NIS2 en España: traducción técnica de las obligaciones para 2026
Índice de contenidos
- Puntos clave
- Estado de la transposición: anteproyecto y dictamen motivado
- Quién está dentro: entidades esenciales vs importantes
- Las diez medidas mínimas técnicas (Art. 21)
- Notificación de incidentes: 24 h / 72 h / 1 mes
- Cadena de suministro: el cambio que más duele
- Conexión con ENS y con el Real Decreto 311/2022
- Cómo prepararse antes de la publicación en BOE
- Fuentes
Actualizado: 2026-07-07
NIS2 España: obligaciones técnicas, ventanas de notificación y cadena de suministro que ya son exigibles en 2026 según la directiva UE.
Puntos clave
-
La directiva NIS2 (UE 2022/2555) ya es exigible desde 17/10/2024 aunque la transposición española siga en tramitación; la Comisión Europea emitió dictamen motivado en mayo 2025 por retraso.
-
Diez medidas mínimas técnicas (Art. 21) marcan la línea base: análisis de riesgos, gestión de incidentes, continuidad, cadena de suministro, criptografía, MFA, formación.
-
Ventana de notificación: 24 h pre-aviso → 72 h informe inicial → 1 mes informe final ante la autoridad nacional (CCN-CERT/INCIBE-CERT).
-
Cadena de suministro es el cambio más doloroso: hay que evaluar y monitorizar a los proveedores TIC críticos, no sólo asegurarse uno mismo.
-
ENS (Esquema Nacional de Seguridad) y NIS2 se integran en la práctica: si ya cumples ENS Categoría ALTA, gran parte de NIS2 está cubierta por construcción.
Estado de la transposición: anteproyecto y dictamen motivado
Cronología:
-
27 dic 2022: publicación de la Directiva (UE) 2022/2555 (NIS2).
-
17 oct 2024: deadline de transposición para los Estados miembros; España incumple.
-
14 ene 2025: Consejo de Ministros aprueba el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
-
mayo 2025: Comisión Europea emite dictamen motivado contra España por retraso.
-
2026: tramitación parlamentaria sigue en curso al cierre del primer semestre.
Que el BOE no haya publicado la ley nacional NO significa que las obligaciones no sean exigibles: la directiva tiene efecto directo vertical para las administraciones públicas, y el incumplimiento expone al Estado a sanción, no a las empresas. Pero en cuanto se publique la ley, los plazos de adaptación son cortos (típicamente seis meses).
Quién está dentro: entidades esenciales vs importantes
NIS2 amplía el ámbito frente a NIS1 con dos categorías:
-
Esenciales (Anexo I): energía, transporte, banca, infraestructura de mercados financieros, salud, agua potable y residual, infraestructura digital (IXP, DNS, registros TLD, cloud, datacenter, CDN), servicios TIC gestionados (MSP/MSSP), administración pública, espacio.
-
Importantes (Anexo II): postal/courier, gestión de residuos, fabricación, alimentación, productos químicos, servicios digitales (mercados online, motores de búsqueda, redes sociales), investigación.
Umbral por defecto: medianas (≥50 empleados o >10 M€ facturación) y grandes. Hay excepciones (TIC críticos siempre dentro, microempresas siempre fuera salvo riesgo concreto).
Test rápido: si la actividad principal aparece en Anexo I/II Y la entidad supera los umbrales → estás dentro. Si dudas, pregunta a INCIBE.
Las diez medidas mínimas técnicas (Art. 21)
-
Análisis y evaluación de riesgos sobre los sistemas de información.
-
Gestión de incidentes (capacidad de detectar, responder, recuperar).
-
Continuidad de actividad y gestión de crisis.
-
Seguridad de la cadena de suministro (incluye relaciones con proveedores y prestadores directos).
-
Seguridad en adquisición, desarrollo y mantenimiento.
-
Políticas y procedimientos para evaluar la eficacia de las medidas.
-
Higiene básica + formación en ciberseguridad.
-
Políticas de uso de criptografía y, donde proceda, cifrado.
-
Seguridad de los recursos humanos, control de acceso, gestión de activos.
-
Autenticación multifactor (MFA) o autenticación continua, comunicaciones seguras (voz, vídeo, texto).
No es un menú: las diez son obligatorias. La proporcionalidad se aplica en el "cómo" (madurez del sistema), no en el "qué".
Notificación de incidentes: 24 h / 72 h / 1 mes
Cronología obligatoria ante incidente significativo:
-
≤ 24 h desde detección: pre-aviso (early warning), que indica si se sospecha causa maliciosa, si tiene impacto transfronterizo y una evaluación inicial de gravedad.
-
≤ 72 h desde detección: informe inicial, con descripción del incidente, severidad, impacto e IOCs si los hay.
-
≤ 1 mes desde detección: informe final, con descripción detallada, causa raíz, medidas aplicadas y recomendaciones.
-
A petición: informes intermedios cuando la autoridad lo solicite.
En España la autoridad receptora es CCN-CERT para sector público y INCIBE-CERT para sector privado. La AESIA puede solicitar información si el incidente involucra sistemas IA bajo AI Act.
Cadena de suministro: el cambio que más duele
NIS2 introduce obligación explícita de evaluar a proveedores. En la práctica:
-
Inventario de proveedores TIC críticos: los que, si fallan, afectan tu capacidad de operar.
-
Cláusulas contractuales mínimas sobre seguridad, notificación y cooperación en incidentes.
-
Right to audit o equivalente (cuestionarios SIG, certificados ISO 27001/SOC 2, evidencia continuada).
-
Monitorización del SBOM del software comercial relevante.
-
Plan de salida o sustitución para proveedores con riesgo concentrado.
El cambio cultural: ya no basta con asegurar lo propio. La empresa es responsable de la postura de seguridad de su cadena.
Conexión con ENS y con el Real Decreto 311/2022
España tiene Esquema Nacional de Seguridad (ENS) desde 2010, actualizado por el RD 311/2022. La intersección con NIS2:
-
ENS Categoría ALTA cubre la mayoría de las medidas Art. 21 NIS2.
-
ENS está pensado para sector público + adjudicatarios de contratos con AAPP; NIS2 expande a sector privado.
-
Una entidad que ya cumple ENS ALTA + tiene gestión de cadena de suministro madura tiene poco trabajo extra para NIS2.
-
Si vienes desde cero, el atajo es: levantar ENS Media + extender al inventario de proveedores.
Cómo prepararse antes de la publicación en BOE
Pasos ya ejecutables:
-
Determinar si estás dentro del ámbito: chequea Anexo I/II + umbrales.
-
Inventariar sistemas críticos y proveedores TIC.
-
Implementar las 10 medidas Art. 21 o subir madurez si están parciales.
-
Definir la cadena de notificación interna: detección → triaje → notificación regulatoria.
-
Cláusulas con proveedores: revisar contratos vigentes y nuevos.
-
Formación + tabletop exercises anuales con escenarios reales.
-
Logs y trazabilidad: retención mínima 1 año, 2 años recomendado.
Para el lado AI complementario, ver EU AI Act 2026: checklist técnica para CTOs españoles (pillar Phase 2). Para el contexto histórico de cadena de suministro, ataques a cadena de suministro 2023 y la base de ciberseguridad.
Este artículo también está disponible en inglés: NIS2 in Spain: a technical translation of 2026 obligations.