La perspectiva de Cyber Academy
NIS 2 (Directiva (UE) 2022/2555) es la directiva de la UE que hace responsables a los consejos de administración en materia de ciberseguridad. Las entidades medianas o grandes de 18 sectores enumerados están dentro del ámbito de aplicación. Ante un incidente significativo: alerta temprana en 24 horas, notificación en 72 horas, informe completo en un mes. Sanciones de hasta 10 millones de euros o el 2% del volumen de negocios mundial para las entidades esenciales. Transpuesta de forma desigual entre los Estados miembros desde octubre de 2024.
TL;DR
- 1Dentro del ámbito: 18 sectores, entidades medianas (50+ empleados / 10M+ de volumen de negocios) y mayores. Dos categorías, esenciales e importantes, con distinta intensidad de supervisión.
- 2Diez medidas de gestión de riesgos de ciberseguridad bajo el Article 21. La directiva dice qué; ISO 27001 es el cómo más habitual.
- 3Notificación de incidentes: alerta temprana en 24 horas, notificación en 72 horas, informe completo en un mes. Define el procedimiento antes de necesitarlo.
- 4La responsabilidad personal y la rendición de cuentas de la dirección son ahora explícitas. El consejo es responsable, no solo el CISO.
- 5El estado de la transposición varía de un país a otro; consulta a tu autoridad nacional antes de asumir que el texto de la UE se aplica tal cual.
Determinar si estás dentro del ámbito y en qué categoría
El ámbito es la pregunta que decide todo lo demás, así que resuélvela primero y deja por escrito el razonamiento. NIS 2 se aplica a las entidades que operan en uno de los 18 sectores enumerados y que además cumplen un umbral de tamaño. La regla por defecto es el límite de la mediana empresa: al menos 50 empleados, o un volumen de negocios anual y un balance superiores a 10 millones de euros. Por debajo de ese límite, normalmente quedas fuera, pero no siempre: la directiva incluye a determinados proveedores independientemente de su tamaño cuando el servicio es lo suficientemente crítico (por ejemplo, proveedores de DNS, registros de dominios de nivel superior y algunos proveedores de comunicaciones electrónicas públicas y de servicios de confianza).
Las dos categorías, esenciales e importantes, no son dos listas entre las que elegir. Se derivan de tu sector y tu tamaño. Los sectores de alta criticidad (energía, transporte, banca, infraestructura de los mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio) producen entidades esenciales en los tamaños mayores; los demás sectores enumerados, y las entidades más pequeñas dentro de los de alta criticidad, se clasifican generalmente como importantes. La consecuencia práctica es la intensidad de la supervisión, no un conjunto de obligaciones más laxo: las medidas de seguridad y los plazos de notificación son los mismos para ambas categorías.
Esenciales frente a importantes: dónde divergen realmente las dos categorías
Ambas categorías llevan las mismas medidas del Article 21 y el mismo reloj de notificación de incidentes. Lo que cambia es cómo te vigila el regulador y qué puede hacer cuando algo va mal. Las entidades esenciales se enfrentan a una supervisión proactiva, ex ante: una autoridad puede inspeccionar y exigir pruebas sin esperar a que se produzca un incidente. Las entidades importantes se supervisan de forma reactiva, ex post, lo que significa que el escrutinio suele seguir a un incidente o a una denuncia creíble. Los topes de las sanciones también difieren, y esa brecha es la razón más citada para confirmar tu categoría pronto.
| Dimensión | Entidades esenciales | Entidades importantes |
|---|---|---|
| Modelo de supervisión | Proactiva (ex ante): inspecciones y solicitudes de pruebas en cualquier momento | Reactiva (ex post): activada por un incidente o una denuncia |
| Multa administrativa máxima | Al menos 10 millones de euros o el 2% del volumen de negocios anual mundial total, lo que sea mayor | Al menos 7 millones de euros o el 1,4% del volumen de negocios anual mundial total, lo que sea mayor |
| Obligaciones de seguridad (Article 21) | Se aplican las diez medidas | Se aplican las diez medidas (idénticas) |
| Plazo de notificación | 24h / 72h / 1 mes (idéntico) | 24h / 72h / 1 mes (idéntico) |
| Rendición de cuentas de la dirección | Explícita; los órganos pueden ser considerados responsables, las personas pueden enfrentarse a prohibiciones temporales de dirección | Explícita; se aplica la responsabilidad individual, las prohibiciones de dirección se reservan generalmente para las entidades esenciales |
Lee la tabla como lo hará un auditor: las medidas y los plazos son innegociables para todos, así que la categoría te dice sobre todo cuánto margen de error tienes antes de que alguien venga a investigar. Las entidades esenciales deben asumir que una inspección puede ocurrir en un tranquilo martes. Las entidades importantes deben asumir que la primera prueba real será un incidente en directo, que es el peor momento para descubrir que tus pruebas son escasas.
Las diez medidas del Article 21, y por qué ISO 27001 es la respuesta habitual
El Article 21(2) enumera diez categorías de medidas de gestión de riesgos de ciberseguridad que toda entidad dentro del ámbito debe implementar, de forma proporcionada a su exposición al riesgo. La directiva describe resultados, no controles, lo cual es deliberado: te dice qué debe cubrirse y deja el cómo en tus manos.
- Políticas de análisis de riesgos y seguridad de los sistemas de información.
- Gestión de incidentes (detección, respuesta y las obligaciones de notificación que se indican a continuación).
- Continuidad de negocio, incluida la gestión de copias de seguridad y la recuperación ante desastres, y gestión de crisis.
- Seguridad de la cadena de suministro, que cubre la seguridad de las relaciones con los proveedores directos y los prestadores de servicios.
- Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluida la gestión y la divulgación de vulnerabilidades.
- Políticas y procedimientos para evaluar la eficacia de las medidas.
- Prácticas básicas de higiene cibernética y formación en seguridad.
- Políticas y procedimientos de criptografía y, cuando proceda, cifrado.
- Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
- Autenticación multifactor, comunicaciones seguras y comunicación de emergencia segura cuando proceda.
Lee esa lista junto a un conjunto de controles del Annex A y el solapamiento es evidente. Por eso, en la práctica, la vía más común hacia un cumplimiento demostrable es un sistema de gestión de seguridad de la información ISO 27001. NIS 2 nombra los resultados; ISO 27001 te da el sistema de gestión, la disciplina de tratamiento de riesgos y las pruebas documentadas que se corresponden con nueve de las diez categorías sin mucha traducción. Estrictamente no necesitas un certificado para satisfacer NIS 2, pero la estructura del ISMS es la forma más limpia de producir los registros que una autoridad espera.
La forma más rápida de que un equipo interiorice tanto la obligación como la construcción es combinar la perspectiva regulatoria con la perspectiva de implementación: el curso NIS 2 Directive Lead Implementer para el programa en sí, y el curso ISO 27001 Lead Implementer para levantar el ISMS que soporta la mayor parte del peso del Article 21.
El reloj de notificación: 24 horas, 72 horas, un mes
La obligación de notificación se activa ante un incidente significativo, es decir, uno que ha causado o es capaz de causar una perturbación operativa grave o una pérdida financiera, o que ha afectado a terceros mediante daños materiales o inmateriales considerables. El reloj corre entonces en tres etapas hacia tu CSIRT nacional o autoridad competente.
- 24 horas: una alerta temprana. Indica si sospechas que el incidente es ilícito o malintencionado y si podría tener impacto transfronterizo. Esto es un aviso, no un informe forense.
- 72 horas: una notificación de incidente. Actualiza la alerta temprana con una evaluación inicial, que incluya gravedad, impacto y cualquier indicador de compromiso que tengas.
- Un mes: un informe final. Un relato completo del incidente, su probable causa raíz, la mitigación aplicada y cualquier impacto transfronterizo. Si el incidente sigue en curso al cabo de un mes, proporcionas un informe de progreso y uno final cuando se cierre.
Los plazos parecen generosos hasta que los contrastas con un incidente real. La alerta de 24 horas llega mientras todavía estás confirmando lo que ocurrió, así que el procedimiento debe estar definido de antemano: quién decide que un incidente es "significativo", quién redacta la alerta temprana, quién tiene la autoridad para presentarla y a qué portal o contacto va en cada Estado miembro donde operas. Ensáyalo. Un ejercicio de simulación que termine con una alerta temprana redactada contra el reloj vale más que cualquier documento de política sobre notificación.
Responsabilidad de la dirección y los errores que aparecen en la sala de auditoría
NIS 2 eleva la rendición de cuentas. Los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y recibir formación para poder identificar los riesgos ellos mismos. El incumplimiento puede atribuirse a personas concretas, y para las entidades esenciales las autoridades pueden imponer prohibiciones temporales a las personas que ejercen funciones de dirección. El consejo es responsable, y "el CISO se encarga de la seguridad" ya no es una respuesta completa ante un regulador.
Los fallos recurrentes que vemos rara vez son exóticos. Son predecibles, y son evitables:
- Tratar la transposición como uniforme. La directiva se transpone a la legislación nacional, y los plazos, los umbrales, los deberes de registro y los portales de notificación varían de un país a otro. Consulta a la autoridad nacional de cada Estado miembro donde operas antes de asumir que el texto de la UE se aplica tal cual.
- Ignorar el deber de registro y autoidentificación. Muchos Estados miembros exigen que las entidades dentro del ámbito se registren ante la autoridad competente. Estar dentro del ámbito y sin registrar es por sí mismo una constatación, separada de cualquier brecha de seguridad.
- Invertir poco en la seguridad de la cadena de suministro. Es una de las diez medidas, y es donde las entidades más grandes están más expuestas. Un proceso débil de riesgo de proveedores es una debilidad visible.
- Confundir categorías con obligaciones. Las entidades importantes a veces asumen que una supervisión más ligera significa deberes más ligeros. No es así: se aplican las mismas medidas y el mismo reloj de notificación.
- Ningún procedimiento de notificación ensayado. La alerta de 24 horas es la obligación que más a menudo se incumple, porque nadie asumió la decisión ni el borrador hasta que el incidente lo forzó.
Si tu equipo necesita orientarse sobre el ámbito, las categorías y las obligaciones antes de comprometerse con una construcción, el curso NIS 2 Directive Foundation es el punto de partida adecuado; pasa a los itinerarios Lead Implementer e ISO 27001 una vez que estés definiendo el alcance del programa en sí.
NIS 2 interactúa con otros regímenes de la UE (DORA gobierna la resiliencia operativa del sector financiero y generalmente prevalece allí como la regla más específica; la Ley de IA añade sus propias obligaciones para los sistemas de IA), así que confirma qué régimen es el principal para una obligación dada en lugar de notificar el mismo incidente dos veces o, peor, no notificarlo en absoluto. En caso de duda, la postura segura es la que la propia directiva recompensa: decisiones documentadas, una correspondencia de controles mantenida y un procedimiento de notificación que hayas ensayado antes de necesitarlo.
Frequently asked questions
01¿Estoy dentro del ámbito de aplicación de NIS 2?
Dos filtros: sector y tamaño. Debes estar en uno de los 18 sectores enumerados (energía, transporte, finanzas, salud, infraestructura digital, administración pública, espacio, alimentación, productos químicos, servicios postales, fabricación de productos críticos, investigación, gestión de residuos, además de algunos otros). Y debes cumplir el umbral de tamaño: 50+ empleados o 10 millones de euros de volumen de negocios anual. Por debajo de eso, quedas fuera del ámbito por defecto, con excepciones nacionales para entidades críticas de cualquier tamaño.
Dos categorías dentro del ámbito: las entidades esenciales (energía, transporte, banca, infraestructura de los mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC B2B, administración pública, espacio) se enfrentan a una supervisión más estricta y a sanciones más altas. Las entidades importantes (postal, residuos, productos químicos, alimentación, fabricación, proveedores digitales, investigación) se enfrentan a una supervisión más ligera pero a las mismas obligaciones de control.
02¿Cuáles son las diez medidas del Article 21?
El Article 21(2) enumera diez medidas de gestión de riesgos de ciberseguridad: (a) políticas de análisis de riesgos y seguridad de los sistemas de información; (b) gestión de incidentes; (c) continuidad de negocio y gestión de crisis; (d) seguridad de la cadena de suministro; (e) seguridad en la adquisición, el desarrollo y el mantenimiento; (f) políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad; (g) higiene cibernética básica y formación en ciberseguridad; (h) políticas de criptografía y cifrado; (i) seguridad de los recursos humanos, control de acceso y gestión de activos; (j) el uso de autenticación multifactor, comunicaciones de voz/vídeo/texto seguras y sistemas de comunicación de emergencia seguros.
La directiva no dice cómo implementar cada una. ISO 27001 se corresponde con claridad con las diez; NIST CSF y CIS Controls cubren la mayoría de ellas. Elige un marco, documenta la correspondencia y la autoridad de supervisión quedará satisfecha.
03¿Cuál es el plazo de notificación de incidentes?
Ante un incidente significativo, tres plazos: alerta temprana en 24 horas (evaluación inicial, si se sospecha que el incidente ha sido causado por actos ilícitos o malintencionados, posible impacto transfronterizo); notificación en 72 horas (evaluación más amplia, indicadores de compromiso); informe final en un mes (descripción detallada del incidente, gravedad, impacto, medidas de mitigación adoptadas, análisis de la causa raíz cuando esté disponible).
Un incidente significativo es aquel que ha causado o es capaz de causar una perturbación operativa grave o pérdidas financieras, o que afecta a terceros causando daños materiales o inmateriales considerables. Los umbrales son aclarados por las autoridades nacionales; consulta los tuyos.
04¿Cuáles son las sanciones?
Las entidades esenciales se enfrentan a multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios anual mundial, lo que sea mayor. Las entidades importantes se enfrentan a hasta 7 millones de euros o el 1,4% del volumen de negocios anual mundial. Las autoridades nacionales también pueden imponer sanciones no financieras: órdenes de cumplimiento, divulgación pública del incumplimiento, prohibiciones temporales a las personas de la dirección de ejercer su cargo.
Las sanciones no son el único vector de aplicación. El diálogo de supervisión, las auditorías y las órdenes de ejecutar una acción correctiva específica se sitúan por debajo del umbral de la multa y son más habituales en la práctica.
05¿Cómo interactúa NIS 2 con DORA y la Ley de IA?
Para las entidades financieras, DORA es lex specialis en materia de TIC: cuando DORA se aplica, prevalece sobre NIS 2 en las disposiciones relacionadas con las TIC. Las entidades financieras siguen aplicando NIS 2 para los temas no relacionados con las TIC cubiertos por la directiva.
La Ley de IA es paralela: regula los sistemas de IA, no los programas de ciberseguridad. Si operas sistemas de IA de alto riesgo dentro de un sector crítico, te enfrentas a ambas: NIS 2 para la línea de base de ciberseguridad, la Ley de IA para el trabajo de conformidad de la IA.


