De NIS a NIS2: las siete novedades que cambian las reglas del juego
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
La Directiva NIS de 2016 fue el primer marco europeo unificado de ciberseguridad. Diez años después, NIS2 supone una revisión profunda: más sectores, más obligaciones, más sanciones y, sobre todo, la incorporación de la responsabilidad personal de la dirección. Si tu organización ya cumplía con NIS1, no asumas automáticamente que cumple con NIS2.
Puntos clave
- 1NIS2 más que duplica el número de sectores obligados respecto a NIS1
- 2Las sanciones pasan de ser opcionales para los Estados a un mínimo armonizado a nivel UE
- 3La dirección de la empresa (consejeros, directivos) puede ser responsabilizada personalmente
- 4Los plazos de notificación de incidentes se reducen significativamente
- 5La seguridad de la cadena de suministro pasa de recomendación a obligación
- 6Se introduce el registro obligatorio ante la autoridad competente para todas las entidades
Las siete diferencias principales
La siguiente comparativa resume los cambios más relevantes para las organizaciones que ya tenían una postura de ciberseguridad bajo NIS1.
| Aspecto | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Sectores cubiertos | 7 sectores básicos | 18 sectores (Anexo I + II) |
| Umbrales de tamaño | Operadores de servicios esenciales (criterio nacional) | ≥ 250 empl. o ≥ 50 M€ (esenciales) / ≥ 50 empl. o ≥ 10 M€ (importantes) |
| Responsabilidad directiva | No prevista | Responsabilidad personal y sanción a directivos |
| Sanciones | Fijadas por cada Estado miembro | Mínimo armonizado: 10 M€ / 2% o 7 M€ / 1,4% |
| Notificación incidentes | Sin plazo armonizado | 24 h alerta + 72 h notificación + 1 mes informe |
| Cadena de suministro | No exigida explícitamente | Obligatoria (art. 21.2.d) |
| Registro ante autoridad | Opcional o nacional | Obligatorio para todas las entidades NIS2 |
¿Qué pasa con las entidades que ya cumplían NIS1?
Las organizaciones que ya cumplían con la Directiva NIS deben revisar su adecuación. El mayor esfuerzo adicional suele estar en tres áreas: extender las medidas a la cadena de suministro, actualizar el plan de respuesta a incidentes con los nuevos plazos, y formalizar la formación y responsabilidad de la dirección en materia de ciberseguridad.
Próximos pasos recomendados
- 1Realiza un análisis de brecha (gap analysis) entre tu situación actual y los requisitos NIS2
- 2Prioriza las tres áreas con mayor delta: cadena de suministro, plazos de notificación y gobernanza directiva
- 3Documenta el análisis para tenerlo disponible ante la autoridad competente
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- Directiva NIS1 (2016/1148) — EUR-Lex — Texto original de la primera Directiva NIS para comparación
- Directiva NIS2 (2022/2555) — EUR-Lex — Texto de NIS2 con los cambios respecto a NIS1
- ENISA — NIS2 explainer — Explicación de ENISA sobre las novedades de NIS2
- INCIBE — Comparativa NIS/NIS2 — Recursos comparativos de INCIBE
También en NIS2