NIS2 en España: implementación, plazos y obligaciones reales

La NIS2 no es una actualización de la NIS1, es un cambio de naturaleza jurídica que convierte la ciberseguridad en una obligación de gobierno corporativo equiparable a la prevención de blanqueo o a la seguridad de productos.

Quien lea la Directiva (UE) 2022/2555 buscando una lista cerrada de controles técnicos no la encontrará. Lo que encontrará es una arquitectura de responsabilidades, plazos de notificación medidos en horas y un régimen sancionador calibrado para llamar la atención del consejo. La transposición española, con retraso respecto al plazo del 17 de octubre de 2024 fijado por la propia Directiva, no cambia el fondo: las obligaciones aplican a un universo de entidades mucho más amplio que el que cubría la NIS1, y aplican con independencia de que la norma nacional haya completado su recorrido parlamentario en el momento de un incidente.

Boswau + Knauer observa este proceso desde la posición del fabricante de tecnología de seguridad física, no desde el despacho jurídico. Lo que sigue es una lectura operativa, escrita desde el ángulo de quien instala cámaras, robots y plataformas de videoanálisis en instalaciones que, en muchos casos, son a la vez infraestructura crítica bajo la Ley PIC y entidad esencial bajo la futura ley nacional de NIS2.

La transposición española y su calendario real

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, presentado por el Ministerio para la Transformación Digital, es el vehículo elegido para transponer la NIS2. En el momento de redactar este artículo, el texto ha pasado por información pública y se encuentra en la fase de informes preceptivos y dictamen del Consejo de Estado. La aprobación parlamentaria se espera para el primer semestre de 2026, con entrada en vigor escalonada y un periodo transitorio que permitirá a las entidades obligadas adaptarse en plazos de entre seis y dieciocho meses según la obligación concreta.

Este retraso ha generado una situación incómoda para muchos operadores. La Comisión Europea abrió en mayo de 2024 procedimiento de infracción contra España y otros veintidós Estados miembros por no transponer en plazo. El efecto directo de la Directiva sobre las obligaciones de notificación y sobre la cooperación con CSIRT nacionales se discute en sede académica, pero el efecto reputacional es claro: un operador que sufra un incidente significativo en 2026 no podrá ampararse en la ausencia de norma nacional para no notificar al INCIBE-CERT o al CCN-CERT, según el sector. Las autoridades competentes ya están aplicando criterios alineados con la Directiva, anticipando lo que la futura ley consolidará.

La arquitectura institucional que dibuja el anteproyecto reparte competencias entre el Centro Criptológico Nacional para el sector público, el INCIBE para el sector privado y los CSIRT autonómicos donde existan. La coordinación se atribuye al Consejo Nacional de Ciberseguridad. Esta arquitectura, en apariencia ordenada, plantea en la práctica preguntas de ventanilla única que los operadores con presencia multisectorial deberán resolver caso por caso. Un grupo industrial con actividad en energía, transporte y fabricación puede encontrarse reportando a tres autoridades distintas por el mismo incidente, con plazos y formatos que no están plenamente armonizados. La experiencia de los primeros meses de aplicación dirá si esta dispersión se corrige por vía de protocolos internos o si requiere una segunda intervención normativa.

El cálculo prudente para cualquier operador con sede o actividad en España es asumir que las obligaciones materiales de la NIS2 son exigibles desde ya, y que el calendario español solo afecta a los aspectos formales del régimen sancionador y a la articulación de las autoridades competentes. Esperar a la publicación en el BOE para empezar a trabajar es una estrategia que el regulador no va a premiar.

Los sectores afectados y el salto cuantitativo

La NIS1 cubría siete sectores y unos pocos miles de operadores en toda la Unión. La NIS2 amplía el perímetro a dieciocho sectores y, según las estimaciones de ENISA, multiplica por diez el número de entidades afectadas. En España, las primeras estimaciones del Ministerio apuntan a unas veinte mil entidades obligadas, repartidas entre entidades esenciales y entidades importantes, dos categorías que sustituyen a la antigua distinción entre operadores de servicios esenciales y proveedores de servicios digitales.

Las entidades esenciales son las que operan en sectores de alta criticidad: energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio. Las entidades importantes cubren sectores también críticos pero con un riesgo agregado menor: servicios postales, gestión de residuos, fabricación y distribución de productos químicos, alimentación, fabricación de productos sanitarios, fabricación de equipos informáticos y electrónicos, fabricación de maquinaria, fabricación de vehículos, proveedores de servicios digitales y organizaciones de investigación. La diferencia entre ambas categorías no está en el catálogo de obligaciones, que es prácticamente idéntico, sino en el régimen de supervisión: las esenciales están sujetas a supervisión proactiva, las importantes a supervisión reactiva tras un incidente o denuncia.

El criterio de tamaño funciona como filtro. Quedan sujetas las medianas y grandes empresas, entendidas según la Recomendación 2003/361/CE: más de cincuenta empleados o más de diez millones de euros de facturación. Pero hay excepciones donde el criterio de tamaño se levanta y la obligación se extiende también a microempresas y pequeñas empresas. Es el caso de los proveedores de redes públicas de comunicaciones electrónicas, los prestadores de servicios de confianza cualificados, los registradores de nombres de dominio de primer nivel y los proveedores de servicios DNS. También cuando la entidad es el único prestador de un servicio crítico en un Estado miembro, o cuando una interrupción podría tener un impacto significativo en la seguridad pública.

Esta extensión a entidades pequeñas en sectores específicos es relevante para el ecosistema español de pymes tecnológicas. Una empresa de quince empleados que opera un servicio DNS o que actúa como registrador acreditado entra en el perímetro con todas las obligaciones, incluidas las relativas a la responsabilidad de los órganos de dirección. La asimetría entre la dimensión de la empresa y la dimensión de la obligación es uno de los puntos que más fricción ha generado en la consulta pública, sin que el legislador haya considerado oportuno modificar el criterio.

Coordinación con la Ley PIC y el solapamiento regulatorio

España tiene desde 2011 una Ley de Protección de Infraestructuras Críticas, la Ley 8/2011, que designa operadores críticos en doce sectores estratégicos y los somete a la supervisión del CNPIC. La coexistencia entre Ley PIC y NIS2 plantea un problema de arquitectura regulatoria que ningún Estado miembro de la Unión ha resuelto con elegancia.

El criterio de delimitación que parece imponerse en el anteproyecto es funcional. La Ley PIC se ocupa de la seguridad física y de la resiliencia integral de las infraestructuras designadas como críticas. La NIS2 se ocupa de la ciberseguridad de un universo más amplio de entidades, que incluye a las críticas pero no se agota en ellas. En la práctica, un operador crítico designado bajo la Ley PIC será también, casi con certeza, entidad esencial bajo NIS2. Y un operador esencial bajo NIS2 podrá no ser operador crítico bajo la Ley PIC si la infraestructura concreta no ha sido designada por el CNPIC. La superposición funcional es importante pero no completa.

Lo que esto significa para el operador es que en muchos casos tendrá dos planes de seguridad, dos interlocutores, dos calendarios de auditoría y dos regímenes de notificación. El Plan de Seguridad del Operador y el Plan de Protección Específico, propios de la Ley PIC, conviven con las medidas de gestión de riesgos del artículo 21 de la NIS2 y con el régimen de notificación de incidentes del artículo 23. La Directiva CER, paralela a la NIS2, complica aún más el panorama al introducir obligaciones de resiliencia para entidades críticas que se transpondrán en una norma propia. El anteproyecto español intenta articular pasarelas y reconocimientos mutuos, pero la complejidad operativa para el responsable de seguridad es real.

La consecuencia práctica es que la función de seguridad en una infraestructura crítica española debe construirse hoy con una visión integrada que reconozca los tres planos. La ciberseguridad lógica, la seguridad física y la resiliencia operacional no son tres departamentos, son tres dimensiones de un mismo problema. Los sistemas que Boswau + Knauer despliega en este tipo de instalaciones se diseñan precisamente desde esta lectura: la videoanálisis basada en inteligencia artificial que detecta una intrusión perimetral en un subestación eléctrica es, al mismo tiempo, un control de seguridad física bajo la Ley PIC y un sensor de ciberseguridad bajo NIS2, en la medida en que la intrusión física puede ser el vector de un ataque a los sistemas de control industrial. Separar ambos planos en la documentación es una formalidad necesaria. Separarlos en el diseño técnico es un error.

Las obligaciones materiales y el papel del consejo

El artículo 21 de la NIS2 enumera diez áreas en las que las entidades obligadas deben adoptar medidas técnicas, operativas y organizativas. Análisis de riesgos y políticas de seguridad de los sistemas de información. Gestión de incidentes. Continuidad de negocio y gestión de crisis. Seguridad de la cadena de suministro. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas. Políticas y procedimientos para evaluar la eficacia de las medidas. Prácticas básicas de ciberhigiene y formación en ciberseguridad. Políticas sobre uso de criptografía. Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos. Uso de soluciones de autenticación multifactor y de comunicaciones seguras.

La lectura inicial de esta lista invita a la complacencia: cualquier organización con un programa de seguridad mínimamente maduro reconocerá estos epígrafes. La trampa está en el detalle. La NIS2 no se conforma con la existencia formal de políticas, exige eficacia demostrable. Y exige, en su artículo 20, que los órganos de dirección aprueben las medidas, supervisen su aplicación y respondan personalmente de los incumplimientos. La responsabilidad personal de los administradores es una de las novedades más comentadas y, en mi opinión, la que más rápidamente cambiará la conversación en los consejos.

La AEPD ha publicado orientación sobre la articulación entre NIS2 y el Reglamento General de Protección de Datos en lo que se refiere a notificación de brechas. Un incidente puede activar tres notificaciones distintas: a la autoridad competente NIS2 en veinticuatro horas para una alerta temprana y setenta y dos horas para la notificación detallada, a la AEPD en setenta y dos horas si hay datos personales afectados, y al CNPIC si la entidad es operador crítico bajo Ley PIC. Coordinar estas notificaciones sin contradicciones, en plazos que se cuentan en horas, es una capacidad operativa que pocas organizaciones tienen entrenada. El simulacro de notificación, que en muchas casas es una novedad, debería ser un ejercicio trimestral.

La seguridad de la cadena de suministro merece párrafo aparte. La NIS2 obliga a evaluar el riesgo de los proveedores directos y, en sectores específicos, también de los subproveedores. Un fabricante de tecnología de seguridad como Boswau + Knauer recibe hoy con frecuencia creciente cuestionarios de homologación que combinan exigencias de la NIS2, del Reglamento de Resiliencia Operativa Digital para el sector financiero, del Reglamento de Ciberresiliencia para productos con elementos digitales y de los esquemas de certificación del CCN-CERT como ENS. La consolidación de estos cuestionarios en un marco coherente es una tarea pendiente del legislador europeo. Mientras tanto, los proveedores serios responden con dossieres de cumplimiento estructurados por marco, y los proveedores menos serios responden con marketing.

El régimen sancionador y el cálculo económico

La NIS2 introduce un régimen sancionador que rompe con la tradición administrativa española en materia de ciberseguridad. Para entidades esenciales, las multas máximas se sitúan en diez millones de euros o el dos por ciento del volumen de negocios mundial, el importe que sea mayor. Para entidades importantes, en siete millones de euros o el uno coma cuatro por ciento. Estos umbrales, calcados del esquema del RGPD, sitúan el incumplimiento de la NIS2 en una liga económica que el consejo de administración entiende sin necesidad de traducción.

El anteproyecto español incorpora estos umbrales sin rebajarlos, como por otra parte exige la Directiva, y añade un catálogo de sanciones accesorias que incluye la suspensión temporal de certificaciones, la prohibición temporal de ejercer funciones directivas para personas físicas responsables, y la publicación de la sanción. Esta última, la sanción reputacional, suele subestimarse en el cálculo previo y sobrevalorarse en el cálculo posterior. Una empresa que aparece en el boletín del INCIBE como sancionada por deficiencias graves en su gestión de incidentes pierde contratos públicos durante años.

El cálculo económico del cumplimiento, sin embargo, no debe construirse sobre el miedo a la multa, sino sobre el coste del incidente que el cumplimiento evita. Unespa publica anualmente datos sobre coste medio de incidentes de ciberseguridad en el tejido empresarial español, y las cifras para incidentes graves en entidades medianas se sitúan entre los cuatrocientos mil y los dos millones de euros, incluyendo paralización operativa, restauración de sistemas, asistencia jurídica, notificaciones y pérdida de negocio. La multa potencial bajo NIS2 puede ser mayor, pero la frecuencia esperada de la multa es mucho menor que la frecuencia esperada del incidente. Construir el caso de inversión en seguridad sobre la base de la multa es construirlo sobre arena. Construirlo sobre la base del coste del incidente es construirlo sobre roca.

La cuestión que con más frecuencia plantean los consejos a los que tengo ocasión de exponer estos asuntos es cómo dimensionar la inversión. La respuesta honesta es que no hay un porcentaje universal del presupuesto de TI que sea el correcto. Lo que hay es una relación entre el perfil de riesgo de la entidad, la criticidad de los servicios que presta y la madurez de los controles existentes. Una auditoría de tres a cinco días, conducida por un equipo que combine competencia jurídica y técnica, produce normalmente una matriz de prioridades que separa con claridad lo que hay que hacer este trimestre, este año y este trienio. Sin esa matriz, las inversiones tienden a concentrarse en lo visible y a descuidar lo estructural.

Lo que permanece

La NIS2 es, en última instancia, una norma sobre gobierno corporativo. Su contenido técnico es relevante, pero lo que cambia el paisaje regulatorio es la responsabilidad del órgano de administración. Cuando un consejero entiende que puede responder personalmente de un incidente de ciberseguridad significativo, las conversaciones sobre presupuesto, prioridades y proveedores cambian de tono. Esta es la transformación silenciosa que la Directiva está produciendo, más allá de los plazos de transposición y de los catálogos de obligaciones.

Para el operador que opera en España, la combinación de NIS2, Ley PIC y normativa sectorial específica produce una arquitectura de cumplimiento que ya no admite gestiones improvisadas. La pregunta operativa no es si cumplir, sino cómo hacerlo con una inversión que tenga sentido económico y con una arquitectura técnica que no genere deuda futura. Para responder a esa pregunta, Boswau + Knauer propone tres vías que se describen en el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad": una conversación confidencial de sesenta minutos para situar el problema, una auditoría de tres a cinco días para producir un diagnóstico con matriz de prioridades, y un piloto de noventa días para validar arquitectura técnica antes de escalar. La auditoría es, en mi experiencia, el punto de entrada más rentable para una organización que se enfrenta por primera vez al perímetro NIS2 y que necesita una hoja de ruta defendible ante su consejo, su asegurador y su autoridad competente.

Preguntas frecuentes

¿Cuándo entra en vigor la NIS2 en España?

La Directiva (UE) 2022/2555 debía estar transpuesta el 17 de octubre de 2024. España incumplió ese plazo y la Comisión Europea abrió procedimiento de infracción en mayo de 2024. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que es el vehículo de transposición, se encuentra en fase de informes preceptivos y se espera su aprobación parlamentaria en el primer semestre de 2026. Las obligaciones materiales de la Directiva son sin embargo exigibles de facto desde octubre de 2024, ya que las autoridades competentes aplican criterios alineados con su contenido en sus actuaciones supervisoras y de respuesta a incidentes.

¿Qué sectores están afectados?

La NIS2 distingue entidades esenciales y entidades importantes en dieciocho sectores. Entre los esenciales están energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio. Entre los importantes, servicios postales, gestión de residuos, productos químicos, alimentación, fabricación de productos sanitarios, electrónica, maquinaria, vehículos, proveedores digitales e investigación. El criterio de tamaño excluye a microempresas y pequeñas empresas, salvo excepciones en proveedores DNS, servicios de confianza y otros casos críticos.

¿Cómo se coordina con la Ley PIC?

La Ley 8/2011 de Protección de Infraestructuras Críticas cubre la seguridad física y la resiliencia integral bajo supervisión del CNPIC. La NIS2 cubre la ciberseguridad de un universo más amplio bajo INCIBE y CCN-CERT según sector. Un operador crítico bajo Ley PIC será casi siempre entidad esencial bajo NIS2, con dos planes de seguridad, dos interlocutores y dos regímenes de notificación parcialmente solapados. El anteproyecto español articula pasarelas y reconocimientos mutuos, pero la complejidad operativa real exige construir la función de seguridad con visión integrada de los tres planos: ciber, físico y resiliencia.

¿Qué multas se prevén?

Para entidades esenciales, las sanciones máximas alcanzan los diez millones de euros o el dos por ciento del volumen de negocios mundial, el importe que sea mayor. Para entidades importantes, siete millones de euros o el uno coma cuatro por ciento. El anteproyecto español incorpora estos umbrales sin rebajarlos y añade sanciones accesorias como suspensión de certificaciones, prohibición temporal de ejercer funciones directivas para responsables personales y publicación de la sanción. La responsabilidad personal de los órganos de dirección, prevista en el artículo 20 de la Directiva, es probablemente el aspecto que más rápidamente cambiará el comportamiento de los consejos.