NIS2: estado de la transposición en los estados miembros

javi
Edificio institucional europeo con banderas representando regulación UE

La directiva NIS2 (Network and Information Security 2, Directiva UE 2022/2555) entra en vigor el 17 de octubre de 2024. A mediados de 2024 los estados miembros están en distintos grados de transposición. Este artículo cubre el estado en los países principales, qué obligaciones concretas introducen, y cómo las empresas deben prepararse sin entrar en pánico.

Qué es NIS2

Actualización mayor de NIS1 (2016):

  • Expansión de alcance: más sectores, más empresas incluidas.
  • Categorías: Essential Entities (EE) + Important Entities (IE).
  • Obligaciones: risk management, incident reporting 24h/72h/1mes, supply chain security.
  • Sanciones: hasta €10M o 2% turnover (EE), €7M o 1.4% (IE).
  • Cross-border cooperation: mejorada.

Sectores obligados: energía, transporte, banca, salud, agua potable, digital infrastructure, ICT management, público, espacio, gestión de residuos, fabricación, fabricación de alimentos, digital providers, investigación, química.

Quién está obligado

Reglas simplificadas:

Essential Entity (EE): sectores críticos + empresas >250 empleados o >€50M turnover.

Important Entity (IE): sectores importantes + medianas (50-250 empleados).

Exención: microempresas (<10 empleados, <€2M) generalmente excluidas.

Si tu empresa está en sectores listados y pasa umbrales, aplica.

Obligaciones clave

Risk management

Medidas técnicas y organizativas:

  • Policies de seguridad.
  • Incident handling.
  • Business continuity + backup + crisis management.
  • Supply chain security: evaluar proveedores.
  • Network security: segmentación, encryption.
  • Access control: MFA, least privilege.
  • Cryptography: where appropriate.
  • Human resources security: training.
  • Vulnerability disclosure.
  • Cyber hygiene practices (updates, patches).

Incident reporting

Timeline cortos:

  • 24h: early warning a autoridad (breve).
  • 72h: report inicial con impact.
  • 30 días: report final detallado.

Severo vs NIS1 (que era más laxo).

Management responsibility

Directivos responsables personalmente:

  • Obligación de formar en cyber.
  • Approve security measures.
  • Liability for non-compliance.

Esto eleva el tema a nivel board.

Estado en países clave

España

  • Anteproyecto de Ley NIS2 aprobado en mayo 2024.
  • Tramitación parlamentaria en progreso.
  • INCIBE y CCN-CERT como autoridades.
  • Transposición tardía — probable entre Q4 2024 y Q1 2025.

Alemania

  • NIS2UmsuCG: transposición en trámite, aprobada por cabinet Julio 2024.
  • BSI (Bundesamt für Sicherheit) como autoridad.
  • Requisitos específicos más estrictos que mínimo UE.

Francia

  • Transposición en progreso via Projet de Loi.
  • ANSSI como autoridad.

Países Bajos

  • Cyberbeveiligingswet en progreso.
  • NCSC-NL como autoridad.

Italia

  • Transposición en progreso, CSIRT italiano como autoridad.

Irlanda, Polonia, Suecia, resto UE

Estados en diversos grados — muchos con probable late transposition respecto al deadline.

¿Si mi estado no ha transpuesto?

Si el 17 de octubre 2024 tu estado no ha transpuesto:

  • La directiva no aplica directamente a empresas — solo a estados.
  • Pero: la Comisión puede iniciar procedimiento de infracción.
  • Y: transposición llegará tarde o temprano. Mejor prepararse.

Cómo prepararse

Roadmap pragmático:

Fase 1: Assessment (Q3 2024)

  • Determinar si aplicas: sector + tamaño.
  • Audit de estado actual vs requisitos NIS2.
  • Identificar gaps.
  • Executive buy-in: tema para board.

Fase 2: Remediación (Q4 2024 – Q2 2025)

  • Implementar controles faltantes.
  • Procedures de incident response.
  • Supply chain audit.
  • Training de personal.
  • Documentación.

Fase 3: Operación (Q2 2025+)

  • Ejercicios de incident response.
  • Auditorías periódicas.
  • Updates continuos.
  • Reporting a autoridades cuando aplique.

Framework para compliance

ISO 27001 sirve como base, pero NIS2 requiere más:

  • ISO 27001 + 27005: base de ISMS.
  • NIST CSF: framework pragmático, aligned con NIS2.
  • CIS Controls: prioritisation.
  • ENISA guidance: europeísta.

No hay “checkbox NIS2”. Es compliance operativa continua.

Sanciones

  • EE: €10M o 2% turnover (lo mayor).
  • IE: €7M o 1.4%.
  • Directivos: responsabilidad personal, hasta inhabilitación.
  • Recurrent: sanciones crecientes.

Primer caso significativo de sanción puede ser 2025-2026.

Supply chain: el dolor real

NIS2 te hace responsable de tus proveedores:

  • Evaluate vendors con acceso a sistemas.
  • Contracts con security clauses.
  • Monitor continuous.
  • Incident responsabilidad incluso si proveedor causó.

Para empresas con cientos de vendors, esto es proyecto grande.

Relación con otras normativas

  • DORA (financial sector): complementa NIS2.
  • GDPR: data breach overlap.
  • Cyber Resilience Act: para products, complementario.
  • AI Act: para sistemas IA, otra capa.

Compliance holística requires coordinación entre marcos.

Consejos operativos

Desde la trinchera:

  • Documentar incidentes desde ya, aunque no estés obligado aún.
  • Tabletop exercises regulares para testear response.
  • Share threat intel con peers — NIS2 empuja cooperación.
  • Invertir en detection, no solo prevención.
  • Plan B: qué si proveedor critical cae.

Recursos útiles

  • ENISA: guidelines oficiales.
  • CCN-CERT: para España.
  • BSI: para Alemania.
  • ANSSI: para Francia.
  • CISA: aunque US, guidance útil.

Conclusión

NIS2 es cambio regulatorio significativo para cyber en UE. No es solo checkbox compliance — requiere cambios reales en gestión de riesgo, incident response, y supply chain. Transposición tarda pero llega. Empresas que esperan a último momento se encontrarán con costes concentrados y fricción. Empezar con assessment y gaps remediation ahora, antes de tener que hacerlo obligatoriamente, es prudente. La inversión es real pero el coste del incumplimiento (sanción + reputación + liabilities personales de directivos) es mayor.

Síguenos en jacar.es para más sobre cybersecurity, NIS2 y regulación europea.

Entradas relacionadas