NIS2 en España: quién está obligado y qué exige la directiva
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
La Directiva (UE) 2022/2555 (NIS2) derogó la NIS original y entró en vigor en enero de 2023, con plazo de transposición al 17 de octubre de 2024. España tramita la Ley Nacional de Ciberseguridad para incorporarla al ordenamiento interno. El impacto es amplio: más sectores, más entidades y obligaciones más exigentes.
Puntos clave
- 1Afecta a entidades esenciales (≥ 250 empleados o ≥ 50 M€ de facturación) en sectores de alta criticidad
- 2Afecta también a entidades importantes (≥ 50 empleados o ≥ 10 M€) en sectores adicionales
- 3Obliga a adoptar medidas técnicas y organizativas de gestión del riesgo (art. 21)
- 4Exige notificar incidentes en 24 h (alerta) y 72 h (notificación completa)
- 5Responsabiliza personalmente a los órganos de dirección
- 6Sanciones de hasta 10 M€ o el 2 % del volumen de negocio global para entidades esenciales
Entidades esenciales e importantes: diferencias clave
NIS2 clasifica las organizaciones en dos categorías. Las entidades esenciales son grandes operadores en sectores de alta criticidad: energía, transporte, banca, sanidad, agua, infraestructuras digitales, administración pública y espacio. Las entidades importantes son organizaciones medianas en esos mismos sectores o en sectores adicionales como servicios postales, residuos, fabricación crítica y proveedores digitales.
- Energía (electricidad, gas, petróleo, calefacción urbana)
- Transporte (aéreo, ferroviario, marítimo, por carretera)
- Banca y mercados financieros
- Sanidad: hospitales, laboratorios, fabricantes de equipos médicos críticos
- Infraestructuras digitales: IXP, DNS, TLD, centros de datos, cloud, CDN
- Administración pública central y autonómica
Medidas obligatorias del artículo 21
El art. 21 exige medidas proporcionales al riesgo. Los ámbitos cubiertos son: política de gestión del riesgo, continuidad del negocio, seguridad en la cadena de suministro, control de accesos con MFA, cifrado en reposo y en tránsito, gestión de vulnerabilidades y parcheo, y formación del personal en ciberseguridad.
Plazos de notificación de incidentes significativos
NIS2 endurece los plazos respecto a la directiva anterior. Ante cualquier incidente significativo, la entidad tiene tres hitos de comunicación obligatorios con la autoridad competente (INCIBE-CERT para el sector privado, CCN-CERT para el sector público en España).
| Hito | Plazo | Contenido mínimo |
|---|---|---|
| Alerta temprana | 24 horas | Comunicar existencia del incidente y posible causa |
| Notificación | 72 horas | Evaluación inicial, gravedad, indicadores de compromiso |
| Informe final | 1 mes | Causa raíz, impacto real, medidas adoptadas y lecciones |
Próximos pasos recomendados
- 1Determina si tu organización entra en el ámbito NIS2 por tamaño, sector o función como proveedor crítico
- 2Revisa el estado de tu análisis de riesgos frente a los requisitos del art. 21
- 3Actualiza el plan de gestión de incidentes con los nuevos plazos (24 h / 72 h / 1 mes)
- 4Implica a la dirección: forma a consejeros y directivos sobre sus nuevas responsabilidades personales
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Directiva (UE) 2022/2555 — EUR-Lex — Texto oficial completo de la Directiva NIS2 en español
- INCIBE — NIS2 para empresas — Recursos e información de INCIBE sobre NIS2
- CCN-CERT — NIS2 — Recursos del Centro Criptológico Nacional sobre NIS2
- ENISA — NIS2 Implementation — Guía de implementación de ENISA para NIS2
- DSN — Ley Nacional de Ciberseguridad — Información sobre la transposición de NIS2 en España
También en NIS2