La Directiva NIS2 sobre la protección de redes y sistemas de información (Directiva (UE) 2022/2555, de 14 de diciembre de 2022) establece un marco jurídico unificado para mejorar la resiliencia y la ciberseguridad en 18 sectores críticos en toda la UE, con carácter general aplicable a medianas y grandes empresas. El sector financiero, con su normativa específica DORA, queda excluido, al ser esta última lex specialis de la primera.

Esta nueva directiva actualiza y refuerza la normativa anterior (NIS) con el objetivo de mejorar las capacidades y la coordinación en ciberseguridad en Europa. Introduce medidas de gestión de riesgos y requisitos de notificación que se extienden a un mayor número de sectores, incluido el de telecomunicaciones, que contaba con su propia normativa sectorial. Además, exige la actualización de la estrategia nacional de ciberseguridad y establece requisitos más estrictos, en particular en relación con la cadena de suministro, así como normas para el intercambio de información, la supervisión, la comunicación de incidentes y una mayor implicación y responsabilidad de la alta dirección.

Esta normativa se ha traspuesto en 14 de los 27 países. El pasado 16 de enero de 2025, España inició el proceso de trasposición mediante consulta pública del anteproyecto de ley, sobre coordinación y gobernanza de la ciberseguridad para su implementación. En este escenario, una comunidad de expertos como ISMS Forum está jugando un papel destacado. Ha colaborado en el proceso de trasposición con distintas aportaciones y, a lo largo de sus foros profesionales, siempre ha habido ponencias sobre esta directiva. Al mismo tiempo, ha desarrollado material específico sobre NIS2, como el Handbook sobre NIS2, el cuestionario de control de la cadena de suministro y el formulario de identificación de NIS2, iniciativa en línea que permite a una pyme saber si es sujeto obligado.

En la actualidad, ISMS Forum, bajo la supervisión de la subdirectora general, Beatriz García, trabaja en un ambicioso proyecto en España: el Estudio del Impacto de NIS2 en la Empresa Española. Para ello, esta investigación se anticipa a la lista oficial de entidades esenciales e importantes sujetas a NIS2 en España, con un doble objetivo: generar un censo no oficial de empresas afectadas y evaluar su nivel de preparación en ciberseguridad. La primera fase del estudio se centra en la elaboración del censo.

Contexto e implementación en España

Francisco Lázaro, CISO y DPO de Renfe y miembro del Board de ISMS Forum, ha sido uno de los impulsores del grupo de trabajo de NIS2 dentro de la comunidad. En eventos recientes, como el II Foro Regional de Andalucía, explicó los detalles de esta directiva aún no traspuesta en nuestro país. En el plano legislativo, aclara que la Directiva NIS2 fue aprobada por la Unión Europea en noviembre de 2022 y entró en vigor el 16 de enero de 2023. Sin embargo, España aún no ha completado su trasposición a la legislación nacional, a pesar de que la fecha límite era el 17 de octubre de 2024. Por lo tanto, las empresas españolas afectadas deben comenzar a prepararse y alinear sus medidas de seguridad con los requisitos de la Directiva, aunque la ley no esté todavía en vigor en el país. España se arriesga a ser sancionada por el retraso.

“Mientras no se trasponga, no hay obligación para las empresas de cumplir con su articulado; por eso los operadores esenciales seguimos rigiéndonos por la trasposición de la NIS. De hecho, las notificaciones se hacen respecto al RD 12/2018 y al RD 43/2021 (trasposición de la NIS y reglamento que la desarrolla). Un aspecto importante en relación con la exigencia en el cumplimiento es que, hasta el momento, no se ha sancionado a ninguna empresa ni los operadores han sentido presión por parte de la autoridad de control (la Oficina de Coordinación de Ciberseguridad —OCC) para su cumplimiento. La responsabilidad de los operadores ha sido el motor de exigencia”, comenta.

Recuerda que, en la trasposición de NIS, se incluyó, a petición de ISMS Forum, la obligación de nombrar un CISO (responsable de seguridad de la información) en los operadores de servicios esenciales. De las cerca de 400 organizaciones designadas por la OCC como operadores esenciales, un número importante nunca llegó a designar este perfil y, sin embargo, no fueron sancionadas.

En cuanto al marco actual, el 14 de enero de 2025 el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que servirá para transponer NIS2. Posteriormente se celebró una consulta pública en la que ISMS Forum presentó propuestas motivadas de modificación, coincidentes con otras asociaciones como AUTELSI y con otros interesados, como vocales sectoriales en la mesa de Ciberseguridad de los operadores de servicios esenciales, entre las que destacan el aumento de funciones del responsable de seguridad de la información y que este profesional no esté vinculado a la Ley de Seguridad Privada. “Otra cuestión es que, dado que las entidades públicas no pueden ser multadas administrativamente por incumplimiento, se propone emitir un apercibimiento público, sin perjuicio de otras medidas; algo equiparable a lo que prevé la LOPDGDD de Protección de Datos”, resalta.

Tras la consulta pública, el Grupo de Trabajo Técnico Interministerial ha elaborado el documento final, pendiente de elevar al Consejo de Ministros. “Sabemos que el borrador ha sido consolidado con todos nuestros comentarios admitidos. Tras su aprobación, el texto se convertirá en proyecto de ley y pasará a las Cortes para su aprobación. Se habla de noviembre para el Consejo de Ministros y de finales de enero o febrero para la aprobación parlamentaria”, apunta Lázaro. La ley creará el Centro Nacional de Ciberseguridad (CNC) para coordinar la protección de redes y sistemas de información, con funciones como dotar de criterios comunes a las distintas autoridades de control (Interior, Defensa y Transformación Digital). El CNC impulsará la creación de equipos de respuesta a incidentes (CSIRT).

Comparativa con NIS

Respecto a la comparativa de sectores en el alcance con la directiva NIS, Lázaro subraya que “hay cierta confusión”. Aunque NIS2 amplía de seis a dieciocho sectores, en España el cambio es menor porque la trasposición de NIS se alineó con la Ley 8/2011 de Protección de Infraestructuras Críticas, que ya elevó a 12 los sectores. Por lo tanto, el número de sectores que añade NIS2 en España no crecerá tanto. Son nuevos, principalmente, servicios postales y de mensajería, gestión de residuos y manufacturas (con cinco subcategorías). Además, algunos se desdoblan, como aguas, que distingue entre potable y residual.

Diferente es la modificación del alcance por sujetos obligados. “Sin lugar a duda aumentarán las empresas que deberán cumplir con NIS2. Además de las entidades esenciales (antes operadores esenciales), aparece una nueva categoría con obligaciones suavizadas: las entidades importantes”, subraya. En su opinión, no debe confundirse con las entidades críticas a la luz de la próxima trasposición de la Directiva de Resiliencia de Entidades Críticas (CER), que actualiza la anterior de Infraestructuras Críticas. Los sectores bajo NIS2 se recogen en el Anexo I (sectores de alta criticidad) y en el Anexo II (otros sectores críticos). Una entidad será esencial o importante según el anexo en el que opera y su tamaño (mediana o grande).

Por ejemplo, una empresa mediana o grande que pertenezca a un sector del Anexo I (energía, salud, banca, infraestructuras digitales, transporte, aguas, administración pública, etc.) será, en principio, entidad esencial. Si tiene igual tamaño, pero opera en un sector del Anexo II, será entidad importante. “En NIS los operadores esenciales lo éramos por designación. En NIS2, una empresa (o entidad pública) será esencial o importante según sector y tamaño. Es de esperar un aumento muy significativo: de cerca de 400 operadores esenciales a entre 5.000 y 50.000 entidades entre esenciales e importantes”, recuerda.

Respecto a las obligaciones que diferencian NIS2 de NIS, Lázaro destaca el refuerzo de la supervisión por parte de la autoridad de control. “Debemos tener en cuenta que, cuando Francia o Alemania empiecen a sancionar, España no podrá quedarse atrás y tendrá que armonizarse con su entorno. Por el momento no hay multas de NIS2 en Europa”. Lázaro cree que la figura del CISO, en la que España fue pionera, tomará mayor peso en Europa: “Solo tres países introdujeron esta figura o similar, entre ellos España, donde probablemente se han definido con mayor claridad sus funciones. Ninguno de estos tres ha traspuesto todavía NIS2. Ahora otros tres Estados miembros, en el marco de sus trasposiciones, han incorporado una figura equivalente, y ninguno pertenecía al grupo inicial”.

Principales novedades de NIS2

Entre las nuevas medidas técnicas y organizativas, Lázaro destaca la cadena de suministro como una de las novedades más relevantes y que mayor esfuerzo requerirá incluso en empresas maduras. “Esta área ya aparecía en el Esquema Nacional de Seguridad (RDL 311/2022), especialmente para administraciones públicas y sus proveedores”. En España, el ENS obliga directamente a proveedores del sector público, mientras que NIS2 no convierte a la cadena de suministro en sujeto obligado: la obligación recae en la entidad esencial o importante, que debe exigir requisitos a sus proveedores mediante contrato. “Eso incrementa de forma notable el trabajo de los operadores”, recuerda.

“La gestión de incidentes es ahora más detallada: en 24 horas hay que realizar una notificación rápida. Medidas como cifrado y autenticación, ya implantadas en empresas maduras, se extienden al resto de operadores. En continuidad de negocio, NIS2 busca mayor resiliencia y capacidad de respuesta ante ciberincidentes”. Otra novedad es la responsabilidad explícita de los órganos de dirección. “El artículo 20 de NIS2 exige que los órganos de gobierno sean conscientes de su responsabilidad: aprobar medidas, formarse y responder por incumplimientos, bajo un régimen sancionador que, en casos excepcionales, podría llegar a apartar de funciones”. Desde esta perspectiva, la gobernanza y la cultura corporativa son clave. “Al combinar las obligaciones de NIS2 para los órganos de dirección con el rol del responsable de seguridad de la información de nuestra trasposición, se refuerza la necesidad de una relación fluida entre dirección y CISO”, señala.

NIS2 refuerza la gestión de vulnerabilidades: comunicación obligatoria de vulnerabilidades, junto a la notificación de incidentes. Se prevé además cooperación a través de los CSIRT gubernamentales y el CSIRT nacional de referencia para incidentes graves, que afectará a un grupo acotado de empresas.

Ecosistema de ciberseguridad nacional

Más allá de las actividades estratégicas del Foro Nacional de Ciberseguridad, la capacidad de respuesta descansa en los CSIRT. “En España contamos con csirt.es, que agrupa cerca de 50 equipos especializados, muchos pertenecen a la red internacional FIRST. Además, la Red Nacional de SOC es otro baluarte en la gestión de incidentes. Aunque estas capacidades no se detallen en la trasposición, existen y contribuyen al alto nivel de ciberseguridad esperado”. Las entidades esenciales e importantes deberán reportar al CCN-CERT los incidentes de la administración pública, empresas estratégicas y sistemas clasificados, o a los otros CERT de referencia, según normativa. “El CCN-CERT es uno de los tres CSIRT de referencia en España, junto con INCIBE-CERT para sector privado y ciudadanos, y MCCE para Defensa, y coordina los incidentes con Europa a través de ENISA”.

Según NIS2, un CSIRT es el equipo responsable de detección, análisis y respuesta a incidentes para minimizar impacto y mejorar la resiliencia. Deben estar regulados y supervisados por los Estados miembros (art. 10.1 y 10.4) y pueden colaborar con el sector privado, aunque bajo marco público. Cada país designará uno o varios CSIRT que actúan como nexo de colaboración, análisis y respuesta para PYMES y entidades esenciales y críticas. “Los CSIRT nacionales de referencia deben mejorar su coordinación entre sí, con las autoridades de control y con el CSIRT de referencia. De ahí la Ley de Coordinación y Gobernanza de la Ciberseguridad: refuerza el CNC para dar criterios comunes y mejorar la coordinación. La creación del CNC es una mejora que introduce España; al mismo tiempo, se crearán autoridades de control sectoriales”, subraya.

Sobre pymes, Lázaro advierte: “El artículo 21 impone condiciones técnicas que para empresas maduras no suponen grandes trastornos, pero las pymes sufrirán para cumplir. Deberán contar con un CISO, propio o externo, en organizaciones sin tradición ni medios en ciberseguridad. Es un salto importante”.

Sanciones y cumplimiento

Respecto al régimen sancionador de NIS2, Carlos Alberto Saiz, vicepresidente de ISMS Forum, director del Data Privacy Institute (DPI) y socio de Ecix Group (Risk, Governance & Compliance), señala que es más severo: “Las infracciones más graves pueden llegar hasta 10 millones de euros o el 2 % de la facturación global del grupo para entidades esenciales, y hasta 7 millones o el 1,4 % para entidades importantes”. Por el momento, confirma la ausencia de sanciones y expedientes: “En España no hay ley de trasposición en vigor. Hay un borrador del 14 de enero de 2025 y, hasta hoy, sin ley ni autoridad de control no puede haber sanciones”. También indica que en el resto de Estados miembros, el 51 % ya ha traspuesto frente al 49 % que no; son normas muy recientes para observar aún movimiento sancionador.

“NIS2 es muy exigente en ciberresiliencia y, especialmente, en control de la cadena de suministro. Si mañana se publicase la norma de trasposición, la mayoría de las empresas incumplirían porque no suelen disponer de procesos de homologación y auditoría periódica de todos los proveedores ni de control de terminación de servicios en los términos que exige NIS2”. Saiz recuerda que, además del montante de las multas, aparece la responsabilidad de la dirección como gran novedad: “Es la primera vez que una normativa de ciberseguridad la recoge expresamente. La dirección debe estar en contacto con su CISO. Estamos a la espera de que el anteproyecto se convierta en norma; el objetivo es elevar el nivel de ciberseguridad en entidades esenciales e importantes”.

Estudio sobre el impacto de NIS2 en la empresa

ISMS Forum lidera un proyecto para analizar el impacto de NIS2 en la empresa, a través de la Cátedra Extraordinaria sobre Ciberseguridad y Protección de Datos de la UCM. Se anticipará con un censo no oficial de empresas afectadas y una medición de su madurez en ciberseguridad, en dos etapas diferenciadas. Primero, se generará un censo de empresas españolas obligadas por NIS2 empleando bases de datos integrales (sector de actividad, trabajadores y datos financieros). La fecha estimada de presentación de resultados de esta etapa será noviembre de 2025. Después, se valorará la madurez en ciberseguridad del tejido empresarial afectado mediante un cuestionario breve (6–10 preguntas) a una muestra representativa del censo, buscando un gran volumen de respuestas (objetivo: 1.000). La fecha estimada de resultados será mayo de 2026.

El proceso incluye análisis de fuentes normativas y selección de fuentes de datos (Registro Mercantil, DIRCE/INE y bases sectoriales). Se valora el uso de Orbis (Moody’s Analytics) por su cobertura y estandarización, aunque con inconvenientes de coste, posible desactualización y dependencia de fuentes externas. La segunda fase aborda la segmentación y clasificación: aproximar empresas españolas a los sectores del Anexo I y II de NIS2 usando códigos CNAE. La tercera fase identifica entidades claves mediante análisis de excepciones: proveedores únicos y entidades de servicios esenciales cubiertas por criticidad, con independencia del tamaño. La cuarta fase construye la base de datos/censo con campos como nombre, sector, tamaño (empleados, volumen de negocio, activo), clasificación (esencial/importante) y justificación (tamaño, criticidad). A partir de ahí, análisis estadístico por sectores, tamaños y distribución geográfica. Los resultados se presentarán en un informe ejecutivo con metodología, hallazgos y recomendaciones para empresas y autoridades, y se difundirán en un evento de ISMS Forum. No se ofrecerán datos individuales; se mostrará una panorámica agregada por geografía, sector y dimensión.

Balance de este primer año

Para Lázaro, el balance del primer año de NIS2 en España es decepcionante por la falta de trasposición. “Partiendo de NIS, se podría haber traspuesto NIS2 con mayor rapidez, incorporando desarrollos que ahora irán a reglamento”. Señala que nueve países ya han traspuesto y otros están cerca; las previsiones sitúan el anteproyecto en el Consejo de Ministros en noviembre y la aprobación definitiva en el primer trimestre de 2026. “España tiene un papel relevante en ciberseguridad en Europa y grandes empresas comprometidas; el reto está en las pymes, con medios escasos para implementar su estrategia. Muchas estarán obligadas por NIS2 a definir protocolos y contar con un CISO; es algo a mejorar”, indica.

Saiz subraya que las compañías con alto nivel de ciberseguridad ya analizan el impacto de NIS2 y parten de bases sólidas, aunque la cadena de suministro añadirá carga a CISOs y equipos. “El problema está en las miles de pymes: muchas estarán sujetas y no son conscientes de NIS2 ni de sus obligaciones. ISMS Forum está organizando jornadas divulgativas, como la celebrada con la Agencia de Ciberseguridad de la CAM, enfocadas a este colectivo”. “Seguimos con la labor de evangelización a la pyme. Este año y el próximo habrá jornadas por todo el territorio para explicar la importancia de definir políticas, contar con un CISO respaldado por la dirección y prepararse para la trasposición de NIS2 y normas complementarias. Las obligaciones de cadena de suministro de grandes empresas empujan a sus proveedores, pequeños y grandes, a cumplir”, concluye.