Actualizado: 2026-07-07

Puntos clave

  • La directiva NIS2 (UE 2022/2555) ya es exigible desde 17/10/2024 aunque la transposición española siga en tramitación; la Comisión Europea emitió dictamen motivado en mayo 2025 por retraso.

  • Diez medidas mínimas técnicas (Art. 21) marcan la línea base: análisis de riesgos, gestión de incidentes, continuidad, cadena de suministro, criptografía, MFA, formación.

  • Ventana de notificación: 24 h pre-aviso → 72 h informe inicial → 1 mes informe final ante la autoridad nacional (CCN-CERT/INCIBE-CERT).

  • Cadena de suministro es el cambio más doloroso: hay que evaluar y monitorizar a los proveedores TIC críticos, no sólo asegurarse uno mismo.

  • ENS (Esquema Nacional de Seguridad) y NIS2 se integran en la práctica: si ya cumples ENS Categoría ALTA, gran parte de NIS2 está cubierta por construcción.

Estado de la transposición: anteproyecto y dictamen motivado

Cronología:

  • 27 dic 2022: publicación de la Directiva (UE) 2022/2555 (NIS2).

  • 17 oct 2024: deadline de transposición para los Estados miembros; España incumple.

  • 14 ene 2025: Consejo de Ministros aprueba el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.

  • mayo 2025: Comisión Europea emite dictamen motivado contra España por retraso.

  • 2026: tramitación parlamentaria sigue en curso al cierre del primer semestre.

Que el BOE no haya publicado la ley nacional NO significa que las obligaciones no sean exigibles: la directiva tiene efecto directo vertical para las administraciones públicas, y el incumplimiento expone al Estado a sanción, no a las empresas. Pero en cuanto se publique la ley, los plazos de adaptación son cortos (típicamente seis meses).

Quién está dentro: entidades esenciales vs importantes

NIS2 amplía el ámbito frente a NIS1 con dos categorías:

  • Esenciales (Anexo I): energía, transporte, banca, infraestructura de mercados financieros, salud, agua potable y residual, infraestructura digital (IXP, DNS, registros TLD, cloud, datacenter, CDN), servicios TIC gestionados (MSP/MSSP), administración pública, espacio.

  • Importantes (Anexo II): postal/courier, gestión de residuos, fabricación, alimentación, productos químicos, servicios digitales (mercados online, motores de búsqueda, redes sociales), investigación.

Umbral por defecto: medianas (≥50 empleados o >10 M€ facturación) y grandes. Hay excepciones (TIC críticos siempre dentro, microempresas siempre fuera salvo riesgo concreto).

Test rápido: si la actividad principal aparece en Anexo I/II Y la entidad supera los umbrales → estás dentro. Si dudas, pregunta a INCIBE.

Las diez medidas mínimas técnicas (Art. 21)

  • Análisis y evaluación de riesgos sobre los sistemas de información.

  • Gestión de incidentes (capacidad de detectar, responder, recuperar).

  • Continuidad de actividad y gestión de crisis.

  • Seguridad de la cadena de suministro (incluye relaciones con proveedores y prestadores directos).

  • Seguridad en adquisición, desarrollo y mantenimiento.

  • Políticas y procedimientos para evaluar la eficacia de las medidas.

  • Higiene básica + formación en ciberseguridad.

  • Políticas de uso de criptografía y, donde proceda, cifrado.

  • Seguridad de los recursos humanos, control de acceso, gestión de activos.

  • Autenticación multifactor (MFA) o autenticación continua, comunicaciones seguras (voz, vídeo, texto).

No es un menú: las diez son obligatorias. La proporcionalidad se aplica en el "cómo" (madurez del sistema), no en el "qué".

Notificación de incidentes: 24 h / 72 h / 1 mes

Cronología obligatoria ante incidente significativo:

  • ≤ 24 h desde detección: pre-aviso (early warning), que indica si se sospecha causa maliciosa, si tiene impacto transfronterizo y una evaluación inicial de gravedad.

  • ≤ 72 h desde detección: informe inicial, con descripción del incidente, severidad, impacto e IOCs si los hay.

  • ≤ 1 mes desde detección: informe final, con descripción detallada, causa raíz, medidas aplicadas y recomendaciones.

  • A petición: informes intermedios cuando la autoridad lo solicite.

En España la autoridad receptora es CCN-CERT para sector público y INCIBE-CERT para sector privado. La AESIA puede solicitar información si el incidente involucra sistemas IA bajo AI Act.

Cadena de suministro: el cambio que más duele

NIS2 introduce obligación explícita de evaluar a proveedores. En la práctica:

  • Inventario de proveedores TIC críticos: los que, si fallan, afectan tu capacidad de operar.

  • Cláusulas contractuales mínimas sobre seguridad, notificación y cooperación en incidentes.

  • Right to audit o equivalente (cuestionarios SIG, certificados ISO 27001/SOC 2, evidencia continuada).

  • Monitorización del SBOM del software comercial relevante.

  • Plan de salida o sustitución para proveedores con riesgo concentrado.

El cambio cultural: ya no basta con asegurar lo propio. La empresa es responsable de la postura de seguridad de su cadena.

Conexión con ENS y con el Real Decreto 311/2022

España tiene Esquema Nacional de Seguridad (ENS) desde 2010, actualizado por el RD 311/2022. La intersección con NIS2:

  • ENS Categoría ALTA cubre la mayoría de las medidas Art. 21 NIS2.

  • ENS está pensado para sector público + adjudicatarios de contratos con AAPP; NIS2 expande a sector privado.

  • Una entidad que ya cumple ENS ALTA + tiene gestión de cadena de suministro madura tiene poco trabajo extra para NIS2.

  • Si vienes desde cero, el atajo es: levantar ENS Media + extender al inventario de proveedores.

Cómo prepararse antes de la publicación en BOE

Pasos ya ejecutables:

  • Determinar si estás dentro del ámbito: chequea Anexo I/II + umbrales.

  • Inventariar sistemas críticos y proveedores TIC.

  • Implementar las 10 medidas Art. 21 o subir madurez si están parciales.

  • Definir la cadena de notificación interna: detección → triaje → notificación regulatoria.

  • Cláusulas con proveedores: revisar contratos vigentes y nuevos.

  • Formación + tabletop exercises anuales con escenarios reales.

  • Logs y trazabilidad: retención mínima 1 año, 2 años recomendado.

Para el lado AI complementario, ver EU AI Act 2026: checklist técnica para CTOs españoles (pillar Phase 2). Para el contexto histórico de cadena de suministro, ataques a cadena de suministro 2023 y la base de ciberseguridad.

Este artículo también está disponible en inglés: NIS2 in Spain: a technical translation of 2026 obligations.

Fuentes

  1. Directiva (UE) 2022/2555 (NIS2) en EUR-Lex
  2. INCIBE-CERT: FAQ sobre NIS2
  3. CCN-CERT, CERT nacional para el sector público
  4. Comisión Europea: paquete de infracciones de mayo 2025 (dictamen motivado a España y otros 18 Estados por NIS2)