Mascota Jacar — leyendo contigo Un portátil cuyos ojos siguen el cursor mientras lees.
Tecnología

NIS2: qué hemos aprendido del primer año aplicándola

15 min de lectura 71 lecturas
NIS2: qué hemos aprendido del primer año aplicándola
Índice de contenidos
  1. Puntos clave
  2. Notificaciones en 24 horas: el cambio más disruptivo
  3. La cadena de suministro: presión que llega a las pymes
  4. La responsabilidad personal: cambio de tono sin consecuencias todavía
  5. Diferencias entre países: el problema de la fragmentación
  6. Lo que ha movido más la aguja en práctica real
  7. Mi lectura

Actualizado: 2026-05-03

NIS2 entró en vigor el 17 de octubre de 2024 y este abril llevamos poco más de seis meses en aplicación real. En ese tiempo varias cosas que parecían papel se han vuelto práctica operativa, algunas previsiones se han quedado cortas y ha aparecido una capa de inconsistencia entre estados miembros que la directiva no previno bien. Este post recoge lo que he visto en compañías españolas con las que trabajo y contrasta con informes públicos de ENISA y de las autoridades nacionales.

El contexto de la transposición a estados miembros está cubierto en el análisis de NIS2: transposición al estado español. Para el marco más amplio de cumplimiento europeo que conecta con NIS2, el post sobre gobernanza de IA en empresa ofrece el patrón organizativo que aplica igualmente aquí.

Puntos clave

  • Las notificaciones de incidente en 24 horas son el cambio operativo más disruptivo; los equipos que no tenían un proceso previo han tenido que improvisar.
  • La extensión de NIS2 a la cadena de suministro es donde más presión reciben las pymes: los grandes les piden cuestionarios que no saben responder.
  • La responsabilidad personal de los directivos (art. 20) ha cambiado el tono de las conversaciones en comité, pero aún no ha generado consecuencias reales en España.
  • La inconsistencia de transposición entre países de la UE complica el cumplimiento de grupos multinacionales.
  • Lo que más ha movido la aguja en práctica real: inventario de activos, gestión de vulnerabilidades y pruebas de continuidad.

Notificaciones en 24 horas: el cambio más disruptivo

El artículo 23 de NIS2 establece una obligación de notificación en cascada: aviso inicial a la autoridad competente en 24 horas de haber tenido conocimiento de un incidente significativo, informe completo en 72 horas, y reporte final en un mes. Este plazo de 24 horas para el aviso inicial ha sido el cambio operativo más difícil de absorber.

Los equipos que no tenían un proceso documentado de gestión de incidentes han tenido que construirlo bajo presión. Los problemas recurrentes que he visto:

Falta de definición de «incidente significativo». NIS2 da criterios (impacto en disponibilidad, integridad de datos de personas, consecuencias transfronterizas), pero la aplicación práctica requiere un umbral de decisión interna. Sin ese umbral documentado, cada incidente potencial genera una conversación larga sobre si reportar o no, consumiendo tiempo en la situación menos adecuada para ello.

Ausencia de un responsable claro de la notificación. ¿Quién toma la decisión de notificar? ¿El CISO? ¿El CEO? ¿El responsable legal? En varias empresas he visto que en el momento del incidente real, nadie sabía quién tenía autoridad para hacer la notificación, con lo cual se perdían horas críticas.

Falta de plantillas de notificación preparadas. El aviso inicial de 24 horas no requiere el análisis completo del incidente (ese es el informe de 72 horas), pero sí requiere información mínima sobre el tipo de incidente, los sistemas afectados y el impacto estimado. Tener una plantilla básica lista reduce el tiempo de preparación en el momento de mayor estrés.

Lo que ha funcionado en las empresas mejor preparadas: un playbook de incidentes que incluye explícitamente el proceso de notificación NIS2, con el umbral de decisión documentado, el responsable de notificar identificado, la plantilla de notificación preparada y el contacto de la autoridad competente guardado.

La cadena de suministro: presión que llega a las pymes

NIS2 extiende la responsabilidad de ciberseguridad a la cadena de suministro. Una entidad esencial o importante no puede cumplir NIS2 ignorando la postura de seguridad de sus proveedores críticos. Esto ha creado una ola de cuestionarios de seguridad que fluye de grandes compañías hacia sus proveedores, muchos de los cuales son pymes sin recursos ni conocimiento para responderlos.

El patrón que veo repetidamente:

  1. El gran cliente envía un cuestionario de 150 preguntas de seguridad derivado de su programa de gestión de riesgo de terceros.
  2. La pyme proveedora no tiene respuestas para la mayoría de las preguntas porque no ha implementado los controles que se preguntan.
  3. La pyme tiene dos opciones: rechazar el cuestionario (y perder el cliente), o responder de forma inexacta para parecer más madura de lo que es.

Ninguna de las dos es satisfactoria, pero la segunda es la más frecuente. Esto crea un ecosistema de cumplimiento de papel que NIS2 pretendía evitar.

La solución que empieza a adoptarse en algunos sectores es estandarizar el cuestionario de terceros usando marcos como ENS (Esquema Nacional de Seguridad) o ISO 27001 como certificación sustitutiva. Un proveedor certificado ISO 27001 puede remitir al cliente al certificado en lugar de responder 150 preguntas individuales. Pero la adopción de esta práctica es desigual.

La responsabilidad personal: cambio de tono sin consecuencias todavía

El artículo 20 de NIS2 establece que los órganos de dirección de las entidades son responsables de la supervisión de las medidas de gestión de riesgos de ciberseguridad, y pueden ser considerados personalmente responsables en caso de incumplimiento grave. Esta disposición ha tenido un efecto inmediato en las conversaciones de comité: los CEO y directores han empezado a preguntar por ciberseguridad de una manera que antes no lo hacían.

Sin embargo, en España y en la mayoría de estados miembros, todavía no hay resoluciones sancionadoras públicas derivadas de NIS2. El régimen está en aplicación temprana, las autoridades nacionales están en proceso de establecer sus procedimientos de supervisión, y los plazos de transposición incompleta en algunos estados complican el panorama. El efecto de la responsabilidad personal es de cambio de actitud más que de consecuencias tangibles en este primer semestre.

Lo que sí ha cambiado: los presupuestos de ciberseguridad en las empresas que antes no tenían un programa estructurado han aumentado, y el argumento «NIS2 lo requiere» ha desbloqueado conversaciones que el equipo de seguridad llevaba años intentando tener.

Diferencias entre países: el problema de la fragmentación

NIS2 es una directiva de la UE, pero la transposición la realizan los estados miembros individualmente, y hay diferencias significativas en cómo se ha implementado:

  • Ámbito de aplicación: algunos estados han ampliado el ámbito más allá del mínimo de la directiva; otros han transpuesto de forma más restrictiva.
  • Umbrales de tamaño: la directiva establece umbrales de empleados y facturación para determinar si una empresa entra en el ámbito, pero los estados tienen margen de interpretación para algunos sectores.
  • Plazos de notificación: aunque los plazos de 24/72 horas están en la directiva, la interpretación de qué constituye «conocimiento» del incidente varía.
  • Autoridades competentes: en algunos estados hay una autoridad única; en otros, varias según el sector.

Para un grupo multinacional con operaciones en varios países de la UE, esto significa que el cumplimiento NIS2 no puede ser una política única: requiere adaptación por país. Algunos grupos están optando por aplicar el estándar más exigente de los países donde operan como baseline corporativo, lo cual simplifica la gestión a costa de un sobrecoste en países con requisitos menores.

Lo que ha movido más la aguja en práctica real

Más allá de los procesos de notificación y la gobernanza, los controles donde NIS2 ha generado más trabajo y más valor real en las empresas que he acompañado:

Inventario de activos. El anexo X de NIS2 enumera medidas de gestión de riesgos que incluyen explícitamente el inventario de activos. Las empresas que no tenían un inventario actualizado de sistemas, aplicaciones y datos han tenido que construirlo. El efecto secundario positivo: muchas han descubierto sistemas olvidados con versiones obsoletas que no sabían que seguían activos.

Gestión de vulnerabilidades. El ciclo de gestión de vulnerabilidades (escaneo, priorización, remediación, verificación) ha pasado de práctica informal a proceso documentado en muchas organizaciones. Las empresas que ya tenían Trivy, Grype o herramientas equivalentes integradas en CI lo tienen más fácil; las que no han tenido que construirlo desde cero.

Pruebas de continuidad y recuperación. Las medidas de NIS2 incluyen la continuidad de negocio y la recuperación ante desastres, con pruebas regulares documentadas. Muchas empresas tenían planes de continuidad en papel que nunca habían probado. El proceso de cumplimiento ha forzado pruebas reales, con resultados instructivos: un porcentaje significativo de los planes probados no funcionaron como se esperaba.

Mi lectura

NIS2 está generando cambios reales en la postura de seguridad de las empresas sujetas a ella, aunque de forma desigual. Las empresas que ya tenían un programa de seguridad estructurado han tenido principalmente un trabajo de documentación y ajuste de procesos. Las que no lo tenían han tenido que construir desde cero bajo presión regulatoria, con resultados variables.

Los cambios más duraderos no son los que genera el miedo a la sanción, sino los que genera el cambio de conversación en el comité. La responsabilidad personal del artículo 20 ha puesto la ciberseguridad en la agenda de dirección de una manera que los equipos de seguridad llevaban años intentando conseguir. Ese cambio de atención, si se sostiene, tiene más valor que cualquier control técnico específico.

El segundo año de NIS2 será el de las primeras resoluciones sancionadoras. Cuando aparezcan, el efecto en el mercado será más rápido que toda la comunicación previa: nada concentra la atención de los comités como ver a un sector equivalente recibir una sanción significativa con nombres y apellidos.

¿Te ha resultado útil?
[Total: 10 · Media: 4.8]
Post Views: 71

Escrito por

CEO - Jacar Systems

Apasionado de la tecnología, la infraestructura cloud y la inteligencia artificial. Escribe sobre DevOps, IA, plataformas y software desde Madrid.

440 Artículos 35K Lecturas Rating

Entradas relacionadas

Herramientas

Software esencial para tu nuevo Mac M5 (guía 2026)

100 aplicaciones imprescindibles para tu Mac M5 organizadas en 20 categorías: navegador, notas, terminal, IDE, contenedores, IA y mucho más. Cada pick con propósito, características clave, plugins, precio en EUR y enlace oficial.

350 204 min
Industria 4.0

Robótica colaborativa en fábrica: balance 2026

Los cobots llevan casi quince años prometiendo la fábrica donde humanos y robots comparten espacio sin vallas. En 2026, con un mercado camino de los once mil millones y el 70% de los pedidos llegando desde fuera del automóvil, conviene revisar qué ha cumplido y qué sigue pendiente.

82 12 min 4,4