La Directiva NIS2 (Network and Information Security 2) es la normativa europea de ciberseguridad más ambiciosa hasta la fecha, y su transposición al derecho español afecta directamente a miles de empresas que hasta ahora no tenían obligaciones específicas en materia de seguridad. Si diriges una empresa tecnológica o prestas servicios digitales, esto te incumbe.
Qué es NIS2 y por qué importa
NIS2 sustituye a la primera directiva NIS (2016) y amplía significativamente su alcance. Mientras que NIS1 afectaba principalmente a operadores de servicios esenciales y proveedores de servicios digitales, NIS2 extiende las obligaciones a un rango mucho mayor de sectores y tipos de empresa, incluyendo empresas medianas que prestan servicios tecnológicos.
La directiva establece requisitos mínimos de ciberseguridad, obligaciones de notificación de incidentes y un régimen sancionador que puede llegar hasta los 10 millones de euros o el 2% de la facturación anual global para entidades esenciales.
A quién aplica NIS2 en España
NIS2 clasifica las entidades en dos categorías: esenciales e importantes. Las entidades esenciales incluyen energía, transporte, banca, salud, agua, infraestructura digital y administración pública. Las entidades importantes incluyen servicios postales, gestión de residuos, fabricación, alimentación, proveedores digitales y organizaciones de investigación.
El criterio de tamaño es clave: se aplica a empresas medianas (50+ empleados o 10M€+ de facturación) y grandes. Pero ojo: también puede aplicar a empresas más pequeñas si son proveedores críticos de una entidad regulada. Si tu empresa de software presta servicios a un hospital o a una empresa energética, NIS2 puede afectarte indirectamente a través de requisitos de cadena de suministro.
Plazos de transposición en España
El plazo de transposición de NIS2 al derecho nacional era octubre de 2024. España, como muchos estados miembros, está trabajando en la transposición a través de la actualización del Real Decreto-ley 12/2018. Aunque la ley nacional aún no está finalizada, las empresas deberían empezar a prepararse ya, porque las obligaciones de la directiva son de aplicación directa en muchos aspectos y los plazos de adaptación son limitados.
Qué medidas de seguridad exige NIS2
NIS2 exige un enfoque de gestión de riesgos que incluye: políticas de análisis de riesgos y seguridad de la información, gestión de incidentes (detección, respuesta, notificación), continuidad de negocio y gestión de crisis, seguridad de la cadena de suministro, evaluaciones de seguridad periódicas (aquí es donde entra el pentesting), políticas de criptografía y cifrado, control de acceso y gestión de activos, y formación en ciberseguridad para empleados y dirección.
Sanciones por incumplimiento
El régimen sancionador de NIS2 es significativamente más severo que su predecesor. Para entidades esenciales: hasta 10 millones de euros o el 2% de la facturación anual global. Para entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación. Además, la dirección de la empresa puede ser personalmente responsable si se demuestra negligencia en la implementación de las medidas de seguridad.
Cómo preparar tu empresa para NIS2
El primer paso es determinar si tu empresa está en el alcance de NIS2 (por tamaño, sector o cadena de suministro). Después, realiza un gap analysis para identificar qué medidas ya tienes implementadas y cuáles faltan. Ejecuta una auditoría técnica o pentest para conocer el estado real de tu seguridad. Desarrolla un plan de remediación priorizado por riesgo y coste. Implementa las medidas técnicas y organizativas necesarias. Y establece un proceso de evaluación continua, porque NIS2 no es un checkbox de una vez — es un proceso permanente.
NIS2 y ENS: ¿cómo se relacionan?
Si tu empresa ya cumple con el Esquema Nacional de Seguridad (ENS), tienes una base sólida para NIS2. Ambas normativas comparten principios similares: gestión de riesgos, medidas técnicas proporcionales, notificación de incidentes y auditorías periódicas. Sin embargo, NIS2 añade requisitos específicos sobre cadena de suministro, responsabilidad de la dirección y cooperación transfronteriza que el ENS no cubre. No son sustitutivas — son complementarias.