Guía Completa NIS2 2025

La Directiva NIS (Seguridad de las Redes y Sistemas de Información) de 2016 fue el primer marco legislativo europeo dedicado a la ciberseguridad. Obligaba a los Estados miembros a designar autoridades competentes y a establecer requisitos mínimos de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. Si bien sentó las bases de un enfoque común, su aplicación desigual entre países puso de manifiesto importantes lagunas de armonización.

Ante la rápida evolución de las amenazas cibernéticas y la persistente fragmentación entre los Estados miembros, la Comisión Europea publicó la Directiva NIS2 (2022/2555) el 27 de diciembre de 2022. Este texto reformula íntegramente el marco anterior: amplía considerablemente el perímetro de las entidades afectadas, refuerza las obligaciones de seguridad, aumenta las sanciones y exige una cooperación reforzada entre autoridades nacionales. La Directiva entró en vigor el 17 de octubre de 2024, fecha límite para que los Estados miembros transpusieran sus disposiciones al derecho nacional.

En España, la transposición de NIS2 es responsabilidad del CCN-CERT (Centro Criptológico Nacional), dependiente del Centro Nacional de Inteligencia, como autoridad nacional competente en materia de ciberseguridad. El Real Decreto-ley de transposición establece el marco legal aplicable a las entidades españolas. Se recomienda que las empresas comiencen cuanto antes a evaluar su nivel de seguridad actual e inicien las acciones necesarias para alcanzar el cumplimiento.

NIS2 distingue entre dos categorías de entidades sujetas a obligaciones: las entidades esenciales (EE) y las entidades importantes (EI). Esta distinción determina el nivel de supervisión ejercida por el CCN-CERT y la cuantía de las sanciones aplicables. Las entidades esenciales son grandes empresas (más de 250 empleados o más de 50 millones de euros de facturación anual) que operan en los sectores altamente críticos del Anexo I. Las entidades importantes comprenden medianas empresas (más de 50 empleados o más de 10 millones de euros de facturación) en los sectores de los Anexos I o II.

La Directiva abarca 18 sectores distribuidos en dos anexos. El Anexo I (sectores altamente críticos) incluye: energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, gestión de servicios TIC, administración pública y espacio. El Anexo II añade: servicios postales y de mensajería, gestión de residuos, fabricación y distribución de productos químicos, producción y distribución alimentaria, fabricación de dispositivos médicos y electrónicos, proveedores digitales e investigación.

Incluso si su empresa no pertenece directamente a un sector cubierto, puede verse afectada si suministra servicios o productos a una entidad esencial o importante. NIS2 impone a las entidades en el ámbito de la Directiva garantizar que sus proveedores críticos también cumplan un nivel de seguridad adecuado, en la práctica mediante cláusulas contractuales, cuestionarios de seguridad y auditorías.

El artículo 21 de la Directiva NIS2 define las medidas técnicas, operativas y organizativas que las entidades obligadas deben implantar. Dichas medidas deben ser proporcionales al nivel de riesgo, al tamaño de la entidad y a las posibles consecuencias de los incidentes. Se establecen ocho obligaciones principales.

Primero, gobernanza y responsabilidad de la dirección: los órganos de dirección deben aprobar las medidas de ciberseguridad y asumir responsabilidad personal en caso de incumplimiento grave. Segundo, gestión del riesgo: análisis periódicos de riesgos, identificación de activos críticos y política de seguridad documentada. Tercero, seguridad de la cadena de suministro: evaluación y supervisión de proveedores críticos mediante cláusulas contractuales, cuestionarios y auditorías.

Cuarto, gestión de incidentes y notificación en 72 horas: alerta temprana al CCN-CERT en las 24 horas siguientes a la detección de un incidente significativo, notificación completa en 72 horas y informe final en el plazo de un mes. Quinto, continuidad del negocio: planes de continuidad (BCP) y de recuperación ante desastres (DRP) formalizados y probados periódicamente. Sexto, seguridad de los recursos humanos: comprobación de antecedentes para puestos sensibles, formación en ciberseguridad y revocación inmediata de accesos al abandonar la empresa. Séptimo, criptografía: cifrado de datos sensibles en tránsito y en reposo, y gestión documentada de claves y certificados. Octavo, control de accesos: autenticación multifactor (MFA) obligatoria para sistemas críticos y política IAM basada en el principio de mínimo privilegio.

NIS2 establece un régimen sancionador significativamente más severo que su predecesor. Las multas se calculan tomando el importe más elevado entre un techo fijo y un porcentaje del volumen de negocio anual mundial, para garantizar su efecto disuasorio independientemente del tamaño de la entidad. Para las entidades esenciales, la multa máxima es de 10.000.000 € o el 2% del volumen de negocio anual mundial. Para las entidades importantes es de 7.000.000 € o el 1,4% del volumen de negocio anual mundial.

Una novedad importante respecto a NIS1 es la responsabilidad personal de los directivos en caso de incumplimiento grave de las obligaciones de ciberseguridad. Los Estados miembros pueden prever sanciones individuales contra las personas físicas que ejerzan funciones directivas en entidades esenciales, pudiendo llegar a la inhabilitación temporal para el ejercicio de cargos directivos. Esta disposición pretende que los órganos de gobernanza asuman una responsabilidad directa en materia de ciberseguridad.

El CCN-CERT dispone de amplias facultades para controlar el cumplimiento de las entidades obligadas: auditorías documentales y presenciales, solicitudes de información, órdenes de cumplimiento con plazo y publicación de los incumplimientos (name and shame). Para las entidades esenciales, los controles pueden iniciarse de forma proactiva sin que se haya producido previamente un incidente.

Alcanzar el cumplimiento de NIS2 es un proyecto organizativo que se extiende a lo largo de varios meses. El siguiente plan de cinco pasos se basa en las recomendaciones del CCN-CERT y en las directrices de ENISA.

Paso 1 (meses 1-2) — Inventario de activos: identifique y catalogue todos los activos digitales (servidores, aplicaciones, equipos de red, puestos de trabajo, accesos cloud) y clasifíquelos según su criticidad para el negocio. Paso 2 (meses 2-3) — Evaluación de riesgos: realice un análisis de riesgos identificando amenazas, vulnerabilidades e impactos potenciales para cada activo crítico; puede utilizar la metodología MAGERIT, referencia española en gestión de riesgos, o ISO 27005. Paso 3 (meses 3-6) — Implementación de medidas: despliegue las medidas técnicas y organizativas priorizadas (MFA, cifrado, segmentación de red, gestión de parches, copias de seguridad, detección de incidentes) y documente cada medida implantada.

Paso 4 (meses 6-9) — Formación del personal: sensibilice a todos los empleados sobre los riesgos cibernéticos y las buenas prácticas; forme específicamente a los equipos IT en los nuevos procedimientos de detección y notificación de incidentes; incluya a la dirección en formaciones sobre gobernanza y responsabilidades NIS2. Paso 5 (continuo) — Auditoría y mejora continua: planifique auditorías internas y externas periódicas, actualice su análisis de riesgos al menos anualmente, pruebe su plan de continuidad mediante ejercicios de crisis y mantenga actualizada toda la documentación de cumplimiento.

Varios recursos oficiales le ayudarán a profundizar en la Directiva NIS2 e iniciar su proceso de cumplimiento.

El texto completo de la Directiva (UE) 2022/2555 está disponible en EUR-Lex, el Diario Oficial de la Unión Europea. El CCN-CERT (ccn-cert.cni.es) publica guías prácticas, herramientas de autoevaluación e información actualizada sobre la transposición española de NIS2. El INCIBE (Instituto Nacional de Ciberseguridad) también ofrece recursos y asesoramiento para empresas, especialmente pymes, sobre el cumplimiento de NIS2. La ENISA (Agencia de la UE para la Ciberseguridad) pone a disposición directrices técnicas y recomendaciones de implementación.

Para la gestión de riesgos, la metodología MAGERIT desarrollada por el Consejo Superior de Administración Electrónica es la referencia española para el análisis de riesgos de sistemas de información. La certificación ISO/IEC 27001 también es reconocida como evidencia de cumplimiento ante las autoridades supervisoras.