Implementación de la Directiva NIS2 en España: situación, obligaciones y retos

Informatec Digital » Recursos » Implementación de la Directiva NIS2 en España: situación, obligaciones y retos

La Directiva Europea NIS2 ha removido por completo el panorama de la ciberseguridad en Europa y, muy especialmente, en España. No estamos ante una norma más, sino ante un cambio de reglas que afecta a cómo empresas y administraciones públicas gestionan los riesgos digitales, reportan incidentes y se coordinan con las autoridades.

Mientras tanto, España avanza con pasos firmes pero claramente retrasados en su transposición: el plazo oficial terminaba en octubre de 2024 y, a día de hoy, la futura Ley de Coordinación y Gobernanza de la Ciberseguridad sigue en tramitación parlamentaria. Este contexto genera un escenario un tanto peculiar: la Directiva es ya vinculante a nivel europeo, pero el marco jurídico nacional definitivo aún no está aprobado, dejando a muchas entidades entre la obligación moral y estratégica de prepararse y evaluar su situación evaluar su situación y la ausencia de una ley plenamente aplicable.

Qué es la Directiva NIS2 y por qué cambia las reglas del juego

La Directiva (UE) 2022/2555, conocida como NIS2, sustituye a la Directiva NIS original con el objetivo de establecer un nivel común elevado de ciberseguridad para redes y sistemas de información en toda la Unión Europea. Su propósito es reforzar la resiliencia frente a ciberincidentes que puedan afectar a servicios esenciales y al funcionamiento normal de la sociedad y la economía.

A diferencia de su predecesora, NIS2 amplía de forma notable el número de sectores y entidades afectadas, incorporando no solo las infraestructuras críticas tradicionales (energía, transporte, agua, banca o salud), sino también ámbitos como la administración pública, las infraestructuras digitales, los servicios postales y de mensajería, la gestión de residuos, la manufactura avanzada o la producción y distribución de alimentos.

La Directiva establece un marco armonizado de requisitos mínimos de ciberseguridad para toda la UE, con medidas de gestión de riesgos, gobernanza, protección de la cadena de suministro, continuidad de negocio y notificación temprana de incidentes. Además, endurece el régimen de supervisión y sanciones, y eleva de forma explícita la responsabilidad de la alta dirección.

Otra novedad relevante es la clara apuesta por la cooperación entre Estados miembros y la creación o refuerzo de equipos de respuesta a incidentes (CSIRT) nacionales, capaces de coordinarse a nivel europeo ante situaciones de crisis grave. ENISA, la Agencia de la UE para la Ciberseguridad, juega un papel clave en este ecosistema, apoyando el desarrollo de estrategias nacionales de ciberseguridad y promoviendo buenas prácticas.

El sector financiero queda fuera del ámbito de NIS2 en lo esencial, al aplicarse con preferencia la normativa DORA como lex specialis. Aun así, la lógica de resiliencia operacional digital que impulsa DORA es plenamente coherente con la filosofía de NIS2.

Estado actual de la transposición de NIS2 en España

La Directiva NIS2 entró en vigor el 16 de enero de 2023 y fijó como fecha límite para su transposición el 17 de octubre de 2024. Un año después de ese plazo, España seguía sin haber completado la incorporación formal al ordenamiento jurídico interno, situándose en el grupo de países rezagados.

Como consecuencia de este retraso, la Comisión Europea abrió procedimientos de infracción contra numerosos Estados miembros. El 7 de mayo de 2025, la Comisión envió un dictamen motivado a diecinueve países, entre ellos España, requiriéndoles que notificaran la plena transposición de la Directiva en un plazo de dos meses, bajo la advertencia de poder llevar el asunto ante el Tribunal de Justicia de la UE si no se adoptaban las medidas necesarias.

En el caso español, el gran punto de inflexión se produjo el 14 de enero de 2025 con la aprobación, en Consejo de Ministros, del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Esta norma es la que servirá de instrumento fundamental para trasladar NIS2 al derecho interno y reorganizar el modelo de gobernanza nacional en ciberseguridad.

Tras su aprobación inicial, el anteproyecto se sometió a audiencia e información pública entre el 16 de enero y el 10 de febrero de 2025, permitiendo que ciudadanos, empresas, asociaciones y otros organismos presentaran comentarios y propuestas de mejora. Posteriormente, el texto pasó por el Grupo de Trabajo Técnico Interministerial, que consolidó el borrador teniendo en cuenta las alegaciones recibidas, incluidas las de comunidades de expertos como ISMS Forum.

Aun así, y pese al impulso político, la ley continúa en fase de tramitación parlamentaria. Se ha hablado de su elevación al Consejo de Ministros para aprobación como proyecto de ley en torno a noviembre y de una aprobación parlamentaria posible a finales de enero o febrero del año siguiente, pero la realidad es que, hasta finales de 2025, España sigue sin disponer de una ley nacional plenamente aplicable que transponga NIS2.

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

El anteproyecto aprobado por el Gobierno español es una iniciativa conjunta de los ministerios del Interior, Defensa y para la Transformación Digital y de la Función Pública. Su función es doble: por un lado, transponer la Directiva NIS2, y por otro, ordenar la coordinación y la gobernanza de la ciberseguridad a escala estatal, reforzando la protección de redes y sistemas de información frente a ciberamenazas que puedan impactar en infraestructuras críticas y servicios esenciales.

La futura ley se aplicará a entidades públicas y privadas que operen en sectores como energía, transporte, banca e infraestructuras de mercados financieros, salud, gestión del agua, infraestructuras digitales, servicios tecnológicos y otros sectores críticos. Incluye de manera explícita a los registros de nombres de dominio, como Dominios.es (gestionado por Red.es), que pasan a asumir nuevas obligaciones en materia de ciberseguridad por su papel estratégico en la estabilidad del ecosistema digital.

En líneas generales, el anteproyecto se alinea con las principales obligaciones de la Directiva NIS2 y articula cuatro ejes clave: refuerzo de la gobernanza y la responsabilidad de la alta dirección, medidas generales de gestión de riesgos de seguridad, designación de un responsable de seguridad de la información y obligaciones claras de notificación de incidentes.

Además, la norma española introduce una pieza organizativa de gran calado: la creación del Centro Nacional de Ciberseguridad (CNC). Este organismo actuará como eje de coordinación para la protección de redes y sistemas de información, armonizando criterios entre distintas autoridades de control (Interior, Defensa y Transformación Digital), impulsando equipos de respuesta a incidentes (CSIRT) y facilitando una visión más cohesionada del ecosistema de ciberseguridad nacional.

Durante la fase de consulta pública, organizaciones como ISMS Forum plantearon aportaciones relevantes: refuerzo de las funciones del responsable de seguridad de la información, desvinculación de esta figura de la Ley de Seguridad Privada, y mecanismos específicos de reacción cuando la entidad incumplidora es una administración pública que, por su propia naturaleza, no puede ser sancionada económicamente. Entre las propuestas figura la posibilidad de apercibimientos públicos, en línea con lo que prevé la LOPDGDD en materia de protección de datos.

Sectores y tipos de entidades afectados por NIS2

NIS2 clasifica a las organizaciones sujetas a la Directiva como entidades esenciales o entidades importantes, en función principalmente del sector en el que operan y de su tamaño (medianas y grandes empresas, con excepciones basadas en criticidad). La norma se aplica de forma general a entidades públicas o privadas que desarrollan su actividad en la UE, con posibilidad de incluir organizaciones de menor tamaño cuando los Estados miembros las identifiquen como esenciales o importantes por su relevancia.

Los sectores de alta criticidad se recogen en el Anexo I de NIS2, mientras que otros sectores críticos figuran en el Anexo II. En España, el salto en número de sectores es algo menor que en otros países, porque la transposición de la antigua NIS ya se alineó con la Ley 8/2011 de Protección de Infraestructuras Críticas, que contemplaba 12 sectores. Aun así, NIS2 incorpora ámbitos nuevos como los servicios postales y de mensajería, la gestión de residuos o varias categorías de manufactura, y desdobla otros, por ejemplo, distinguiendo entre agua potable y aguas residuales.

Entre los sectores y ejemplos de entidades, destacan:

• Energía: empresas eléctricas suministradoras, gestores de redes de transporte y distribución, productores, operadores NEMO, participantes en el mercado eléctrico, operadores de puntos de recarga; operadores y gestores de redes de gas, petróleo e hidrógeno.
• Transporte: compañías aéreas, gestores aeroportuarios, control del tráfico aéreo, administradores de infraestructuras ferroviarias, empresas ferroviarias, entidades de transporte marítimo y fluvial, gestores portuarios, servicios de tráfico de buques, autoridades viarias y operadores de sistemas de transporte inteligente.
• Banca e infraestructuras de mercados financieros: entidades de crédito y gestores de centros de negociación, entidades de contrapartida central, con el matiz de que DORA actúa como norma sectorial específica.
• Sector sanitario: prestadores de asistencia sanitaria, laboratorios de referencia de la UE, entidades de I+D de medicamentos, fabricantes de productos farmacéuticos de base y de especialidades, y fabricantes de productos sanitarios esenciales en emergencias de salud pública.
• Agua potable y aguas residuales: suministradores y distribuidores de agua de consumo humano, y empresas responsables de la recogida, eliminación y tratamiento de aguas residuales urbanas, domésticas o industriales.
• Infraestructura digital: proveedores de puntos de intercambio de internet (IXP), servicios DNS, registros de dominios de primer nivel, proveedores de servicios de computación en la nube, centros de datos, redes de distribución de contenidos (CDN), prestadores de servicios de confianza, proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicaciones electrónicas al público.
• Gestión de servicios TIC de empresa a empresa: proveedores de servicios gestionados y de servicios de seguridad gestionados, con un impacto directo en toda la cadena de suministro tecnológica.
• Administraciones públicas: entidades de la Administración general del Estado y, en determinados casos, entidades autonómicas y locales, cuando la perturbación de sus servicios pueda impactar de manera significativa en actividades sociales o económicas críticas.
• Servicios postales y de mensajería: proveedores que realizan recogida, clasificación, transporte y distribución de envíos postales.
• Gestión de residuos: empresas dedicadas a la recogida, transporte, valorización y eliminación de residuos, incluidos vertederos.
• Químico: empresas de fabricación, producción y distribución de sustancias y mezclas químicas, así como producción de artículos a partir de ellas.
• Producción, transformación y distribución de alimentos: empresas alimentarias dedicadas a la distribución al por mayor y a la producción y transformación industrial a gran escala.
• Manufactura avanzada: fabricantes de productos sanitarios y de diagnóstico in vitro, fabricación de productos informáticos, electrónicos y ópticos, material eléctrico, maquinaria y equipo, vehículos de motor y otro material de transporte.
• Sector espacio: operadores de infraestructuras terrestres que apoyan la prestación de servicios espaciales, salvo aquellas cuya propiedad o gestión corresponda a la UE o a terceros en el marco de su programa espacial.

En todos estos sectores, las entidades grandes suelen clasificarse como esenciales, mientras que las medianas tienden a ser importantes, salvo designación específica en otro sentido. Las pequeñas y microempresas suelen quedar fuera por tamaño, pero pueden ser incluidas si su criticidad lo justifica.

Gobernanza y responsabilidades de la alta dirección

Uno de los giros más contundentes de NIS2 y del anteproyecto español es el énfasis en la gobernanza de la ciberseguridad y la responsabilidad directa de los órganos de dirección. El artículo 14 del anteproyecto consolida esta idea: la ciberseguridad pasa de ser un asunto meramente técnico a convertirse en un tema estratégico de máximo nivel.

La alta dirección deberá aprobar y supervisar la implantación de medidas de gestión de riesgos de ciberseguridad, asegurándose de que son proporcionales al contexto de la organización y a los riesgos identificados. Además, se establece que los órganos de gobierno asumirán la última responsabilidad en caso de incumplimiento, lo que enlaza con el régimen sancionador reforzado.

Otro punto clave es la formación periódica en ciberseguridad para los miembros de la dirección. No basta con delegar: los dirigentes deberán formarse para comprender los riesgos, tomar decisiones informadas y apoyar la difusión de una cultura de seguridad sólida en toda la organización. A su vez, estarán obligados a impulsar programas de formación periódica para el resto de la plantilla.

El artículo 20 de NIS2 refuerza esta visión al exigir expresamente que los órganos de gobierno sean conscientes de sus obligaciones, aprueben las medidas, velen por su implementación y puedan llegar a responder, en situaciones extremas, incluso con consecuencias personales (como la posible separación de funciones en determinados supuestos).

En este contexto, la relación entre la dirección y el responsable de seguridad de la información (CISO u homólogo) se vuelve crítica: se espera una interlocución fluida, constante y basada en criterios objetivos de riesgo y cumplimiento.

Medidas de gestión de riesgos exigidas por NIS2

El artículo 15 del anteproyecto español establece que las medidas de gestión de riesgos de ciberseguridad deberán basarse en normas técnicas nacionales, europeas e internacionales, integrando, como mínimo, los requisitos recogidos en el artículo 21 de NIS2 y desarrollados en el Reglamento de Ejecución (UE) 2024/2690.

Entre las medidas que las entidades esenciales e importantes deben implementar, destacan:

• Políticas de seguridad y análisis de riesgos de los sistemas de información, con revisiones periódicas.
• Gestión de incidentes, incluyendo procedimientos claros de detección, respuesta y recuperación.
• Continuidad de negocio, copias de seguridad, recuperación ante desastres y gestión de crisis, asegurando la resiliencia operativa.
• Seguridad de la cadena de suministro y de las relaciones con proveedores y prestadores de servicios directos, lo que implica imponer requisitos contractuales y controles de homologación y auditoría.
• Gestión de vulnerabilidades en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluyendo parches y actualizaciones.
• Políticas para evaluar la eficacia de las medidas de ciberseguridad, mediante auditorías, métricas y revisiones periódicas.
• Prácticas básicas de ciberhigiene y formación de empleados, adaptadas a los distintos perfiles.
• Políticas de criptografía y cifrado para garantizar la confidencialidad e integridad de la información.
• Seguridad de recursos humanos, políticas de control de acceso y gestión de activos.
• Autenticación multifactor o continua, protección de comunicaciones de voz y comunicaciones de emergencia.

En España, muchas de estas medidas ya estaban presentes en el Esquema Nacional de Seguridad (ENS), especialmente para administraciones públicas y sus proveedores. De hecho, la Agencia Estatal de Administración Digital y el Centro Criptológico Nacional han presentado ante la UE la fuerte alineación del ENS con NIS2, subrayando su potencial como referencia europea y su contribución a la resiliencia del ecosistema digital nacional.

Sin embargo, NIS2 eleva el listón para un conjunto mucho más amplio de empresas, incluidas pymes que se vean afectadas por tamaño o criticidad. Para organizaciones maduras, muchas de estas exigencias encajan con prácticas ya en marcha; para miles de compañías sin tradición en ciberseguridad, representan un salto importante de madurez, recursos y organización interna.

El responsable de seguridad de la información (CISO) y sus funciones

El artículo 16 del anteproyecto establece que todas las entidades esenciales e importantes deberán designar un responsable de seguridad de la información. Esta figura, inspirada en la experiencia previa española con la NIS original, se convierte en el punto neurálgico para coordinar todo lo relacionado con la protección de sistemas y datos.

Entre sus funciones principales se encuentran:

• Definir e implantar la estrategia de ciberseguridad de la organización, alineada con los riesgos, el negocio y las obligaciones normativas.
• Evaluar, mitigar y revisar de forma continua los riesgos, manteniendo una visión actualizada de la exposición de la entidad.
• Gestionar evidencias, políticas y registros necesarios para demostrar el cumplimiento de las obligaciones derivadas de NIS2 y de la normativa nacional.
• Impulsar la cultura de ciberseguridad en coordinación con la alta dirección, formando y sensibilizando a toda la plantilla.
• Garantizar el cumplimiento de las obligaciones de notificación de incidentes, coordinando los reportes ante las autoridades competentes.

España fue uno de los primeros países en introducir de forma expresa la figura del CISO en la transposición de la antigua NIS. Sin embargo, la experiencia mostró que un número significativo de operadores esenciales nunca llegó a designar formalmente a esta figura y, aun así, no fueron sancionados. NIS2, combinada con la futura ley española y con un régimen sancionador más severo, busca corregir esa laxitud y dar al CISO una posición más robusta y reconocida.

De cara al futuro, se espera un aumento masivo de entidades obligadas: de unos 400 operadores esenciales actuales a un rango estimado entre 5.000 y 50.000 entidades esenciales e importantes. Esto implicará una demanda notable de perfiles de ciberseguridad, internos o externalizados, especialmente para pymes que nunca antes habían contado con este rol.

Obligaciones de notificación de incidentes y gestión de vulnerabilidades

La Directiva NIS2 da una importancia capital a la notificación temprana de incidentes de seguridad con impacto significativo. El artículo 18 del anteproyecto español desarrolla esta obligación, alineado con los tiempos y contenidos establecidos por la Directiva.

Cuando una entidad sufra un incidente que pueda causar graves perturbaciones en la prestación de sus servicios o daños considerables a sí misma o a terceros, deberá cumplir el siguiente esquema de reporte:

• Notificación inicial: en un máximo de 24 horas tras la detección del incidente, proporcionando la información básica disponible.
• Informe intermedio: en un plazo máximo de 72 horas desde la detección, con una primera evaluación del impacto y la gravedad.
• Informe final: en el plazo máximo de un mes desde la primera notificación, incluyendo una descripción detallada del incidente, su impacto, gravedad y las medidas adoptadas.

Además, NIS2 refuerza la gestión y la comunicación de vulnerabilidades: no se trata solo de informar sobre incidentes consumados, sino también de compartir información relevante sobre vulnerabilidades que puedan tener impacto sistémico, facilitando la coordinación de respuestas a escala nacional y europea.

En España, el ecosistema de respuesta se apoya en tres grandes CSIRT de referencia: el CCN-CERT (para administración pública, empresas estratégicas y sistemas clasificados), INCIBE-CERT (sector privado y ciudadanía) y el MCCE (ámbito de Defensa). A ellos se suma la red csirt.es, que agrupa decenas de equipos especializados y se conecta con redes internacionales como FIRST, así como la Red Nacional de SOC.

Las entidades esenciales e importantes deberán reportar sus incidentes a los CSIRT competentes, de acuerdo con la normativa sectorial y las indicaciones del futuro Centro Nacional de Ciberseguridad, que actuará como elemento coordinador y enlace con ENISA y el resto de Estados miembros.

Régimen sancionador y presión europea

La Directiva NIS2 establece un régimen sancionador claramente más severo que el de la antigua NIS. Para entidades esenciales, las infracciones más graves pueden acarrear multas de hasta 10 millones de euros o el 2 % de la facturación global del grupo, mientras que para entidades importantes las sanciones pueden llegar hasta 7 millones de euros o el 1,4 % de la facturación global.

En estos momentos, no se han visto todavía sanciones basadas en NIS2 en España, entre otros motivos porque la ley de transposición aún no está en vigor y no se ha designado formalmente a la autoridad de control. En otros Estados miembros, la transposición es reciente, por lo que todavía es pronto para observar un movimiento sancionador amplio.

Aun así, los expertos coinciden en que, cuando países como Francia o Alemania empiecen a aplicar sanciones, España no podrá quedarse atrás si quiere mantener la armonización y la credibilidad a nivel europeo. La presión de la Comisión, vía procedimientos de infracción y dictámenes motivados, va en esa línea.

Además del montante económico de las multas, NIS2 introduce por primera vez de forma tan explícita la responsabilidad de la alta dirección en materia de ciberseguridad. La desconexión entre la dirección y el CISO deja de ser una opción: el órgano de gobierno debe implicarse, estar informado y tomar las decisiones oportunas.

El gran reto, señalan especialistas como los de ISMS Forum, está en el tejido de pymes que, sin ser plenamente conscientes, quedarán obligadas por NIS2. Muchas carecen de recursos, procesos o cultura de ciberseguridad suficientes, y se verán «empujadas» tanto por la ley como por las exigencias de sus grandes clientes en la cadena de suministro, que deberán exigir garantías contractuales para poder cumplir a su vez con la Directiva.

Iniciativas de apoyo, estudios y papel del ENS

En paralelo al avance legislativo, España está impulsando iniciativas técnicas y de conocimiento para facilitar la adaptación del tejido empresarial a NIS2. ISMS Forum, por ejemplo, trabaja en un Estudio del Impacto de NIS2 en la Empresa Española, bajo la Cátedra Extraordinaria de Ciberseguridad y Protección de Datos de la UCM.

Este proyecto persigue un doble objetivo: construir un censo no oficial de empresas afectadas por NIS2 y medir su nivel de madurez en ciberseguridad. En una primera fase, se elaborará el censo utilizando bases de datos integrales (registro mercantil, DIRCE/INE, bases sectoriales, etc.), con una fecha estimada de resultados en torno a noviembre de 2025. En una segunda fase, se enviará un cuestionario breve a una muestra representativa de empresas (objetivo de 1.000 respuestas) para valorar su nivel de preparación, con resultados previstos para mayo de 2026.

El análisis incluirá segmentaciones por sector, tamaño, distribución geográfica y tipo de entidad (esencial o importante), presentando las conclusiones en un informe ejecutivo de carácter agregado, sin datos individuales, que sirva tanto a empresas como a autoridades.

Al mismo tiempo, organizaciones como ISMS Forum y distintas agencias públicas están desplegando jornadas de divulgación por todo el territorio nacional, con especial atención a las pymes. El objetivo es «evangelizar», explicar claramente qué implica NIS2, por qué es imprescindible contar con un CISO (interno o externo), cómo definir políticas básicas de ciberseguridad y cómo prepararse para la futura ley y sus normas complementarias.

En el ámbito estrictamente normativo, el Esquema Nacional de Seguridad se ha presentado en Europa como una de las grandes fortalezas españolas. La Agencia Estatal de Administración Digital y el CCN han compartido con el Grupo de Cooperación NIS2 la experiencia acumulada del ENS, sus perfiles de cumplimiento y su integración con los esquemas europeos de certificación del Reglamento (UE) 2019/881 (Cybersecurity Act). La buena acogida de esta presentación refuerza la imagen de España como actor proactivo y comprometido con una ciberseguridad robusta, coherente y armonizada.

En este contexto, la adaptación de España a NIS2 se mueve entre la presión de los plazos, la solidez técnica de instrumentos como el ENS y el reto enorme de incorporar a miles de nuevas entidades a una cultura de ciberseguridad avanzada. Las organizaciones que se adelanten, realicen diagnósticos de situación y comiencen ya a alinear sus prácticas con la Directiva estarán en mejor posición para minimizar riesgos, evitar sanciones futuras y demostrar una postura proactiva y madura frente a la ciberamenaza.