Si trabajas en una empresa de telecomunicaciones, energía, transporte, salud o servicios digitales, probablemente hayas oído hablar de NIS2.
Pero ¿Qué es exactamente? ¿Quién tiene que cumplirla? ¿Y qué significa en la práctica? Voy a intentar aclararlo sin tecnicismos innecesarios.
¿Qué es NIS2?
NIS2 es la Directiva europea sobre Seguridad de Redes e Información (actualización de la anterior NIS 1).
La idea es simple: Los servicios críticos (energía, agua, transporte, etc) son tan importantes para la sociedad que si se hackean, afecta a millones de personas. Por eso la UE obliga a estas empresas a tener un nivel mínimo de ciberseguridad.
¿Cuándo entra en vigor?
- Octubre 2024 — La directiva entró en vigor en toda la UE
- Octubre 2025 — Vence el plazo para que cada país la transponga a su ley nacional
- En España — Se espera que esté transpuesta a mediados de 2026
En la práctica: Las empresas deben comenzar a prepararse AHORA, aunque la ley no sea oficial todavía. Quien espere a octubre 2026 se encontrará con muy poco tiempo.
¿Quién está obligado a cumplir NIS2?
Aquí es donde la cosa se complica un poco. NIS2 divide a las empresas en dos categorías:
1. OPERADORES DE SERVICIOS ESENCIALES (OSE)
Son empresas de sectores críticos:
ENERGÍA
├─ Producción, transmisión, distribución de electricidad
├─ Gas natural
├─ Calefacción y refrigeración
└─ Ejemplo: Endesa, Iberdrola, Naturgy
TRANSPORTE
├─ Ferrocarril
├─ Carreteras
├─ Navegación marítima
├─ Aviación civil
└─ Ejemplo: Renfe, Aena
SALUD
├─ Hospitales y servicios de salud
└─ Ejemplo: Hospitales públicos y privados grandes
AGUA Y AGUAS RESIDUALES
├─ Captación, tratamiento, distribución de agua potable
└─ Ejemplo: Canal de Isabel II, Aguas de Barcelona
DIGITAL
├─ Prestadores de servicios de intercambio de datos en la nube
├─ Centros de procesamiento de datos
└─ Ejemplo: Amazon AWS, Google Cloud, Azure
FINANZAS
├─ Entidades de crédito
├─ Servicios de inversión
└─ Ejemplo: Bancos
INFRAESTRUCTURA ESPACIAL
└─ Operadores de satélites
Requisitos para OSE:
- Deben cumplir controles técnicos y organizativos
- Reportar incidentes de seguridad en 72 horas
- Realizar auditorías de seguridad
- Tener un oficial de ciberseguridad
- Cumplir estándares mínimos de seguridad
2. PROVEEDORES DE SERVICIOS DIGITALES (PSD)
Nuevamente con NIS2, también se incluyen empresas digitales no críticas
pero que prestan servicios importantes:
SERVICIOS DIGITALES INCLUIDOS:
├─ Mercados en línea (Amazon, eBay, Wallapop)
├─ Motores de búsqueda (Google, Bing)
├─ Redes sociales (Meta, TikTok)
├─ Servicios de correo electrónico
├─ Servicios de chat
├─ Sistemas de gestión de contenidos (WordPress.com a escala)
└─ Servicios de almacenamiento en la nube (si son grandes)
REQUISITOS PARA PSD:
├─ Menos exigentes que OSE
├─ Reportar incidentes graves en 24 horas
├─ Gestión de riesgos básica
└─ Auditorías periódicas
¿Cuál es el tamaño mínimo para estar obligado?
MICROEMPRESAS Y PYMES PEQUEÑAS:
├─ Menos de 50 empleados O
├─ Ingresos < 10 millones€
└─ → GENERALMENTE ESTÁN EXENTAS
PYMES MEDIANAS:
├─ 50-249 empleados O
├─ 10-50 millones€ ingresos
└─ → Pueden estar obligadas si son de sectores críticos
EMPRESAS GRANDES:
├─ Más de 250 empleados O
├─ Ingresos > 50 millones€
└─ → ESTÁN OBLIGADAS (casi con certeza)
Ejemplo práctico:
Una pequeña consultoría de IT con 10 personas: Probablemente NO
está obligada.
Una PYME de telecomunicaciones con 60 empleados: Probablemente SÍ
está obligada (sector crítico).
Un hospital privado: Definitivamente SÍ está obligado.
¿Qué tendrán que hacer las empresas obligadas?
1. A NIVEL ORGANIZATIVO:
- Nombrar un oficial de ciberseguridad
└─ Cargo responsable ante la dirección - Designar un responsable de notificación de incidentes
└─ Contacto directo con las autoridades - Implementar una política de ciberseguridad documentada
├─ Gestión de riesgos
├─ Gestión de cambios
├─ Control de accesos
├─ Respuesta ante incidentes
└─ Continuidad del negocio - Formación y concienciación en seguridad
└─ Los empleados deben saber qué hacer ante un ataque
2. A NIVEL TÉCNICO:
- Gestión de vulnerabilidades
├─ Escaneos regulares
├─ Parches aplicados rápidamente
└─ Plan de remedición - Seguridad en el desarrollo de software
├─ Testing de seguridad
├─ Revisión de código
└─ Gestión de dependencias - Criptografía fuerte
├─ Datos en tránsito encriptados
├─ Datos en reposo encriptados
└─ Gestión de claves - Control de acceso
├─ Autenticación multifactor
├─ Principio de menor privilegio
├─ Gestión de identidades
└─ Auditoría de accesos - Detección y respuesta ante incidentes
├─ Monitorización 24/7
├─ SOC (Security Operations Center)
├─ Plan de respuesta documentado
└─ Capacidad de recuperación rápida - Continuidad del negocio
├─ Backups funcionales
├─ Planes de recuperación probados
├─ Documentación actualizada
└─ Testing regular
¿Cuál es la diferencia con ISO 27001?
Buena pregunta. Son complementarias:
ISO 27001:
├─ Norma internacional voluntaria
├─ Puedes certificarte si quieres
├─ 114 controles muy detallados
├─ Auditoría cada 3 años
└─ Más exigente que NIS2
NIS2:
├─ Directiva obligatoria (si aplica)
├─ No hay «certificado», es cumplimiento legal
├─ Requisitos mínimos de seguridad
├─ Auditorías frecuentes
└─ Menos detallada que ISO 27001
CONCLUSIÓN:
Una empresa grande de un sector crítico probablemente
necesitará AMBAS:
├─ NIS2 para cumplir la ley
└─ ISO 27001 para ir más allá y demostrar rigor
¿Qué ocurre si no cumples NIS2?
SANCIONES:
├─ Multas de hasta €10 millones para OSE
├─ O hasta el 2% de la facturación anual (lo que sea mayor)
├─ Multas hasta €5 millones para PSD
├─ O hasta el 1% de facturación
└─ Más daño reputacional y legal si hay una brecha
RESPONSABILIDAD EJECUTIVA:
├─ Los directivos pueden ser responsables personalmente
├─ Si hay negligencia grave en seguridad
└─ Pueden enfrentar acusaciones penales en caso de incidente
¿Por qué es importante ahora?
Aunque NIS2 no sea ley oficial todavía en España, ya hay que prepararse:
- El plazo se acerca (Octubre 2026)
└─ Implementar cambios lleva tiempo - Las auditorías comenzarán inmediatamente
└─ No hay periodo de gracia - Las brechas de seguridad no esperan
└─ Aunque no haya ley, los ataques siguen ocurriendo - Reputación y confianza
└─ Cumplir NIS2 es publicitar que tu empresa es segura
¿Cómo se prepara una empresa?
Si trabaja en una empresa obligada, el plan típico es:
FASE 1 (Ahora — Junio 2026):
├─ Realizar diagnóstico de madurez en seguridad
├─ Identificar brechas vs requisitos NIS2
├─ Planificar remediciones
└─ Comenzar implementación
FASE 2 (Julio 2026 — Octubre 2026):
├─ Completar implementaciones prioritarias
├─ Documentar controles
├─ Formar empleados
└─ Realizar auditorías internas
FASE 3 (Octubre 2026 en adelante):
├─ Auditorías externas de autoridades
├─ Responder a hallazgos
├─ Mantener cumplimiento continuo
└─ Reportar incidentes si ocurren
Conclusión
NIS2 no es una novedad que vaya a desaparecer. Es el nuevo estándar de seguridad obligatorio en Europa para empresas críticas.
Si trabajas en una de esas empresas, tu organización ya debería estar moviéndose. Y si no, quizá sea el momento de preguntar qué se está haciendo al respecto.
Para profesionales de ciberseguridad como nosotros, NIS2 es una oportunidad: hay miles de empresas que necesitarán ayuda para cumplir. Y esa ayuda es exactamente lo que hacen consultores como nosotros.