NIS2

NIS2 — Ciberseguridad para entidades esenciales e importantes

Directiva (UE) 2022/2555. Eleva las exigencias mínimas de ciberseguridad y notificación de incidentes para sectores críticos. Transpuesta en España como parte del marco nacional de ciberseguridad.

Para: Entidades esenciales e importantes según los anexos NIS2 (energía, transporte, salud, agua, infraestructura digital, espacio, servicios de gestión TIC, fabricantes…)

Formación, no asesoramiento legal

Este contenido tiene fines formativos y de concienciación. No sustituye la asesoría jurídica especializada. Para evaluar la aplicación concreta a vuestra organización (alcance, obligaciones, sanciones), consulta con vuestra asesoría legal o DPO.

Contenido

Qué cambia respecto a NIS1

Amplía el alcance: muchos más sectores y entidades. Distingue entre entidades esenciales (sectores listados como críticos) y entidades importantes (sectores listados pero con menor criticidad). El umbral típico es medianas y grandes empresas dentro del anexo (>50 empleados y/o >10M€ facturación, con matices).
Notificación rápida de incidentes: alerta inicial en 24 horas, evaluación intermedia en 72h, informe final en 1 mes.
Responsabilidad de la dirección: los órganos de gobierno deben aprobar las medidas y formarse. La dirección puede ser responsabilizada personalmente en infracciones.
Sanciones más altas: hasta 10 millones € o 2 % de la facturación mundial para entidades esenciales (lo mayor); hasta 7 millones € o 1,4 % para importantes.
Gestión de la cadena de suministro: las entidades deben evaluar la seguridad de sus proveedores y subcontratistas.

Medidas mínimas (Art. 21)

Las entidades deben implantar medidas técnicas, operativas y de gestión apropiadas y proporcionadas para gestionar los riesgos:

Políticas de análisis de riesgos y seguridad de la información.
Gestión de incidentes (detección, respuesta, comunicación).
Continuidad de negocio: copias de seguridad, recuperación ante desastres, gestión de crisis.
Seguridad de la cadena de suministro.
Seguridad en adquisición, desarrollo y mantenimiento de sistemas (incluida la gestión de vulnerabilidades y la divulgación).
Políticas y procedimientos para evaluar la eficacia de las medidas.
Higiene cibernética y formación.
Políticas y procedimientos sobre el uso de criptografía y cifrado.
Seguridad del personal, control de acceso, gestión de activos.
MFA o autenticación continua, comunicaciones seguras de voz/vídeo/texto y, en su caso, sistemas de emergencia.

Notificación de incidentes

Alerta temprana: 24 h desde que se tiene conocimiento de un incidente significativo.
Notificación: 72 h con evaluación inicial.
Informe final: en 1 mes (o un informe de progreso si el incidente sigue activo).

La autoridad competente puede emitir órdenes vinculantes o auditar.

Cómo encaja en España

La transposición de NIS2 se realiza en el marco del Real Decreto que actualiza el Reglamento del ENS y el régimen de Operadores de Servicios Esenciales. El INCIBE-CERT y el CCN-CERT actúan como CSIRT de referencia. Para entidades del sector público se solapa con el ENS.

Si no es tu sector

Aunque tu organización no sea "entidad esencial" o "importante" en el sentido de NIS2, las medidas son buena práctica para cualquier empresa. Y si eres proveedor de alguien que sí está afectado, te van a exigir contractualmente cumplir un nivel mínimo.

Aviso: contenido formativo, no asesoramiento legal. Para evaluar si tu organización entra en el alcance y qué obligaciones concretas aplican, consulta con vuestra asesoría jurídica especializada.

Checklist mínima

Evaluación de si la entidad entra en alcance NIS2Obligatorio
Sector + tamaño. Distinguir entidad esencial vs importante. Documentar la conclusión.
Registro ante la autoridad competenteObligatorio
Las entidades en alcance deben registrarse y comunicar punto de contacto.
Análisis de riesgos formal y actualizadoObligatorio
Inventario de activos, amenazas, vulnerabilidades, valoración de impacto y plan de tratamiento.
Procedimiento de gestión de incidentes con plazos NIS2Obligatorio
Alerta 24h, notificación 72h, informe final en 1 mes. Responsables claros.
Plan de continuidad y recuperación ante desastresObligatorio
Incluye backups inmutables o air-gapped y pruebas periódicas de restauración.
Evaluación de seguridad de proveedores críticosObligatorio
Inventario de proveedores, cláusulas contractuales, due diligence proporcional al riesgo.
Formación de la dirección en ciberriesgosObligatorio
Los órganos de gobierno deben formarse y ser conscientes de su responsabilidad personal en NIS2.
MFA y políticas de criptografía implantadasObligatorio
MFA donde aplique, cifrado en tránsito y reposo, gestión de claves.