Logo-Gigantics
nis2 directiva nis2 nis2 españa nis2 ciberseguridad

7 min read

NIS2: cómo cumplir con la nueva directiva en España

Conoce qué exige la Directiva NIS2 y cómo cumplir con sus requisitos en 2025. Identifica tus obligaciones regulatorias y refuerza la seguridad de tus entornos no productivos con un enfoque automatizado y trazable.

author-image

Sara Codarlupo

Marketing Specialist @Gigantics

La Directiva NIS2 (Directiva (UE) 2022/2555) es el nuevo marco normativo europeo destinado a garantizar un alto nivel común de ciberseguridad en la Unión Europea. Sustituye a la Directiva NIS1 y supone un punto de inflexión en la forma en que las organizaciones —tanto públicas como privadas— deben gestionar los riesgos cibernéticos.



Con su entrada en vigor el 16 de enero de 2023 y su aplicación obligatoria a partir del 18 de octubre de 2024, NIS2 impone requisitos más estrictos, amplía su ámbito de aplicación y refuerza la supervisión a nivel nacional e internacional.



En este artículo, te explicamos con detalle: qué es y qué objetivos persigue la NIS2, a qué empresas aplica, qué nuevas obligaciones impone y cómo pueden las organizaciones prepararse para garantizar su cumplimiento.




¿Qué es la Directiva NIS2?



La Directiva NIS2 (Network and Information Security 2) es una legislación de la Unión Europea que actualiza y amplía el marco legal introducido con la Directiva NIS1 en 2016. Su foco es mejorar la ciberseguridad de los servicios esenciales y digitales dentro del mercado europeo.



Fue publicada en el Diario Oficial de la UE el 27 de diciembre de 2022 y entró en vigor el 16 de enero de 2023. Los Estados miembros debían transponerla a su legislación nacional antes del 17 de octubre de 2024.



Su objetivo principal es garantizar que todas las entidades clave en Europa, especialmente las que ofrecen servicios críticos, adopten medidas adecuadas de ciberseguridad y notifiquen los incidentes relevantes en tiempo y forma.




¿Qué novedades introduce NIS2 frente a NIS1?



NIS2 representa un cambio significativo respecto a su predecesora. Estas son sus principales novedades:



1. Ampliación del ámbito de aplicación



NIS1 se limitaba a unos pocos sectores catalogados como Operadores de Servicios Esenciales (OSE) y Proveedores de Servicios Digitales (PSD). NIS2 elimina estas categorías e introduce dos nuevos niveles:


  • Entidades esenciales

  • Entidades importantes


Ambas deben cumplir con requisitos similares, pero están sujetas a diferentes regímenes de supervisión.



2. Nuevos sectores cubiertos



NIS2 amplía el listado de sectores considerados críticos e incluye nuevos subsectores:



Sectores de alta criticidad (Anexo I):


  • Energía (incluye hidrógeno y redes de recarga)

  • Transporte

  • Banca y servicios financieros

  • Salud (laboratorios, fabricantes de fármacos y dispositivos médicos)

  • Infraestructura digital (centros de datos, servicios en la nube, redes de entrega de contenido)

  • Proveedores de servicios TIC gestionados (MSP y MSSP)

  • Administración pública central y regional

  • Espacio (operadores de infraestructura terrestre)


Otros sectores críticos (Anexo II):


  • Servicios postales y de mensajería

  • Gestión de residuos

  • Industria química y alimentaria

  • Manufactura y fabricación avanzada

  • Investigación y educación crítica

  • Plataformas en línea (buscadores, marketplaces, redes sociales)


3. Endurecimiento de requisitos de seguridad



Las entidades deben implementar medidas de gestión del riesgo cibernético más alineadas con estándares como ISO/IEC 27001 o series equivalentes.



4. Nuevas obligaciones de notificación de incidentes



Se establecen plazos más exigentes:


  • Aviso temprano dentro de las 24 horas tras detectar un incidente grave.

  • Notificación inicial completa en 72 horas.

  • Informe final al mes, o bien informe de situación en caso de incidentes prolongados.


5. Refuerzo a la supervisión y las sanciones



Tanto las autoridades nacionales como la red de cooperación entre estados podrán llevar a cabo auditorías, inspecciones y sanciones:


  • Hasta 10 millones de euros o 2 % de facturación mundial (entidades esenciales)

  • Hasta 7 millones o 1,4 % de facturación mundial (entidades importantes)



¿A quién aplica la Directiva NIS2?



NIS2 se aplica a empresas medianas y grandes (a partir de 50 empleados o ≥10M€ de facturación), que operen en ámbitos considerados críticos. Las micro y pequeñas empresas quedan en principio excluidas, salvo en estos casos:


  • Si proveen, de forma exclusiva, un servicio esencial para la sociedad.

  • Si deben garantizar continuidad del servicio por cuestiones de salud pública, economía o seguridad.

  • Si operan servicios clave como infraestructuras DNS, TLD, redes electrónicas públicas o servicios de confianza.

  • Si están catalogadas como críticas por otras regulaciones europeas como la Directiva CER (Resilience of Critical Entities).


En España, el proceso de transposición está en marcha, y entidades como la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE) serán actores fundamentales del nuevo ecosistema normativo.


Directiva NIS2: Aplicación por tipo de entidad y casos especiales

Obligaciones clave de las organizaciones bajo NIS2



Las organizaciones afectadas por la Directiva NIS2 deberán asumir un conjunto de medidas organizativas, técnicas y de reporte. A continuación, desglosamos sus principales obligaciones.



1. Medidas de gestión del riesgo



Debe adoptarse un enfoque proporcional, teniendo en cuenta el nivel de riesgo, exposición, tamaño de la entidad y criticidad del servicio. Los requerimientos mínimos incluyen:


  • Políticas y análisis de riesgos en ciberseguridad

  • Planes de continuidad de negocio (copias de seguridad, recuperación ante desastres)

  • Gestión de vulnerabilidades y procedimientos de notificación

  • Seguridad en la cadena de suministro

  • Cifrado, control de acceso, autenticación multifactor

  • Formación al personal y gestión de activos

  • Ciberhigiene básica

  • Evaluación periódica de la eficacia de las medidas implantadas


2. Seguridad en la cadena de suministro y contratos



NIS2 exige que se integren cláusulas de ciberseguridad en los acuerdos con proveedores (hosting, SaaS, almacenamiento, desarrollo de software, etc.).


Las entidades deben poder evaluar la resiliencia, prácticas de seguridad e integraciones de terceros antes de contratar servicios clave.



3. Obligación de notificación de incidentes



Las entidades deben comunicar incidentes significativos conforme al siguiente cronograma:


FASEPLAZO
Alerta tempranaDentro de las 24h
Notificación inicial completaDentro de las 72h
Informe intermedio (opcional)Si lo solicita la autoridad
Informe finalA más tardar en 1 mes

El incidente puede calificarse como “significativo” si:


  • Tiene un impacto importante en la continuidad operativa.

  • Supone pérdidas económicas relevantes.

  • Afecta a terceros o interfiere en su privacidad o integridad.


4. Trazabilidad y documentación



Las empresas deberán mantener y presentar cuando se requiera:


  • Evidencias documentadas del cumplimiento (políticas, planes, informes)

  • Registros históricos de evaluaciones, auditorías e incidentes

  • Registros de formación y validación del personal técnico


¿Tus entornos no productivos cumplen con NIS2?

Gigantics te ayuda a anonimizar datos sensibles, reforzar la trazabilidad y cumplir con las exigencias de NIS2 en desarrollo, pruebas y preproducción.

🚀 Solicita una demo

Diferencia entre “entidades esenciales” y “entidades importantes”



Una de las nuevas clasificaciones de NIS2 es diferenciar entre entidades esenciales e importantes:


TIPO DE ENTIDADSECTORSUPERVISIÓNMULTAS MÁXIMAS
Entidades esencialesAnexo IProactiva y reactiva€10M o 2% facturación mundial
Entidades importantesAnexo IISolo reactiva€7M o 1.4% facturación mundial

Ambos tipos deben cumplir con las obligaciones comunes, pero las esenciales estarán bajo una vigilancia más cercana e inmediata.



Cómo prepararse para cumplir con NIS2: Checklist



Prepararse para NIS2 requiere una planificación anticipada, sobre todo para las organizaciones que operan en sectores vitales. Aquí presentamos una guía paso a paso para iniciar este proceso:


✔ 1. Identifica si tu organización está dentro del alcance de NIS2


  • ¿Cumples los baremos de tamaño (≥50 empleados o ≥10M€)?

  • ¿Tu actividad está listada en el Anexo I o II?

  • ¿Ofreces servicios esenciales de forma exclusiva dentro del territorio?


✔ 2. Evalúa tu estado actual en ciberseguridad


  • ¿Tienes políticas de ciberseguridad actualizadas?

  • ¿Cuentas con controles en redes, aplicaciones y endpoints?

  • ¿Has realizado auditorías de seguridad en los últimos 12 meses?


✔ 3. Fortalece tu gobernanza y liderazgo


  • Asegura formación especializada al management sobre NIS2.

  • Establece un comité de ciberseguridad con poder de decisión.

  • Define roles y responsabilidades en caso de incidente.


✔ 4. Refuerza tu entorno no productivo


  • Limita el uso de datos sensibles en entornos de pruebas o desarrollo.

  • Aplica control de accesos, cifrado y auditorías.

  • Considera soluciones específicas como la tokenización de datos.


✔ 5. Implanta protocolos de notificación


  • Define procedimientos para identificar, clasificar y escalar un ciberincidente.

  • Establece un canal directo con tu CSIRT nacional o autoridad competente.


Prueba Gigantics: Protege tus datos sensibles y cumple con NIS2



La Directiva NIS2 ya está en vigor, y las organizaciones deben demostrar control sobre sus datos, también en entornos no productivos. En Gigantics ayudamos a empresas como la tuya a cumplir con los requisitos de ciberseguridad mediante la identificación, clasificación y protección automatizada de datos sensibles en entornos de desarrollo, pruebas y preproducción.


¿Tu organización puede acreditar el cumplimiento de NIS2 en sus entornos no productivos?


👉 Solicita una demo personalizada y conoce cómo Gigantics puede ayudarte a reducir riesgos, reforzar la trazabilidad y cumplir con NIS2 de forma eficaz.




 FAQ sobre la Directiva NIS2



1. ¿Cuándo entra en vigor la Directiva NIS2?



La Directiva NIS2 entró en vigor el 16 de enero de 2023. Los Estados miembros debían transponerla a su legislación nacional antes del 17 de octubre de 2024. Desde esa fecha, sus disposiciones son plenamente aplicables.



2. ¿Qué empresas deben cumplir con la NIS2?



La directiva aplica a empresas medianas y grandes (≥50 empleados o ≥10M € de facturación) que operen en sectores críticos definidos en los Anexos I y II. También pueden estar incluidas pequeñas entidades que prestan servicios esenciales o críticos.



3. ¿Cómo saber si me aplica la NIS2?



Debes revisar si tu organización cumple los umbrales de tamaño y si tu actividad está incluida en los sectores mencionados por la directiva. También influye si prestas servicios esenciales o estratégicos para la economía o la seguridad pública.



4. ¿Qué obligaciones impone la NIS2?



La NIS2 exige implementar medidas de gestión del riesgo en ciberseguridad, establecer políticas claras, proteger la cadena de suministro y notificar incidentes relevantes dentro de plazos estrictos.



5. ¿Qué responsabilidades tiene la alta dirección?



Los órganos de dirección deben aprobar las medidas de ciberseguridad, supervisar su aplicación y recibir formación específica. Pueden ser sancionados por incumplimientos graves.



6. ¿Qué plazos establece NIS2 para notificar incidentes?



  • Alerta temprana: dentro de las 24 horas.

  • Notificación completa: dentro de las 72 horas.

  • Informe final: como máximo un mes después.


7. ¿Qué sanciones prevé NIS2 por incumplimiento?



Las multas pueden llegar hasta €10 millones o el 2 % del volumen de negocio mundial para entidades esenciales, y hasta €7 millones o el 1,4 % para entidades importantes.



8. ¿Qué norma española transpone la NIS2?



España ya ha iniciado la transposición de la NIS2, con participación activa de organismos como INCIBE y la AEPD. El desarrollo reglamentario final puede variar según el sector.