La Directiva NIS2 (UE 2022/2555) refuerza la seguridad de las redes y sistemas de información en la Unión Europea, estableciendo un marco común para mejorar la resiliencia digital. En el caso de nuestro país estamos pendientes de la trasposición y de que el anteproyecto existente se apruebe en el Parlamento.

Desde ISMS Forum se he preparado un documento especifico Handbook NIS2 como base técnica y documental. Este dossier tiene como objetivo permitir a cada pyme identificar si su organización está obligada a adaptarse a las nuevas exigencias europeas en materia de ciberseguridad. Al mismo tiempo explica de forma sencilla cuáles son las consecuencias legales y económicas de no cumplir con NIS2.

Esta documentación, junto con los eventos dirigidos al tejido empresarial que ISMS viene desarrollando en los últimos años, tiene como objetivo ayudar a empresas privadas y organizaciones a determinar si disponen de los medios y conocimientos necesarios para identificar su nivel de riesgo y su tipología conforme a la normativa aplicable.

A lo largo de este decálogo se plantean diez cuestiones clave para comprender la necesidad de que las organizaciones apuesten por la ciberseguridad, desarrollen una cultura de cumplimiento y refuercen su resiliencia en la respuesta a incidentes. NIS2 establece obligaciones específicas para los consejos de administración, en su condición de responsables, y exige a las entidades un mayor control y diligencia sobre su cadena de suministro.

1. NIS2 no es solo cumplimiento: es gobierno corporativo del riesgo digital

La Directiva eleva la ciberseguridad al máximo nivel de responsabilidad empresarial. Va más allá de una obligación técnica, integrando la ciberseguridad en la estrategia y responsabilidad de la alta dirección, forzando una gestión proactiva del riesgo digital, implicando a los consejos de administración, y estableciendo responsabilidades personales y sanciones significativas si no se gestionan adecuadamente, transformando la seguridad en un pilar de la gobernanza empresarial.

Esta directiva exige que los órganos de gobierno (Consejos de Administración, alta dirección) se involucren directamente, aprueben medidas y se capaciten en ciberseguridad, no solo deleguen en TI. Introduce, además, un enfoque de gestión proactiva del riesgo, desplazando el modelo de la “reacción” a la “anticipación” mediante la identificación, el análisis y la mitigación continua de amenazas. Debe entenderse no solo como una obligación regulatoria, sino como una oportunidad para mejorar la madurez organizativa, reforzar la confianza del mercado, diferenciarse y fortalecer la resiliencia del negocio.

Al mismo tiempo,  la ciberseguridad deja de ser un problema técnico para convertirse en una responsabilidad compartida, afectando a toda la organización y su cadena de suministro. Introduce responsabilidades personales para los directivos y sanciones económicas elevadas (multas del 2% de la facturación global o 10 millones de euros) por incumplimiento, lo que eleva la seguridad a nivel estratégico.

2. El RSI emerge como figura clave del nuevo ecosistema NIS2

El papel del Responsable de Seguridad de la Información (RSI) en la directiva NIS2 es fundamental,sus competencias se han ampliado y van desde liderar la estrategia de ciberseguridad, supervisar la implementación de políticas y medidas técnicas, gestionar incidentes, asegurar la continuidad del negocio, y garantizar el cumplimiento normativo, siendo un interlocutor clave con las autoridades, hasta su labor en la protección de servicios esenciales y la economía digital de la UE, con responsabilidad directa desde la alta dirección. 

Se ha convertido en figura obligatoria. La NIS2 exige a entidades esenciales e importantes nombrar un RSI, quien puede ser una persona o un comité, para supervisar el cumplimiento. Al mismo tiempo la alta dirección debe supervisar al RSI y es responsable final del cumplimiento, lo que eleva la importancia estratégica de esta figura:

Papel de interlocutor con autoridades: El RSI actúa como punto de contacto principal con las autoridades nacionales de ciberseguridad.  En resumen, el RSI se convierte en el pilar central para que las organizaciones cumplan con los exigentes requisitos de NIS2, transformando la ciberseguridad de un aspecto técnico a un imperativo estratégico y legal.

3. Del CISO técnico al RSI estratégico

Las funciones de este profesional se han modificado:ejerce ahora un papel clave de liderazgo y estrategia. Elabora y supervisa la estrategia de ciberseguridad, obteniendo el respaldo de la alta dirección para asegurar los recursos necesarios. En materia de gestión de riesgos, evalúa, identifica y mitiga los riesgos en los sistemas de información, la cadena de suministro y los recursos humanos.

Respecto a la Implementación de Medidas: el RSI pone en marcha políticas de seguridad, controles de acceso, uso de criptografía, y soluciones de autenticación robustas. Sobre la gestión de incidentes:  Debe establecer procedimientos de respuesta rápida y notificar incidentes graves a las autoridades competentes (como INCIBE/CCN en España).

El RSI es clave en la continuidad del negocio: desarrolla planes de recuperación ante desastres y de gestión de crisis para asegurar la resiliencia operativa. En este sentido, es fundamental que implemente tareas de concienciación y formación, coordinando programas de capacitación para todo el personal en materia de ciberhigiene y mejores prácticas. Por último, impulsa la auditoría y el cumplimiento, evaluando la eficacia de las medidas y asegurando el cumplimiento continuo de la Directiva NIS2.

4. Clasificación correcta de la organización: el primer error crítico

En la Directiva NIS2, la diferencia clave entre una entidad esencial y una importante radica en el nivel y tipo de supervisión. Es importante que la entidad esté clasificada de manera adecuada: las esenciales (sectores críticos como energía, salud, finanzas) tienen supervisión proactiva y continua, con sanciones más altas, mientras que las importantes (otros sectores, medianas/grandes empresas) tienen supervisión a posteriori (ex-post), interviniendo solo si hay indicios de incumplimiento, aunque ambas deben aplicar las mismas medidas de ciberseguridad. 

En cuanto a las entidades esenciales, a nivel sectorial comprenden sectores de alta criticidad como energía, transporte, banca, sanidad, infraestructuras digitales, agua, etc., además de proveedores de DNS y TLD, y administración pública central. Las tareas de supervisión deben ser proactivas, continuas y preventivas, exigiendo el cumplimiento desde el inicio. En cuanto a las sanciones estas pueden ser más elevadas (hasta 10M€ o 2% facturación global). 

Por su parte, las entidades importantes, en el marco sectorial se trata de otras organizaciones medianas y grandes en los sectores listados en los anexos de NIS2 que no son esenciales. Respecto a la supervisión es a posteriori (ex-post); se actúa si se detecta un incumplimiento. Sobre las sanciones, también pueden ser significativas, aunque generalmente menores que para las esenciales (hasta 7M€ o 1.4% facturación). 

5. Conocimiento regulatorio aplicado: entender NIS2 para ejecutarla

Para entender y ejecutar la NIS2, es necesario determinar en primer lugar si resulta de aplicación (sectores críticos y medianas o grandes empresas). En este caso ISMS Forum ofrece a las organizaciones el acceso al Formulario de identificación NIS2, esta es una plataforma interactiva diseñada para facilitar la identificación preliminar de entidades afectadas por la Directiva NIS2.

A través de un formulario dinámico permite a la empresa privada o entidad pública determinar en pocos minutos si la organización está sujeta a las obligaciones legales de NIS2 para luego preparar las medidas de cumplimiento.

Si la empresa está afectada por NIS2, ésta debe implementar medidas técnicas y organizativas (gestión de riesgos, cadena de suministro, cifrado), establecer un plan de respuesta a incidentes con notificación rápida (24h), formar a su personal y auditar continuamente, ya que se centra en la gestión de riesgos, la resiliencia y la responsabilidad de la dirección.  Estos recursos constituyen una base sólida para avanzar en la planificación normativa y operativa, posicionando a la organización en un escenario de cumplimiento proactivo ante la entrada en vigor de NIS2.

6. Formación especializada como palanca de madurez

A lo largo del año, el área formativa de ISMS Forum ofrece programas focalizados en las necesidades de los CISO y responsables de seguridad de la información, con el objetivo de dar respuesta a sus retos más inmediatos. Se trata de programas online con destacados profesionales del ecosistema digital, que actúan como tutores especializados en ciberseguridad.

En 2025, ISMS Forum ha puesto en marcha dos programas clave. El primero es el curso “NIS2: Conoce y aplica el framework regulatorio de ciberseguridad”, con una duración de 10 horas. Tras una exitosa primera edición en 2024, ahora está disponible en modalidad asíncrona, lo que permite a cualquier profesional acceder a sus contenidos en el momento que mejor se adapte a su agenda. Se trata de que CISOS Y RSI construyan el cumplimiento normativo desde un conocimiento profundo de la directiva”. 

La segunda iniciativa es un programa de 20 horas centrado en la Gestión del riesgo IT en la cadena de suministro, un aspecto que cobra especial relevancia dentro del marco de obligaciones que introduce la directiva NIS2. La cadena de suministro es un punto crítico en cualquier organización y uno de los focos más habituales de ciberincidentes. ISMS Forum ha desarrollado un programa específico para ayudar a las empresas a comprender cómo deben gestionar este entorno de forma segura, junto a sus proveedores y socios. 

7. Incidentes, reporting y responsabilidad ejecutiva

La Directiva NIS2 establece para las entidades críticas y esenciales obligaciones estrictas de notificación de incidentes, que incluyen una comunicación inicial en un plazo de 24 horas, seguida de informes de seguimiento y un reporte final para los “incidentes significativos”, entendidos como aquellos con impacto relevante en la operativa o en los usuarios. Asimismo, refuerza el papel de la alta dirección en la supervisión de la ciberseguridad, vinculando la responsabilidad ejecutiva al cumplimiento del marco normativo. El régimen sancionador contempla multas proporcionales, de hasta el 2 % de la facturación global o 10 millones de euros, y otras medidas en caso de incumplimiento, en línea con el objetivo de fortalecer la resiliencia digital europea.

Sobre el concepto de incidente significativo, es uno que causa o puede causar interrupciones graves de servicios, pérdidas económicas cuantiosas, perjuicios materiales/inmateriales considerables a terceros, afecta datos sensibles/nacionales, o compromete sistemas críticos. En ese proceso notificación existe la Alerta Temprana (24h): Notificación inicial a la autoridad competente (CSIRT), junto a la Notificación Intermedia (72h): Actualización con más detalles y el Informe Final (30 días): Documento detallado del incidente, impacto y medidas.

Respecto a la Responsabilidad Ejecutiva (Alta Dirección), NIS2 establece el concepto de “supervisión activa”. La alta dirección debe aprobar medidas de gestión de riesgos, supervisar su implementación y responder por el cumplimiento.  Estos profesionales requerirán formación en ciberseguridad para los directivos. Incumplimientos graves pueden llevar a la suspensión temporal de directivos y restricciones en la actividad empresarial.

8. Evidencia, trazabilidad y defensa de la diligencia debida

Documentar la debida diligencia en NIS2 implica crear un repositorio de evidencias organizadas que demuestren la aplicación de políticas, procedimientos y controles de seguridad, incluyendo evaluaciones de riesgo, gestión de incidentes con sus notificaciones (alertas en 24h, informes en 72h/1 mes), capacitación del personal y auditorías periódicas, usando documentos como metodologías de riesgo, políticas de seguridad, registros de incidentes y logs para evidenciar la diligencia continua ante autoridades y en auditorías. 

Para justificar dicha diligencia, es necesario contar con una metodología y una tabla de evaluación de riesgos que permitan documentar la exposición al riesgo, el tamaño de la entidad y la probabilidad e impacto de los incidentes. Asimismo, debe disponerse de un documento que defina la Política de Seguridad de los Sistemas de Información (PSSI), el procedimiento de gestión de incidentes y las políticas claras sobre controles organizativos, como MFA, cifrado, copias de seguridad, firewalls, IDS/IPS y análisis de proveedores.

Adicionalmente, resulta necesario un tercer documento específico de gestión y notificación de incidentes, que permita documentar la alerta inicial (24 h), el informe de confirmación (72 h) y el informe final (1 mes).

Junto a ello, resulta recomendable documentar el compromiso de la alta dirección, mediante la recopilación de actas de reuniones y planes de concienciación. En última instancia, se trata de evidenciar el patrocinio activo de la dirección y su formación obligatoria en materia de ciberseguridad, una diferencia clave respecto al ENS. El uso de auditorías contribuye a disponer de evidencia continua del trabajo de la organización, reflejada en logs, KPIs y reportes de auditorías internas y externas. El objetivo final es documentar las pruebas de la efectividad de los controles, los planes de remediación y el cumplimiento de los plazos establecidos

9. Certificación profesional como estándar de confianza

La certificación NIS2PC (NIS2 Professional Certification), es una certificación profesional creada por el ISMS Forum para validar las competencias de profesionales que implementan y cumplen con los requisitos de la Directiva NIS2 de la Unión Europea, una normativa clave de ciberseguridad que exige a entidades esenciales y de sectores críticos reforzar sus controles de seguridad, gestionar riesgos y notificar incidentes, buscando una mayor resiliencia cibernética en la propia UE.

Esta certificación valida que el profesional comprende y aplica los requisitos operativos y de gobernanza de la Directiva NIS2. Abarca ámbitos como la gestión de incidentes, la seguridad de la cadena de suministro, el análisis de riesgos y las auditorías internas. La certificación NIS2PC  tiene una validez de cinco años y se renueva mediante la aportación de evidencias de formación continua, sin necesidad de realizar un nuevo examen.

La importancia de esta certificación profesional es notable. Desde el cumplimiento legal, ayuda a las organizaciones a cumplir con los mandatos de la Directiva NIS2, que se transpone a las legislaciones nacionales de los Estados miembros. Al mismo tiempo demuestra que los profesionales están capacitados para proteger infraestructuras críticas y servicios digitales frente a amenazas cibernéticas. Y desde el punto de vista de la armonización contribuye a un nivel común de ciberseguridad en toda la Unión Europea.

10. Hoja de ruta NIS2 centrada en personas cualificadas

La hoja de ruta para la mejora continua con NIS2 implica una evaluación inicial de brechas, la implementación de controles de seguridad (Gobernanza, Gestión de Riesgos, Cadena de Suministro, Incidentes), el establecimiento de una cultura de ciberseguridad a nivel de dirección, y el desarrollo de capacidades de respuesta a incidentes, todo ello en un ciclo constante de detección, prevención, respuesta y mejora, asegurando el cumplimiento de los estrictos plazos de notificación de incidentes y la resiliencia genera.

Tras la fase primera de evaluación y si la empresa es entidad importante o esencial hay que implementar controles claves. Se trata de impulsar la Gobernanza y Responsabilidad de la empresa integrando la ciberseguridad en la estrategia de la empresa, con responsabilidades claras a nivel de dirección. Junto a ello se realizan evaluaciones de riesgos cibernéticos y de la cadena de suministro, así como implementar políticas de seguridad que cubran entornos físicos y lógicos y establecimiento de planes robustos de continuidad y recuperación ante incidentes. 

La NIS2 no es un fin en sí mismo, sino un camino hacia una mayor ciberresiliencia, al reforzar la capacidad de las organizaciones y de la Unión Europea para resistir y recuperarse frente a ciberataques. La Directiva promueve la mejora continua y una respuesta estructurada a los incidentes. Esta evolución impulsa una cultura de ciberseguridad basada en la concienciación y la prevención en toda la organización, apoyada en la realización de auditorías periódicas y en la verificación regular de los controles y de los planes de respuesta.

Como resumen final, hay que señalar que cumplir con NIS2 ofrece un gran valor más allá de evitar sanciones y responsabilidades para directivos, transformando la ciberseguridad en una ventaja competitiva al mejorar la madurez organizacional, la confianza del mercado, la reputación, la preparación ante incidentes y facilitar la cooperación transfronteriza, elevando la resiliencia digital de toda la UE y alineando la seguridad con los objetivos de negocio.

En definitiva, NIS2 impulsa a las organizaciones a transformar el riesgo en oportunidad y reforzar su resiliencia, invirtiendo en seguridad para asegurar su continuidad, competitividad y crecimiento en un entorno digital cada vez más complejo.