Mascota Jacar — leyendo contigo Un portátil cuyos ojos siguen el cursor mientras lees.
Startup Tecnología

NIS2 en España: traducción técnica de las obligaciones para 2026

9 min de lectura 7 lecturas
NIS2 en España: traducción técnica de las obligaciones para 2026
Índice de contenidos
  1. Puntos clave
  2. Estado de la transposición: anteproyecto y dictamen motivado
  3. Quién está dentro: entidades esenciales vs importantes
  4. Las diez medidas mínimas técnicas (Art. 21)
  5. Notificación de incidentes: 24 h / 72 h / 1 mes
  6. Cadena de suministro: el cambio que más duele
  7. Conexión con ENS y con el Real Decreto 311/2022
  8. Cómo prepararse antes de la publicación en BOE

Puntos clave

  • La directiva NIS2 (UE 2022/2555) ya es exigible desde 17/10/2024 aunque la transposición española siga en tramitación; la Comisión Europea emitió dictamen motivado en mayo 2025 por retraso.
  • Diez medidas mínimas técnicas (Art. 21) marcan la línea base: análisis de riesgos, gestión de incidentes, continuidad, cadena de suministro, criptografía, MFA, formación.
  • Ventana de notificación: 24 h pre-aviso → 72 h informe inicial → 1 mes informe final ante la autoridad nacional (CCN-CERT/INCIBE-CERT).
  • Cadena de suministro es el cambio más doloroso: hay que evaluar y monitorizar a los proveedores TIC críticos, no sólo asegurarse uno mismo.
  • ENS (Esquema Nacional de Seguridad) y NIS2 se integran en la práctica: si ya cumples ENS Categoría ALTA, gran parte de NIS2 está cubierta por construcción.

Estado de la transposición: anteproyecto y dictamen motivado

Cronología:

  • 27 dic 2022: publicación de la Directiva (UE) 2022/2555 (NIS2).
  • 17 oct 2024: deadline de transposición para los Estados miembros — España incumple.
  • 14 ene 2025: Consejo de Ministros aprueba el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
  • mayo 2025: Comisión Europea emite dictamen motivado contra España por retraso.
  • 2026: tramitación parlamentaria sigue en curso al cierre del primer semestre.

Que el BOE no haya publicado la ley nacional NO significa que las obligaciones no sean exigibles: la directiva tiene efecto directo vertical para las administraciones públicas, y el incumplimiento expone al Estado a sanción, no a las empresas. Pero en cuanto se publique la ley, los plazos de adaptación son cortos (típicamente seis meses).

Quién está dentro: entidades esenciales vs importantes

NIS2 amplía el ámbito frente a NIS1 con dos categorías:

  • Esenciales (Anexo I): energía, transporte, banca, infraestructura de mercados financieros, salud, agua potable y residual, infraestructura digital (IXP, DNS, registros TLD, cloud, datacenter, CDN), servicios TIC gestionados (MSP/MSSP), administración pública, espacio.
  • Importantes (Anexo II): postal/courier, gestión de residuos, fabricación, alimentación, productos químicos, servicios digitales (mercados online, motores de búsqueda, redes sociales), investigación.

Umbral por defecto: medianas (≥50 empleados o >10 M€ facturación) y grandes. Hay excepciones (TIC críticos siempre dentro, microempresas siempre fuera salvo riesgo concreto).

Test rápido: si la actividad principal aparece en Anexo I/II Y la entidad supera los umbrales → estás dentro. Si dudas, pregunta a INCIBE.

Las diez medidas mínimas técnicas (Art. 21)

  1. Análisis y evaluación de riesgos sobre los sistemas de información.
  2. Gestión de incidentes (capacidad de detectar, responder, recuperar).
  3. Continuidad de actividad y gestión de crisis.
  4. Seguridad de la cadena de suministro — incluye relaciones con proveedores y prestadores directos.
  5. Seguridad en adquisición, desarrollo y mantenimiento.
  6. Políticas y procedimientos para evaluar la eficacia de las medidas.
  7. Higiene básica + formación en ciberseguridad.
  8. Políticas de uso de criptografía y, donde proceda, cifrado.
  9. Seguridad de los recursos humanos, control de acceso, gestión de activos.
  10. Autenticación multifactor (MFA) o autenticación continua, comunicaciones seguras (voz, vídeo, texto).

No es un menú: las diez son obligatorias. La proporcionalidad se aplica en el “cómo” (madurez del sistema), no en el “qué”.

Notificación de incidentes: 24 h / 72 h / 1 mes

Cronología obligatoria ante incidente significativo:

  • ≤ 24 h desde detección: pre-aviso (early warning) — indica si se sospecha causa maliciosa, si tiene impacto transfronterizo, evaluación inicial de gravedad.
  • ≤ 72 h desde detección: informe inicial — descripción del incidente, severidad, impacto, IOCs si los hay.
  • ≤ 1 mes desde detección: informe final — descripción detallada, causa raíz, medidas aplicadas, recomendaciones.
  • A petición: informes intermedios cuando la autoridad lo solicite.

En España la autoridad receptora es CCN-CERT para sector público y INCIBE-CERT para sector privado. La AESIA puede solicitar información si el incidente involucra sistemas IA bajo AI Act.

Cadena de suministro: el cambio que más duele

NIS2 introduce obligación explícita de evaluar a proveedores. En la práctica:

  • Inventario de proveedores TIC críticos — los que, si fallan, afectan tu capacidad de operar.
  • Cláusulas contractuales mínimas sobre seguridad, notificación y cooperación en incidentes.
  • Right to audit o equivalente (cuestionarios SIG, certificados ISO 27001/SOC 2, evidencia continuada).
  • Monitorización del SBOM del software comercial relevante.
  • Plan de salida o sustitución para proveedores con riesgo concentrado.

El cambio cultural: ya no basta con asegurar lo propio. La empresa es responsable de la postura de seguridad de su cadena.

Conexión con ENS y con el Real Decreto 311/2022

España tiene Esquema Nacional de Seguridad (ENS) desde 2010, actualizado por el RD 311/2022. La intersección con NIS2:

  • ENS Categoría ALTA cubre la mayoría de las medidas Art. 21 NIS2.
  • ENS está pensado para sector público + adjudicatarios de contratos con AAPP; NIS2 expande a sector privado.
  • Una entidad que ya cumple ENS ALTA + tiene gestión de cadena de suministro madura tiene poco trabajo extra para NIS2.
  • Si vienes desde cero, el atajo es: levantar ENS Media + extender al inventario de proveedores.

Cómo prepararse antes de la publicación en BOE

Pasos ya ejecutables:

  1. Determinar si estás dentro del ámbito: chequea Anexo I/II + umbrales.
  2. Inventariar sistemas críticos y proveedores TIC.
  3. Implementar las 10 medidas Art. 21 o subir madurez si están parciales.
  4. Definir la cadena de notificación interna: detección → triaje → notificación regulatoria.
  5. Cláusulas con proveedores: revisar contratos vigentes y nuevos.
  6. Formación + tabletop exercises anuales con escenarios reales.
  7. Logs y trazabilidad: retención mínima 1 año, 2 años recomendado.

Para el lado AI complementario, ver EU AI Act 2026: checklist técnica para CTOs españoles (pillar Phase 2). Para el contexto histórico de cadena de suministro, ataques a cadena de suministro 2023 y la base de ciberseguridad.

Fuentes oficiales: INCIBE FAQ NIS2[1], CCN-CERT[2], Directiva (UE) 2022/2555 en EUR-Lex[3].

¿Te ha resultado útil?
[Total: 0 · Media: 0]
Post Views: 7
  1. INCIBE FAQ NIS2
  2. CCN-CERT
  3. Directiva (UE) 2022/2555 en EUR-Lex

Escrito por

CEO - Jacar Systems

Apasionado de la tecnología, la infraestructura cloud y la inteligencia artificial. Escribe sobre DevOps, IA, plataformas y software desde Madrid.

445 Artículos 55K Lecturas Rating

Entradas relacionadas