Cómo cumplir NIS2 en España: guía práctica para el responsable de seguridad (2025)
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
La Directiva NIS2 (2022/2555/UE) era de transposición obligatoria antes del 17 de octubre de 2024. España trabaja en el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, pero el marco de obligaciones ya es exigible vía el Real Decreto 43/2021 y, en muchos casos, los contratos con grandes clientes ya están incorporando cláusulas NIS2. Esta guía responde las preguntas que más recibimos: ¿a quién aplica exactamente?, ¿qué medidas mínimas hay que implementar? y ¿cómo funciona la notificación de incidentes?
Puntos clave
- 1NIS2 aplica a entidades medianas (>50 empleados o >10M€) en sectores esenciales e importantes. En España se estiman entre 3.000 y 4.000 empresas afectadas.
- 2Los directivos son personalmente responsables del cumplimiento. NIS2 establece responsabilidad explícita del órgano de dirección.
- 3Los plazos de notificación son escalonados: alerta temprana en 24h, notificación formal en 72h, informe final en 1 mes.
- 4La seguridad de la cadena de suministro TIC es una obligación nueva: debes evaluar la seguridad de tus proveedores críticos.
- 5El incumplimiento puede acarrear multas de hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales.
¿Te aplica NIS2? Los criterios definitivos
NIS2 distingue entre entidades esenciales (Anexo I) y entidades importantes (Anexo II). Los criterios cuantitativos son: más de 250 empleados o más de 50 millones de euros de facturación para esenciales; más de 50 empleados o más de 10 millones para importantes. Pero hay excepciones: algunas entidades están sujetas independientemente de su tamaño (operadores de infraestructuras críticas, prestadores de servicios de confianza, registros de dominio, etc.).
| Tipo de entidad | Umbral | Ejemplos de sectores | Sanción máxima |
|---|---|---|---|
| Esencial | >250 empleados o >50M€ | Energía, banca, salud, infraestructura digital | 10M€ o 2% facturación global |
| Importante | >50 empleados o >10M€ | Servicios postales, residuos, fabricación, proveedores digitales | 7M€ o 1,4% facturación global |
| Independiente del tamaño | Por tipo de actividad | Prestadores de confianza, DNS, TLD, AAPP | Igual que esenciales |
Las 10 medidas técnicas y organizativas del art. 21 NIS2
El artículo 21 NIS2 exige medidas «adecuadas y proporcionadas» para gestionar los riesgos. No fija controles exactos, pero enumera 10 áreas mínimas. La proporcionalidad se evalúa en función del tamaño, la exposición al riesgo y el impacto potencial de un incidente. Los organismos de supervisión (CCN, INCIBE) pueden requerir evidencias de implementación durante una inspección.
- 1. Análisis de riesgos y políticas de seguridad de los sistemas de información
- 2. Gestión de incidentes: detección, respuesta, recuperación y lecciones aprendidas
- 3. Continuidad de negocio: copias de seguridad, planes de recuperación, gestión de crisis
- 4. Seguridad de la cadena de suministro: evaluación de proveedores TIC críticos
- 5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas (SDLC seguro)
- 6. Procedimientos para evaluar la eficacia de las medidas de gestión de riesgos
- 7. Formación y concienciación en ciberseguridad para toda la plantilla
- 8. Políticas de criptografía y cifrado para datos en tránsito y en reposo
- 9. Seguridad de RRHH, control de accesos y gestión de activos
- 10. Autenticación multifactor (MFA) o autenticación continua en accesos críticos
Notificación de incidentes: los tres plazos que no puedes ignorar
El sistema de notificación NIS2 es escalonado. El primer nivel —alerta temprana— no exige información completa: basta con notificar que ha ocurrido un incidente que podría ser significativo. La notificación de 72 horas debe incluir ya una evaluación de gravedad, indicadores de compromiso y, si se sospecha, el origen. El informe final de un mes cierra el ciclo con el análisis de causa raíz y las medidas correctoras adoptadas.
- Alerta temprana (24h): canal directo al CERT competente (CCN-CERT o INCIBE-CERT según el tipo de entidad)
- Notificación de incidente (72h): descripción, impacto estimado, indicadores de compromiso
- Informe intermedio: a petición del CERT o autoridad supervisora
- Informe final (1 mes): causa raíz, impacto real, medidas correctoras, lecciones aprendidas
- Nota: si el incidente también implica datos personales, notificar a la AEPD en paralelo (art. 33 RGPD)
Quién supervisa NIS2 en España según tu tipo de empresa
La supervisión en España no recae en un único organismo: depende del sector y del impacto potencial de la entidad. El CCN-CERT supervisa las Administraciones Públicas y los operadores esenciales del sector privado de muy alto impacto. INCIBE supervisa el resto del sector privado. El CNPIC coordina con ambos para entidades que también son operadores críticos bajo la Ley 8/2011.
- Administraciones Públicas y operadores esenciales de alto impacto: CCN-CERT (cert@ccn-cert.cni.es)
- Sector privado (resto): INCIBE-CERT (incidencias@incibe-cert.es, teléfono 017)
- Operadores críticos (LPIC): CNPIC como punto de contacto adicional
- Sector financiero: Banco de España y CNMV como organismos sectoriales de enlace
- Telecomunicaciones: CNMC como organismo sectorial de enlace
Próximos pasos recomendados
- 1Determinar si tu empresa entra en el ámbito de NIS2 (sectores Anexo I y II, umbrales de tamaño).
- 2Si aplica, designar un responsable de seguridad y documentar el punto de contacto con el CERT competente.
- 3Realizar un análisis de riesgos inicial y mapear las 10 medidas del art. 21 NIS2 frente a los controles actuales.
- 4Establecer el procedimiento interno de gestión de incidentes con los plazos de 24h y 72h.
- 5Revisar los contratos con proveedores TIC críticos e incluir cláusulas de seguridad y notificación de incidentes.
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Directiva NIS2 — EUR-Lex — Texto completo de la Directiva 2022/2555/UE
- CCN-CERT — Portal de ciberseguridad nacional — Centro Criptológico Nacional, supervisión NIS2 para AAPP
- INCIBE — 017 Línea de ayuda en ciberseguridad — Instituto Nacional de Ciberseguridad, supervisión para sector privado
- DSN — Anteproyecto Ley de Ciberseguridad (NIS2 ES) — Texto del anteproyecto de transposición española de NIS2
- ENISA — NIS2 Implementation Guidance — Guía técnica de ENISA para la implementación de NIS2
También en NIS2