NIS2 para empresas: guía clara (y urgente) para saber qué hacer antes de que España la transponga

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

El 17 de octubre se cumple un año desde que terminó el plazo para que los países de la Unión Europea adaptaran a su derecho interno la Directiva NIS2. España aún no ha culminado la trasposición, pero su aprobación se considera inminente. Mientras tanto, las exigencias de NIS2 ya marcan el estándar europeo: más sectores afectados, más obligaciones de gobierno y control y sanciones elevadas. Para cualquier empresa —y, en especial, para los despachos que asesoran a compañías— el riesgo no está en equivocarse de coma con la futura ley española, sino en llegar tarde.

Este artículo explica en lenguaje claro qué cambia con NIS2, a quién podría afectar, qué medidas conviene iniciar ya y cómo estructurar un plan de 90 días sin esperar al BOE.

¿Qué es NIS2 y por qué importa?

NIS2 es la norma europea que busca reforzar la ciberseguridad de los servicios esenciales y de las empresas clave para el funcionamiento de la economía y la sociedad (energía, agua, transporte, salud, banca, digital, administración electrónica, proveedores de infraestructuras, etc.). Su filosofía es preventiva: obliga a las organizaciones a gestionar el riesgo, evitar incidentes y responder bien cuando ocurran.

Novedades principales:

  • Más sectores y entidades: se amplía el perímetro respecto a la NIS original. La futura ley española definirá quién es “esencial” y quién “importante”.
  • Obligaciones de gobierno: la Alta Dirección (órganos de administración) debe implicarse, aprobar planes y responder por incumplimientos.
  • Medidas mínimas (art. 21) técnicas y organizativas, con foco en cadena de suministro y gestión de incidentes.
  • Sanciones: hasta 10 millones de euros o el 2 % de la facturación mundial anual (la cifra más alta). Además de multas, hay daño reputacional, pérdida de contratos, o problemas en licitaciones.

Idea clave: NIS2 no es “otra norma”. Es un cambio cultural: la ciberseguridad deja de ser “tema del CISO” para convertirse en materia del Consejo.

¿A quién puede afectar en España?

Hasta que se publique la trasposición, no hay lista cerrada. Pero la tendencia europea es clara: quedarán comprendidas entidades cuyo fallo afecte a servicios esenciales, cadenas críticas o dependencias digitales relevantes. Esto abarca tanto a grandes operadores como a proveedores de esos operadores. Por prudencia, conviene diagnosticar el encaje cuanto antes.

Ejemplos típicos (orientativos): operadores de infraestructuras y servicios digitales, sanidad, financiero, energía, agua, transporte, residuos, fabricación con OT, cloud/centros de datos, servicios gestionados, plataformas digitales que soportan actividad crítica, administraciones y entes instrumentales, entre otros.

Dos actitudes empresariales (y sus consecuencias)

1) Proactivas: ya han hecho diagnóstico y puesto en marcha medidas en 2024–2025. Entendieron que esperar tiene coste y que los requisitos de NIS2 son buenas prácticas internacionales.

2) Expectantes: aplazan decisiones hasta “ver la ley”. Este enfoque se vuelve caro si ocurre un incidente (paro de negocio, sanción contractual, perjuicio reputacional) o si el plazo de adaptación tras la trasposición es corto.

Conclusión: con o sin BOE, el núcleo de NIS2 (riesgo, medidas mínimas, cadena de suministro, gobierno y respuesta) ya es aplicable como estándar de diligencia.

Qué hacer ya (sin esperar la trasposición)

A continuación, un plan práctico y entendible para cualquier empresa —y útil para abogados que asesoran—:

1) Riesgo claro y priorizado

  • Haga un diagnóstico: qué activos son críticos, dónde están, quién accede, qué procesos dependen de ellos.
  • Cuantifique el riesgo: una estimación económica (impacto probable) ayuda a decidir inversiones y a explicar el problema al Consejo.
  • Fije prioridades: empiece por lo que más duele si falla (servicios esenciales, clientes clave, OT).

2) Cadena de suministro bajo control

  • Identifique proveedores críticos.
  • Evalúe su ciberseguridad (cuestionarios, evidencias).
  • Incluya en contratos cláusulas mínimas (notificación de incidentes, medidas exigibles, derecho de auditoría proporcional).
  • Haga seguimiento: no basta con firmar; hay que verificar.

3) Seguridad “desde el diseño”

  • Integre la seguridad desde el inicio en nuevos procesos y sistemas (no como pegote).
  • DevSecOps: pruebas de seguridad automatizadas en desarrollo, hardening y parches en producción.
  • Segmentación de redes (especialmente en OT), MFA, principio de mínimo privilegio.

4) Medir si funciona

  • Políticas y procedimientos sirven si se cumplen.
  • Programe auditorías internas, test de intrusión, revisiones periódicas y KPIs (ej.: tiempo de parcheo, % MFA desplegado, resultados de simulaciones de phishing).

5) Personas informadas (y el Consejo, primero)

  • Formación regular a toda la plantilla (phishing, contraseñas, reporting).
  • Sesiones específicas a la Alta Dirección: su responsabilidad y su papel aprobando y supervisando planes es central en NIS2.

NIS2: amenaza o oportunidad real

Si se gestiona solo desde el miedo a la multa, se cae en cumplimientos mínimos que no reducen el riesgo. En cambio, usar NIS2 como palanca permite:

  • Menos incidentes críticos y mejor respuesta cuando ocurren.
  • Ahorro al invertir donde más impacto tiene (priorización).
  • Confianza del mercado (clientes y socios piden pruebas de madurez).
  • Ventaja competitiva en licitaciones, auditorías y evaluaciones de terceros.

Cómo empezar (o acelerar) en España

Aunque falte la trasposición, hay referencias sólidas y guías para avanzar:

  • ENS (Esquema Nacional de Seguridad): el CCN ha indicado (nota de 3 de octubre de 2025) que el ENS y sus perfiles específicos serán piezas clave en la futura trasposición. Alinear con ENS ahorra trabajo cuando llegue la ley.
  • Guías de CCN, INCIBE y ENISA: material práctico, plantillas y buenas prácticas actualizadas.
  • Art. 21 de NIS2: tómelo como lista mínima de medidas técnicas y organizativas.

Un plan de 90 días (realista y accionable)

Días 0–30: ver y ordenar

  • Inventario de servicios esenciales y procesos críticos.
  • Análisis de riesgos básico (incluya impacto económico).
  • Gap vs. art. 21 y ENS.
  • Gobernanza: nombre responsables y active un comité (negocio, legal, riesgos y TI).

Días 31–60: decidir y arrancar

  • Plan priorizado (identidad, red, endpoint, aplicaciones, datos, OT).
  • Proveedores: revisión y cláusulas mínimas.
  • Formación inicial (usuarios y Alta Dirección).
  • Playbooks de incidentes y comunicación; defina métricas.

Días 61–90: ejecutar lo crítico y medir

  • Despliegue de MFA, hardening y segmentación en los puntos de mayor riesgo.
  • Pruebas de continuidad (BCP/DRP) y simulacros de incidentes.
  • Auditoría interna ligera y ajuste del plan.
  • Informe de riesgo y madurez al Consejo.

Consejos para despachos que asesoran a empresas

  • Empezar por el “quién responde”: explique al cliente que el órgano de administración tiene obligaciones bajo NIS2 (aprobación, supervisión, responsabilidad).
  • Revisar contratos: añada obligaciones de ciberseguridad y notificación de incidentes a proveedores críticos; establezca matrículas de niveles de servicio y derechos de auditoría proporcionados.
  • Preparar la notificación de incidentes: plantillas, equipos responsables (legal, TI, comunicación) y plazos internos.
  • Alinearse con ENS: recomendar ENS como ruta rápida hacia NIS2.
  • Seguro ciber: revisar coberturas, condiciones de notificación y exigencias del asegurador.

Errores típicos a evitar

  • Tratar NIS2 como un “proyecto del CISO”: sin patrocinio del Consejo, no hay cambio cultural.
  • Querer hacerlo todo a la vez: mejore por capas; empiece por lo crítico.
  • Olvidar la cadena de suministro: un tercero débil tira abajo cualquier inversión interna.
  • No medir: sin KPIs y revisiones periódicas, no hay evidencia de eficacia.
  • Dejar OT para el final: los entornos industriales requieren controles específicos.

Qué vigilar (señales regulatorias)

  • Ley española de trasposición y reglamentos (clasificación, umbrales, plazos de notificación, régimen sancionador).
  • Perfiles ENS y nuevas guías del CCN.
  • Actualizaciones y toolkits de ENISA e INCIBE.

Mientras tanto, ENS + art. 21 + guías CCN/INCIBE/ENISA son hojas de ruta suficientes para avanzar sin esperar.

Conclusión

NIS2 es exigente, pero también una oportunidad para ordenar la ciberseguridad, hablar con datos en el Consejo, y reducir de verdad la probabilidad e impacto de incidentes. Esperar a la trasposición no es neutral: aumenta la exposición y acorta su margen de maniobra. La pregunta no es si actuar, sino cuándo… y la respuesta, si su empresa depende de lo digital (como casi todas), es ahora.

Preguntas frecuentes

¿Mi empresa no es “crítica”; también me afectará NIS2?
Dependerá de la trasposición, pero NIS2 amplía sectores y puede alcanzar a proveedores de operadores esenciales. Además, muchos clientes exigirán pruebas de madurez NIS2. Es prudente diagnosticar el encaje y desplegar medidas mínimas ya.

¿Qué sanciones prevé NIS2 por incumplimiento?
Hasta 10 millones de euros o el 2 % de la facturación mundial anual (la cifra mayor), además de efectos contractuales y reputacionales. El mayor coste, con todo, suele ser el impacto operativo de un incidente severo.

¿Cómo empiezo si soy pyme y no sé si entraré en NIS2?
Con pasos de bajo arrepentimiento: análisis de riesgos, MFA, mínimo privilegio, segmentación básica, formación y playbooks de incidentes. Apóyese en ENS y guías CCN/INCIBE/ENISA. Si finalmente aplica NIS2, ya habrá recorrido media senda.

¿Qué papel jugará el ENS en la versión española?
El CCN ha indicado que el ENS y sus perfiles específicos serán referencia clave en la trasposición. Alinear la seguridad con ENS acelera el cumplimiento efectivo de NIS2 cuando llegue el texto nacional.

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram
Etiquetas: , ,

David Carrero

TE PUEDE INTERESAR…