Imagina el siguiente escenario: un hospital sufre un ciberataque y pierde el acceso a los historiales de los pacientes. Un proveedor de electricidad, paralizado, deja a miles de hogares sin energía. Un operador de transporte ferroviario, bloqueado, provoca el caos en toda una región.
Estos escenarios no son ciencia ficción. Ocurren con regularidad y sus consecuencias afectan a millones de ciudadanos. Para prevenir estas situaciones, la Unión Europea ha reforzado su marco legal con la Directiva NIS2.
La Directiva NIS2 (Network and Information Security 2) es una legislación de la Unión Europea que busca fortalecer la ciberseguridad de las infraestructuras críticas. Impone medidas de gestión de riesgos y obligaciones de notificación de incidentes a entidades de 18 sectores clave, como energía, sanidad y transporte, para armonizar y elevar el nivel de seguridad en toda la UE.
- ¿Qué es la directiva NIS2?
- ¿Estás afectado?
- ¿Entidad esencial o importante?
- ¿No estás directamente afectado? Te recomendamos leer igualmente.
- Foco: la seguridad de la cadena de suministro
- Foco: la notificación de incidentes
- ¿Qué es un incidente «significativo»?
- Foco: la responsabilidad de los directivos
- Calendario de Implementación de la Directiva NIS2
- Las sanciones: a qué te expones
- Cómo prepararse de forma concreta
- Para los equipos técnicos
- Preguntas frecuentes
¿Qué es la directiva NIS2?
Una respuesta a los ciberataques en infraestructuras críticas.
NIS2 significa Network and Information Security 2 —en español, «Seguridad de Redes y de la Información»—. Es una directiva europea adoptada en 2022 que impone reglas de ciberseguridad a las organizaciones que operan nuestra sociedad: energía, transportes, sanidad, agua, servicios digitales, etc. La directiva reemplaza la primera versión NIS de 2016.
¿Por qué «2»? Porque esta primera versión presentaba un problema: no cubría un número suficiente de organizaciones y las reglas variaban excesivamente entre los países europeos. El resultado: brechas de seguridad generalizadas.
La NIS2 directiva corrige estas deficiencias ampliando considerablemente su alcance y armonizando las reglas. Esto marca una diferencia clave con modelos fuera de la UE, donde la regulación sigue fragmentada por estados. Un ejemplo de esta complejidad se ve en industrias digitales de alto volumen, donde analistas de mercado como pokerscout monitorizan normativas dispares en cada jurisdicción.
¿Estás afectado?
El principio: sector + tamaño
La Directiva NIS2 aplica un filtro de dos criterios para determinar si estás afectado:
- Tu sector de actividad: ¿formas parte de los 18 sectores listados?
- Tu tamaño: ¿tienes suficientes empleados o volumen de negocio?
Si cumples ambos criterios, estás sujeto a NIS2.
Los 18 sectores afectados
NIS2 amplía el campo de juego a 18 sectores, divididos en dos categorías:
- Sectores altamente críticos: Piensa en la columna vertebral de la sociedad. Aquí entran Energía (electricidad, gas), Transportes, Banca, Sanidad, Agua, Infraestructura digital (DNS, Cloud, centros de datos), servicios de TI gestionados (MSP/MSSP) y Administraciones Públicas.
- Otros sectores críticos: También son clave, pero su caída no es tan apocalíptica de inmediato. Aquí se incluyen los Servicios postales, Gestión de residuos, Química, Alimentación, Fabricación (de dispositivos médicos, electrónica, etc.), Servicios digitales (marketplaces, redes sociales) e Investigación.
Los criterios de tamaño
Una vez identificado tu sector, verifica si tu organización alcanza los siguientes umbrales:
- Gran empresa:
- Más de 250 empleados
- O más de 50 millones de euros de volumen de negocio Y más de 43 millones de euros de balance general
- Mediana empresa:
- Entre 50 y 250 empleados
- O entre 10 y 50 millones de euros de volumen de negocio
- Pequeña empresa (menos de 50 empleados Y menos de 10 M€ de volumen de negocio):
- Generalmente excluida de NIS2.
- Salvo excepciones: proveedores de DNS, registros de nombres de dominio de nivel superior, prestadores cualificados de servicios de confianza.
¿Entidad esencial o importante?
NIS2 crea dos categorías con diferentes niveles de control:
- Entidades esenciales (EE):
- Grandes empresas en los sectores altamente críticos.
- Ciertas entidades independientemente de su tamaño (DNS, administraciones…).
- Supervisión proactiva: las autoridades pueden realizar controles en cualquier momento.
- Sanciones máximas: hasta 10 M€ o el 2 % del volumen de negocio mundial.
- Entidades importantes (EI):
- Medianas empresas en los sectores altamente críticos.
- Grandes empresas en los otros sectores críticos.
- Medianas empresas en los otros sectores críticos.
- Supervisión reactiva: controles únicamente tras un incidente o una denuncia.
- Sanciones reducidas: hasta 7 M€ o el 1,4 % del volumen de negocio mundial.
¿No estás directamente afectado? Te recomendamos leer igualmente.
Si eres proveedor de una empresa sujeta a NIS2, es previsible que recibas cuestionarios de seguridad y exigencias contractuales. Tus clientes deberán verificar tu nivel de seguridad.
Lo que NIS2 te exige hacer
Visión general: los 10 dominios obligatorios
NIS2 impone la implementación de medidas en 10 dominios. No es una lista de verificación, sino un enfoque global de gestión de riesgos.
| Dominio | Qué significa en la práctica |
|---|---|
| 1. Políticas de seguridad | Documentar tus reglas de seguridad y analizar tus riesgos |
| 2. Gestión de incidentes | Saber detectar, reaccionar y recuperarse de un ataque |
| 3. Continuidad de negocio | Poder seguir operando incluso tras un incidente grave |
| 4. Seguridad de la cadena de suministro | Verificar que tus proveedores no te pongan en riesgo |
| 5. Seguridad en el desarrollo | Integrar la seguridad en tu software y sistemas |
| 6. Evaluación de medidas | Probar regularmente si tus protecciones funcionan |
| 7. Higiene cibernética | Formar a tu personal en buenas prácticas |
| 8. Criptografía | Cifrar los datos sensibles |
| 9. Seguridad de RR. HH. | Controlar los accesos, gestionar las bajas de personal |
| 10. Autenticación | Implementar la autenticación multifactor (MFA) |
Foco: la seguridad de la cadena de suministro
Esta es una de las principales novedades de NIS2 y merece una atención especial.
El problema: una empresa puede tener la mejor seguridad del mundo, pero si uno de sus proveedores es comprometido, ella también lo está. Es lo que se conoce como un ataque a la cadena de suministro (supply chain attack): el atacante explota un eslabón débil para alcanzar su objetivo.
Ejemplos concretos:
- En 2020, el ataque a SolarWinds afectó a 18 000 organizaciones a través de una actualización de software maliciosa. Para un análisis técnico detallado, recomendamos el informe de Mandiant y Google sobre el backdoor Sunburst.
- En 2024, la puerta trasera en XZ Utils podría haber comprometido todos los servidores Linux.
- Un proveedor de cloud comprometido puede exponer los datos de todos sus clientes.
Lo que NIS2 te exige:
- Identificar a tus proveedores críticos: Elabora una lista de todos los proveedores cuya falla bloquearía tu actividad: hosting, desarrolladores de software, subcontratistas de TI, proveedores de componentes, etc.
- Evaluar su nivel de seguridad: ¿Cómo? Mediante cuestionarios de seguridad, solicitud de certificaciones (ISO 27001, SOC 2) o auditorías para los más críticos.
- Integrar cláusulas en tus contratos: Obligación de notificarte en caso de incidente, derecho de auditoría, exigencias de seguridad mínimas y cláusula de reversibilidad.
- Supervisar de forma continua: Un proveedor seguro hoy puede ser comprometido mañana. Mantente vigilante.
Foco: la notificación de incidentes
NIS2 impone plazos estrictos para notificar los incidentes de seguridad. El objetivo es permitir una respuesta a incidentes coordinada a nivel nacional y europeo. El plan de respuesta a incidentes es una pieza clave.
¿Qué es un incidente «significativo»?
Un incidente es significativo si:
- Causa o puede causar una perturbación grave de tus servicios.
- Provoca pérdidas financieras importantes.
- Afecta a otras organizaciones o personas (clientes, socios, ciudadanos).
Los plazos de notificación
- En 24 horas: alerta temprana. Tan pronto como detectes un incidente significativo, debes avisar a tu autoridad nacional (en España: el CCN-CERT/INCIBE). En esta fase, es posible que no tengas mucha información; no es un problema. Lo importante es notificar rápidamente.
- En 72 horas: notificación completa. Debes proporcionar una primera evaluación: ¿cuál es la naturaleza del ataque?, ¿cuál es su gravedad?, ¿cuál es el impacto actual y potencial?
- Bajo petición: informes intermedios. Si la autoridad te lo solicita, debes proporcionar actualizaciones.
- En 1 mes: informe final. Una vez resuelto, debes entregar un informe completo: causa, medidas adoptadas y lecciones aprendidas.
¿A quién notificar?
Cada país de la UE ha designado su propia autoridad nacional o CSIRT. En el caso de la directiva NIS2 en España, las entidades de referencia son el CCN-CERT y el INCIBE. Debes identificar y tener a mano el contacto de la autoridad competente en tu país.
Foco: la responsabilidad de los directivos
Aquí viene el cambio de mentalidad más importante: la ciberseguridad deja de ser “un problema de TI” para convertirse en una responsabilidad directa del consejo de administración. Los directivos deben aprobar, supervisar e incluso formarse en ciberseguridad. Si no lo hacen, pueden ser sancionados personalmente, llegando incluso a la inhabilitación. El mensaje es claro: si la empresa falla en ciberseguridad, la dirección es responsable.
Calendario de Implementación de la Directiva NIS2
Conocer el estado de la directiva NIS2 y su entrada en vigor es crucial para la planificación.
| Fecha / Período | Evento | Qué significa para ti (enero 2026) |
|---|---|---|
| Enero 2023 | Entrada en vigor de NIS2 a nivel UE | La directiva ya obliga directamente en aspectos clave |
| 17 octubre 2024 | Fecha límite de transposición nacional | Muchos países (incluida España) incumplieron; procedimiento de infracción abierto |
| 2025-2026 | Transposición e implementación efectiva | En España el anteproyecto está maduro pero aún no publicado en BOE; obligaciones ya exigibles en países transpuestos y presión creciente |
| A partir de publicación nacional | Listas de entidades y aplicación plena | Las listas se publican y actualizan periódicamente (al menos cada 2 años); prepárate ya |
| 17 octubre 2027 | Revisión obligatoria de la directiva | La UE evaluará y posiblemente ajustará NIS2; mantente al día |
El mensaje es claro: no esperes para prepararte. La adaptación lleva tiempo.
Las sanciones: a qué te expones
NIS2 armoniza las sanciones a escala europea. Se acabaron los países «laxos» donde las multas eran simbólicas.
Multas máximas:
| Categoría | Multa máxima |
|---|---|
| Entidades esenciales | 10 millones de euros O el 2 % del volumen de negocio mundial anual (la cantidad que sea mayor) |
| Entidades importantes | 7 millones de euros O el 1,4 % del volumen de negocio mundial anual |
Otras posibles sanciones:
- Requerimientos: la autoridad puede ordenarte corregir un problema.
- Suspensión de certificaciones: puedes perder temporalmente tus acreditaciones.
- Publicación: tu incumplimiento puede hacerse público (daño a la reputación).
- Sanciones personales: consulta la sección sobre los directivos.
Cómo prepararse de forma concreta
Paso 1: Determina si estás afectado
Revisa los criterios de sector y tamaño. Si aún tienes dudas sobre a quién aplica la Directiva NIS2, consulta a un abogado especializado o a tu autoridad nacional.
Paso 2: Realiza un diagnóstico inicial
Evalúa tu situación actual con respecto a los 10 dominios. Para cada dominio, pregúntate: «¿Tenemos algo implementado?».
- ¿Tenemos una política de seguridad escrita?
- ¿Tenemos un proceso de gestión de incidentes?
- ¿Tenemos un plan de continuidad de negocio?
- ¿Hemos evaluado a nuestros proveedores críticos?
- ¿Integramos la seguridad en nuestros desarrollos?
- ¿Probamos regularmente nuestras defensas?
- ¿Formamos a nuestros empleados?
- ¿Ciframos los datos sensibles?
- ¿Controlamos los accesos?
- ¿Utilizamos la autenticación multifactor?
Paso 3: Prioriza las acciones
No podrás hacerlo todo a la vez. Concéntrate en:
- Las ganancias rápidas (quick wins): lo que se puede implementar rápidamente (ej: activar MFA).
- Los riesgos mayores: lo que más expone a tu organización.
- Las obligaciones más estrictas: la notificación en 24 horas.
Paso 4: Involucra a la dirección
NIS2 impone la responsabilidad de los directivos. Si tu dirección aún no está involucrada, presenta los riesgos (sanciones, reputación), solicita una validación formal de la política de seguridad y propón formaciones.
Paso 5: Documéntalo todo
En caso de una inspección, deberás demostrar que has tomado medidas. Conserva políticas, actas de decisiones, pruebas de formación, evaluaciones de proveedores y los tests de seguridad realizados.
Para los equipos técnicos
Si eres desarrollador, DevOps o administrador de sistemas, así es como la NIS2 directiva impacta en tu día a día.
Seguridad en el desarrollo
NIS2 exige integrar la seguridad en el ciclo de desarrollo. En la práctica:
- Análisis estático (SAST): escanear el código fuente en busca de vulnerabilidades.
- Análisis dinámico (DAST): probar la aplicación en ejecución.
- Análisis de dependencias (SCA): verificar que tus librerías de terceros no tengan fallos conocidos.
- Revisión de código: hacer que un compañero revise el código crítico.
- Pruebas de penetración: simular ataques para encontrar fallos, algo fundamental en el pentesting moderno.
Gestión de incidentes técnicos
Debes ser capaz de detectar incidentes (logs, monitorización, alertas), reaccionar rápidamente (playbooks), conservar las evidencias para el análisis forense y restaurar los sistemas (copias de seguridad probadas).
Cadena de suministro de software
Como desarrollador, utilizas docenas de librerías de terceros. NIS2 te exige mantener un inventario de dependencias (SBOM), vigilar vulnerabilidades, actualizar componentes y verificar la integridad de los paquetes.
Preguntas frecuentes
«Somos una pyme de 40 personas, ¿estamos afectados?»
Probablemente no. Si tienes menos de 50 empleados Y menos de 10 M€ de volumen de negocio, generalmente estás excluido. Excepciones: si proporcionas servicios DNS, gestionas TLD o eres un prestador cualificado de servicios de confianza, estás afectado sin importar tu tamaño.
«Somos subcontratistas de un hospital, ¿estamos afectados?»
No directamente, pero el hospital, sujeto a NIS2, deberá verificar la seguridad de sus proveedores. Prepárate para rellenar cuestionarios de seguridad, demostrar certificaciones y aceptar cláusulas contractuales.
«Ya contamos con la certificación ISO 27001, ¿es suficiente?»
Es un excelente punto de partida, pero no cubre al 100 % la directiva NIS2. Verifica los plazos específicos de notificación de incidentes (24h), los requisitos de la cadena de suministro y la formación obligatoria de directivos, que no están explícitamente en ISO 27001.
«Somos una filial española de un grupo estadounidense»
La directiva NIS2 se aplica si operas en la UE, independientemente de la nacionalidad de tu empresa matriz. Dependes del Estado miembro donde se encuentre tu establecimiento principal. Para más detalles específicos sobre España, puedes consultar la FAQ oficial de INCIBE.
«¿Cuánto va a costar cumplir con NIS2?»
No hay una cifra mágica. El coste depende de tu punto de partida. La inversión se irá principalmente en: auditorías para saber dónde estás (análisis de brechas), posibles nuevas herramientas de seguridad, formación y, probablemente, horas de consultoría. Recuerda que el coste de una multa o de un incidente grave será, casi con total seguridad, mucho mayor.
