante a nivel europeo desde enero de 2023. Aunque España no haya completado la transposición, los reguladores, los auditores y los tribunales europeos ya operan con NIS2 como referencia.
Tus clientes europeos ya te lo están exigiendo. Si trabajas con empresas alemanas, francesas o italianas en sectores regulados, es probable que ya estén incluyendo cláusulas NIS2 en sus contratos de proveedores. La cadena de suministro es una de las grandes novedades de esta directiva, y tú estás en esa cadena.
Cuando la ley entre en vigor, no habrá periodo de gracia. Las organizaciones que empiecen a prepararse ese día llegarán tarde. Las que empiecen hoy tendrán ventaja competitiva y evitarán sanciones que pueden alcanzar los 10 millones de euros.
Otros países ya están actuando. Alemania ha abierto procedimientos contra empresas por falta de notificación. Francia ha emitido apercibimientos formales. Italia ha iniciado inspecciones sectoriales. España aún no ha emitido sanciones al no tener la transposición completa, pero las inspecciones de INCIBE-CERT ya están en curso con criterios alineados con NIS2.
Estado de la transposición en España: la cronología
Esta es la secuencia de hechos que necesitas conocer. Sin opiniones, solo fechas:
- Enero 2023: NIS2 entra en vigor a nivel europeo. Los Estados tienen hasta octubre de 2024 para transponerla.
- 17 de octubre de 2024: vence el plazo. España no ha transpuesto. La Comisión abre procedimientos de infracción contra 23 Estados, incluida España.
- 14 de enero de 2025: el Consejo de Ministros aprueba el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Se anuncia tramitación urgente. Se prevé la creación de un Centro Nacional de Ciberseguridad.
- Enero-febrero 2025: audiencia e información pública. Empresas y asociaciones presentan aportaciones.
- 17 de abril de 2025: fecha límite para que los Estados elaboren la lista de entidades esenciales e importantes. España no la ha publicado formalmente.
- 7 de mayo de 2025: dictamen motivado de la Comisión Europea a 19 Estados, incluida España. Paso previo a la demanda ante el TJUE.
- Mayo de 2026 (hoy): el Anteproyecto sigue en tramitación parlamentaria. La transposición no se ha completado. El procedimiento de infracción sigue abierto.
La ley se espera para 2026. Cuando se publique en el BOE, entrará en vigor al día siguiente. No esperes a ese día para empezar.
¿Deseas contactar con un especialista en Atlassian?
¿A quién afecta? Sectores, tamaños y criterios de aplicación
NIS2 se aplica a tu empresa si cumples dos condiciones simultáneamente: operas en uno de los 18 sectores incluidos en los anexos de la directiva, y tienes 50 o más empleados o una facturación anual superior a 10 millones de euros. Si cumples ambas, estás dentro.
Los sectores se dividen en dos categorías con implicaciones diferentes:
Sectores de alta criticidad (Anexo I — entidades esenciales)
Energía (electricidad, petróleo, gas, hidrógeno), transporte (aéreo, ferroviario, marítimo, por carretera), banca, infraestructuras de mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital (IXP, DNS, TLD, centros de datos, CDN, servicios de confianza), gestión de servicios TIC B2B, administración pública, y espacio.
Otros sectores críticos (Anexo II — entidades importantes)
Servicios postales y de mensajería, gestión de residuos, fabricación (productos químicos, sanitarios, electrónicos, maquinaria, vehículos), producción y distribución de alimentos, proveedores de servicios digitales (marketplaces, motores de búsqueda, redes sociales), investigación científica, y seguridad privada (añadido en el anteproyecto español).
Hay excepciones al criterio de tamaño. Independientemente del número de empleados o facturación, NIS2 te aplica si eres proveedor de servicios DNS, registro de nombres de dominio TLD, proveedor de servicios de confianza cualificados, o entidad de la administración pública central.
Anexo I — Sectores de alta criticidad
- Energía (electricidad, petróleo, gas, hidrógeno)
- Transporte (aéreo, ferroviario, marítimo, carretera)
- Banca
- Infraestructuras de mercados financieros
- Sector sanitario
- Agua potable
- Aguas residuales
- Infraestructura digital (DNS, TLD, centros de datos, CDN)
- Gestión de servicios TIC (B2B)
- Administración pública
- Espacio
Anexo II — Otros sectores críticos
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación (química, sanitaria, electrónica, maquinaria, vehículos)
- Producción y distribución de alimentos
- Proveedores de servicios digitales (marketplaces, buscadores, redes sociales)
- Investigación científica
- Seguridad privada (añadido en el anteproyecto español)
Otros artículos que podrían interesarte
Qué exige NIS2: las 10 obligaciones del artículo 21
El artículo 21 es el corazón operativo de NIS2. Define las diez áreas en las que tu organización debe tener medidas implementadas. No son recomendaciones: son obligaciones legales auditables.
- Políticas de análisis de riesgos y seguridad de los sistemas de información: marco formal documentado, aprobado por dirección, revisado periódicamente.
- Gestión de incidentes: prevención, detección, análisis, contención y respuesta. Capacidad de notificación en 24h/72h/1 mes.
- Continuidad de negocio y gestión de crisis: planes de continuidad, backup, recuperación ante desastres.
- Seguridad en la cadena de suministro: evaluar y gestionar riesgos de proveedores directos. Verificación, no solo cláusula contractual.
- Seguridad en la adquisición, desarrollo y mantenimiento de sistemas: gestión de vulnerabilidades, desarrollo seguro (SDLC).
- Políticas y procedimientos para evaluar la eficacia de las medidas: auditorías, tests de penetración, simulaciones.
- Prácticas básicas de ciberhigiene y formación: formación para todos los empleados, obligación explícita para órganos de dirección.
- Políticas de uso de criptografía y cifrado: cifrado de datos en reposo y en tránsito.
- Seguridad de recursos humanos, control de accesos y gestión de activos: altas y bajas vinculadas al ciclo laboral, inventario de activos, mínimo privilegio.
- Autenticación multifactor y comunicaciones seguras: MFA obligatoria, comunicaciones de emergencia seguras.
Si repasas esta lista con honestidad, probablemente cumples parcialmente en algunas áreas, tienes gaps significativos en otras, y hay un par en las que ni siquiera has empezado. Eso es lo normal. Lo anormal sería ignorarlo.
Artículo 21 de NIS2: las 10 obligaciones
Análisis de riesgos
Marco formal de gestión de riesgos documentado, aprobado por dirección y revisado periódicamente.
Gestión de incidentes
Prevención, detección, análisis, contención y respuesta. Capacidad de notificación en 24h/72h/1 mes.
Continuidad de negocio
Planes de continuidad, backup, recuperación ante desastres y gestión de crisis.
Cadena de suministro
Evaluación y gestión de riesgos de proveedores directos. Verificación, no solo cláusula contractual.
Seguridad en desarrollo
Adquisición, desarrollo y mantenimiento seguro de sistemas. Gestión de vulnerabilidades.
Eficacia de las medidas
Auditorías, tests de penetración, simulaciones. Demostrar que los controles funcionan.
Ciberhigiene y formación
Formación para todos los empleados. Obligación explícita para órganos de dirección.
Criptografía y cifrado
Políticas de cifrado de datos en reposo y en tránsito. Si manejas datos sensibles, es obligatorio.
RRHH, accesos y activos
Altas y bajas vinculadas al ciclo laboral, inventario de activos, mínimo privilegio.
MFA y comunicaciones seguras
Autenticación multifactor obligatoria. Comunicaciones de emergencia seguras.
Plazos de notificación de incidentes: 24h / 72h / 1 mes
NIS2 establece un sistema escalonado en tres fases. Las tres son obligatorias:
Alerta temprana — máximo 24 horas. Desde el momento en que tienes conocimiento de un incidente significativo, tienes 24 horas para enviar una alerta temprana al CSIRT de referencia (INCIBE-CERT para sector privado, CCN-CERT para administración pública). Basta con indicar que ha ocurrido un incidente, si se sospecha que es malintencionado y si puede tener impacto transfronterizo. Es obligatoria y su omisión es sancionable.
Notificación del incidente — máximo 72 horas. Evaluación inicial de la gravedad y el impacto, indicadores de compromiso si los tienes, y actualización de la alerta temprana. Si aún no tienes toda la información, puedes enviar lo que tengas y completarlo después.
Informe final — máximo 1 mes. Descripción detallada del incidente, causa raíz probable, medidas de mitigación aplicadas e impacto transfronterizo. Si el incidente sigue activo al mes, se presenta un informe de situación y el final se entrega cuando se resuelva.
La pregunta que debes hacerte hoy no es si podrías redactar una alerta en 24 horas. Es si tu organización tiene un proceso que garantice que alguien detecta el incidente, lo escala a la persona adecuada, recopila la información mínima y la envía al CSIRT dentro de ese plazo.
Sanciones y responsabilidad personal de los directivos
Ya conoces las cifras: hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales, hasta 7 millones o el 1,4% para entidades importantes. Pero las multas económicas son solo una parte del régimen sancionador.
NIS2 otorga a las autoridades competentes capacidades que van mucho más allá de imponer multas. Pueden realizar inspecciones presenciales y remotas, con o sin previo aviso. Pueden solicitar acceso a documentos, datos y evidencias. Pueden ordenar auditorías de seguridad a cargo de la entidad. Pueden emitir advertencias vinculantes con plazos de corrección. Y en los casos más graves, pueden suspender temporalmente certificaciones o autorizaciones, e incluso prohibir el ejercicio de funciones de dirección a la persona física responsable.
El artículo 20 de la directiva establece tres obligaciones personales para los miembros de los órganos de dirección:
- Aprobar formalmente las medidas de gestión de riesgos de ciberseguridad. Debe constar en acta.
- Supervisar la implementación de esas medidas. No basta con aprobar: debes verificar que se ejecutan y revisar los informes periódicamente.
- Formarte en ciberseguridad de forma periódica y específica. Y garantizar que el resto de empleados también reciben formación.
La responsabilidad no se transfiere al CISO ni al CTO. Puedes delegar la ejecución, pero no la responsabilidad. Si algo sale mal y se demuestra que el órgano de dirección no cumplió con estas obligaciones, las consecuencias recaen sobre las personas que ocupan esos cargos, incluyendo la posibilidad de inhabilitación temporal.
- Aprobar formalmente las medidas de gestión de riesgos de ciberseguridad de tu organización. Debe constar en acta.
- Supervisar la implementación de esas medidas. No basta con aprobar: debes verificar que se ejecutan y revisar los informes de riesgos periódicamente.
- Formarte en ciberseguridad de forma periódica y específica. No es delegable. Y debes garantizar que el resto de empleados también reciben formación.
La conclusión es clara: la mayoría de empresas que usan Microsoft 365 y Atlassian Cloud tienen el 60-70% de las capacidades técnicas que NIS2 exige. Lo que les falta es el 30-40% que no es tecnológico: documentación, procesos, formación, simulacros y gobernanza.
NIS2 y tu stack tecnológico: cómo conecta con lo que ya tienes
NIS2 no prescribe herramientas. Prescribe capacidades. Y muchas de esas capacidades ya están disponibles en el stack tecnológico que usan la mayoría de empresas medianas y grandes. El problema no suele ser la falta de herramientas, sino la falta de configuración, documentación y procesos.
Plan de acción: 5 pasos para preparar tu empresa
| Obligación art. 21 | Probablemente ya tienes | Lo que suele faltar |
|---|---|---|
| 1. Análisis de riesgos | Herramientas de evaluación, frameworks ISO | Documento formal aprobado por dirección y revisado periódicamente |
| 2. Gestión de incidentes | JSM, sistema de ticketing | Runbook con plazos NIS2 (24h/72h/1m), plantillas de alerta temprana |
| 3. Continuidad de negocio | Backup nube/local/híbrido | Plan documentado con RTO/RPO, simulacros trimestrales verificados |
| 4. Cadena de suministro | Contratos con proveedores | Registro de proveedores críticos, evaluación de seguridad, verificación activa |
| 5. Seguridad en desarrollo | Bitbucket/GitHub, CI/CD | SDLC documentado, gestión de vulnerabilidades formalizada |
| 6. Eficacia de medidas | Monitorización, alertas | Auditorías periódicas, pentesting, ejercicios de simulación documentados |
| 7. Ciberhigiene y formación | Formación básica de onboarding | Formación periódica y específica para dirección. Programa continuo |
| 8. Criptografía | Cifrado en M365 y Atlassian Cloud (por defecto) | Política documentada que cubra portátiles, móviles y comunicaciones |
| 9. RRHH, accesos, activos | Entra ID, Guard Standard, SCIM | MFA sin excepciones, automatizar bajas, inventario de activos actualizado |
| 10. MFA y comunicaciones | MFA en M365 y Atlassian | MFA en todas las plataformas sin excepción, canal de emergencia seguro |
Paso 1: Determina si NIS2 te aplica
Revisa los dos criterios: ¿operas en alguno de los 18 sectores? ¿Tienes 50+ empleados o facturas más de 10M€? Si la respuesta a ambas es sí, estás dentro. Si eres proveedor de una empresa que sí lo está, las obligaciones te llegan por contrato. Documenta esta evaluación: es la primera evidencia que te pedirán.
Paso 2: Haz un gap analysis contra el artículo 21
Coge las 10 obligaciones y evalúa dónde estás en cada una. Un taller interno de medio día con tu CTO, tu responsable de seguridad y tu responsable de operaciones puede darte una primera fotografía. Clasifica cada obligación en tres niveles: cumplimos razonablemente, tenemos gaps significativos, o no hemos empezado.
Paso 3: Designa un responsable y llévalo al comité
Designa a una persona responsable de coordinar la preparación para NIS2 y agenda una presentación en el próximo comité de dirección: situación actual, gaps identificados, riesgos de no actuar, y propuesta de presupuesto y plazos. Que quede en acta.
Paso 4: Prioriza las quick wins
- Activa MFA en todas las plataformas sin excepciones.
- Automatiza altas y bajas de usuarios con SCIM.
- Documenta tu política de backup y haz un simulacro de restauración.
- Prepara un runbook de respuesta a incidentes con los plazos NIS2 y los contactos del CSIRT.
- Programa una formación de ciberseguridad para el comité de dirección.
Paso 5: Planifica lo que requiere más tiempo
La evaluación de la cadena de suministro, la implementación de un programa formal de gestión de vulnerabilidades, la clasificación de datos sensibles o la contratación de auditorías periódicas no se resuelven en una semana. Ponlas en un roadmap realista con plazos trimestrales y responsables asignados.
No necesitas tener todo perfecto el día que la ley entre en vigor. Necesitas demostrar que estás trabajando de buena fe en la dirección correcta, con evidencias documentadas de lo que has hecho, lo que estás haciendo y lo que tienes planificado.
Régimen sancionador NIS2
Además de las multas: inspecciones sin previo aviso, auditorías obligatorias, advertencias vinculantes con plazos de corrección, suspensión de certificaciones y autorizaciones.
Novedad NIS2: inhabilitación temporal de directivos para el ejercicio de funciones de dirección si se demuestra incumplimiento de las obligaciones de supervisión de ciberseguridad.
Preguntas frecuentes
Las dudas más habituales de directivos sobre la directiva NIS2.
¿NIS2 ya está en vigor en España?
La directiva está en vigor a nivel europeo desde enero de 2023, pero España no ha completado la transposición. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad sigue en tramitación parlamentaria a mayo de 2026. Cuando la ley se publique, entrará en vigor al día siguiente sin periodo transitorio prolongado.
¿A quién afecta NIS2 en España?
A entidades que operen en alguno de los 18 sectores incluidos en los Anexos I y II y que tengan 50 o más empleados o facturen más de 10 millones de euros. El Gobierno estima más de 5.700 empresas en el ámbito directo. La cadena de suministro se ve afectada indirectamente por contrato.
¿Qué diferencia hay entre entidad esencial e importante?
Las esenciales (Anexo I) tienen supervisión proactiva y sanciones de hasta 10M€ o el 2% de la facturación. Las importantes (Anexo II) tienen supervisión reactiva y sanciones de hasta 7M€ o el 1,4%.
¿Puedo esperar a que se publique la ley para prepararme?
Puedes, pero es un riesgo. La ley entrará en vigor sin periodo de gracia largo, los reguladores europeos ya aplican criterios NIS2, y los gaps de ciberseguridad no se resuelven en semanas.
¿NIS2 exige herramientas o tecnologías específicas?
No. NIS2 exige capacidades, no herramientas. La mayoría de empresas que usan Microsoft 365 y Atlassian Cloud ya tienen el 60-70% de las capacidades técnicas. Lo que suele faltar es documentación, procesos, formación y gobernanza.
¿Los directivos pueden ser sancionados personalmente?
Sí. El artículo 20 establece que los órganos de dirección deben aprobar las medidas, supervisar su implementación y formarse específicamente. El incumplimiento puede acarrear inhabilitación temporal para funciones de dirección.
¿Qué relación tiene NIS2 con el ENS?
Son complementarios. El ENS es el marco español para administraciones públicas. NIS2 es el marco europeo más amplio. Cumplir ENS Alto cubre buena parte de NIS2 para entidades públicas, pero quedan obligaciones adicionales como la notificación en 24h, la formación del consejo y la gestión de la cadena de suministro.
Marketing & Communications Team 