Cómo Cumplir NIS2 en España: Guía de Implementación

Plan de implementación NIS2 para CTOs y CISOs. Los 10 bloques técnicos, plazos de notificación y checklist de controles.

K
Kevin Reyes
10 min de lectura

El 17 de octubre de 2024 era la fecha límite para que España transpusiera la directiva NIS2 a ley nacional. Estamos en febrero de 2026, la ley aún no está aprobada definitivamente, pero el trámite parlamentario va por la vía rápida. Y aunque la ley no esté formalmente en vigor, sus efectos ya se notan en el mercado.

La oportunidad está en moverse ahora. Mientras muchas empresas esperan al BOE, las que se preparen tendrán menos fricción en futuras auditorías, ventaja en RFPs y licitaciones de clientes regulados, acceso temprano a consultores y auditores (antes del colapso de última hora que se producirá cuando la ley se publique) y mejores condiciones en seguros ciber, que ya están pidiendo controles alineados con NIS2 como requisito previo.

Esta guía no es para abogados. Es para CTOs, CISOs y fundadores que necesitan saber qué hacer técnicamente y por dónde empezar.


1. Qué es NIS2 y Qué Cambia

NIS2 (Network and Information Security Directive 2) es la actualización de la NIS de 2016. Nace para armonizar la ciberseguridad en la UE, ampliar el alcance a muchos más sectores e introducir sanciones "reales" y responsabilidad personal para los directivos.

NIS1 (2016)NIS2 (2022)
Alcance en España~1.000 entidades+12.000 entidades
SectoresSolo ultra críticos18 sectores amplios
Sanciones máximasBajas10M € o 2% facturación global
Resp. directivosNoSí — suspensión posible
SupervisiónDesigual entre paísesCoordinada a nivel UE
Cadena de suministroNo contempladaObligación explícita

En resumen: la ciberseguridad pasa de "buena práctica" a obligación legal con consecuencias reales.


2. Timeline Real en España (2026)

La NIS2 se publicó en el Diario Oficial de la UE el 14 de diciembre de 2022. La fecha límite para que los estados miembros la transpusieran era el 17 de octubre de 2024, pero España —junto con la mayoría de países de la UE— la incumplió. En enero de 2025, el Consejo de Ministros aprobó el anteproyecto de ley y la consulta pública se completó en febrero de ese mismo año. A lo largo de 2026, la tramitación parlamentaria avanza con urgencia y se espera aprobación en los próximos meses.

A fecha de febrero de 2026, el borrador ha pasado consulta pública y está en Congreso/Senado con tramitación urgente. Se espera que entre en vigor pocos meses después de publicarse en el BOE, probablemente con un período de adaptación más corto de lo habitual dada la demora acumulada.

La Comisión Europea puede sancionar a España por el retraso en la transposición, pero eso no exime a las empresas: cuando la ley entre en vigor, el nivel de exigencia será pleno desde el primer día. No habrá "período de gracia" adicional.

En cuanto a las autoridades previstas, el Centro Nacional de Ciberseguridad (CNCS) actuará como coordinador general. CCN-CERT se encargará del sector público e INCIBE-CERT del sector privado. Las autoridades sectoriales —Banco de España, CNMC, entre otras— supervisarán los sectores de su competencia.


3. A Quién Aplica NIS2 (Test Rápido)

NIS2 clasifica las organizaciones en entidades esenciales y entidades importantes. La diferencia principal es el nivel de supervisión: las esenciales están sujetas a supervisión proactiva, mientras que las importantes están sujetas a supervisión reactiva (inspección tras incidente o denuncia). Pero los requisitos técnicos son prácticamente los mismos para ambas.

Paso 1: ¿Estás en un sector cubierto?

NIS2 cubre 18 sectores amplios. Los sectores clave incluyen energía, transporte, banca, mercados financieros, salud, agua potable, aguas residuales, infraestructura digital (IXPs, DNS, TLD, cloud providers, data centers, CDNs), servicios TIC gestionados (MSP, MSSP), administración pública central, servicios postales, residuos, química, alimentación, fabricantes críticos, proveedores digitales (marketplaces, buscadores, redes sociales grandes) e investigación cuando maneja infraestructura o datos críticos.

Paso 2: ¿Superas umbrales de tamaño?

CategoríaEmpleadosFacturaciónBalance
Esencial≥ 250≥ 50M €≥ 43M €
Importante≥ 50≥ 10M €≥ 10M €
Micro (<10 emp.)Generalmente excluidas, con excepciones (DNS, TLD, servicios de confianza)

Paso 3: ¿Eres parte de la cadena de suministro de una entidad NIS2?

Este es el paso que muchas empresas pasan por alto, y probablemente el más relevante para startups y PYMEs tecnológicas. Aunque no estés directamente en la lista, puedes estar "indirectamente obligado" si proporcionas SaaS o servicios gestionados a hospitales, bancos, utilities o cualquier entidad NIS2.

La conclusión práctica es clara: si vendes a sectores regulados, asume que te van a exigir un nivel de seguridad alineado con NIS2, aunque a ti no te inspeccione directamente el regulador. Hemos visto ya a bancos y utilities españoles enviando cuestionarios de seguridad de más de 80 preguntas a sus proveedores tecnológicos, con plazos de respuesta de semanas. Si no puedes responder adecuadamente, pierdes el contrato.


4. Qué Exige NIS2 en la Práctica (10 Bloques Técnicos)

La directiva habla el lenguaje legal, así que traduzco a "checklist ingenieril" para que puedas evaluar tu situación rápidamente.

BloqueQué exigeEvidencia mínima
Análisis de riesgosInventario de activos + risk assessment anualMatriz de riesgos documentada
Cadena de suministroEvaluación de proveedores críticosContratos con cláusulas de seguridad
Gestión de incidentesPlan de respuesta + notificación reglada24h / 72h / 1 mes (3 hitos)
ContinuidadBCP/DRP + backups inmutablesRestauración probada <6 meses
VulnerabilidadesEscaneos + plazos de parcheo definidosCríticas: <7 días, Altas: <30 días
SSDLCSeguridad en el ciclo de desarrolloSAST/DAST en CI/CD + SCA
CriptografíaTLS moderno + cifrado en reposoTLS 1.2+ y KMS dedicado
RRHHFormación + política de uso + altas/bajasRegistros de formación anual
Control de accesoMFA + mínimo privilegio + revisión permisosAuditoría de accesos trimestral
Resp. ejecutivaDirección aprueba estrategia + formaciónInformes trimestrales al board

5. Plan en 10 Pasos para 2026

Si crees que NIS2 te afecta —o afectará a tus clientes—, puedes seguir esta hoja de ruta para estar preparado cuando la ley entre en vigor.

Empieza confirmando si estás afectado (por sector, tamaño o tipo de clientes) y haciendo un risk assessment inicial con un inventario completo de activos. Es imposible proteger lo que no conoces, así que esta fase de descubrimiento es la base de todo lo demás.

A continuación, cataloga tus proveedores críticos y revisa los contratos para incluir cláusulas de seguridad y notificación de incidentes si no las tienen. Define y documenta tu plan de respuesta a incidentes, asegurándote de que incluye los tres hitos de notificación que exige NIS2.

Plazos de notificación NIS2 — Los 3 hitos obligatorios
1# Incidente de seguridad significativo detectado
2notificación:
3hito_1:
4 plazo: 24 horas desde detección
5 contenido: Early warning — ¿qué ha pasado? ¿es un ataque?
6 destino: CSIRT competente (INCIBE-CERT o CCN-CERT)
7
8hito_2:
9 plazo: 72 horas desde detección
10 contenido: Notificación detallada — alcance, impacto, medidas tomadas
11 destino: CSIRT competente + autoridad supervisora
12
13hito_3:
14 plazo: 1 mes desde detección
15 contenido: Informe final — causa raíz, acciones correctivas, lecciones
16 destino: CSIRT competente + autoridad supervisora
17
18# Comparativa con GDPR:
19# GDPR: 72h única notificación a AEPD
20# NIS2: 24h + 72h + 1 mes (3 hitos obligatorios)

Asegura los backups, el BCP y el DRP, y prueba que las restauraciones funcionan de verdad, no solo en teoría. En paralelo, implanta MFA y SSO en todos los accesos críticos y revisa los permisos de administración para aplicar mínimo privilegio. Establece un programa de patching y gestión de vulnerabilidades con plazos definidos por criticidad. Lanza formación y concienciación de seguridad para todo el personal, incluyendo simulaciones de phishing que midan la mejora en el tiempo.

Realiza al menos un pentest o auditoría técnica seria cada 12 meses para validar que los controles implementados funcionan en la práctica, no solo en el papel.

NIS2 responsabiliza personalmente a los directivos. No pueden alegar desconocimiento. El board debe aprobar formalmente las políticas de ciberseguridad y recibir informes trimestrales de postura de seguridad.


Cómo Ayuda Vulnerabbit con NIS2

Vulnerabbit está pensado para cubrir justo la parte que NIS2 no perdona: evidencia técnica continua. Las políticas en PDF son necesarias, pero insuficientes. Los reguladores y auditores quieren ver que los controles están activos y funcionando, no que existen en un documento que nadie lee.

En cuanto al risk assessment y vulnerabilidades (art. 21), realizamos escaneos automáticos de web, APIs, cloud, DNS y SSL. Mantenemos un inventario de activos expuestos que se actualiza con cada escaneo, y priorizamos vulnerabilidades por impacto real en tu contexto, no por severidad teórica CVSS.

Para la detección de incidentes (art. 23), ofrecemos detección temprana de configuraciones inseguras y nuevos vectores de ataque, alertas inmediatas cuando aparece una nueva exposición relevante, y una línea de tiempo auditable de detección y corrección que puedes presentar a cualquier regulador como evidencia de cumplimiento.

En la cadena de suministro, analizamos servicios cloud y terceros integrados (Firebase, APIs externas, servicios SaaS críticos) para darte visibilidad sobre riesgos que no controlas directamente pero de los que eres responsable ante la directiva.

Las guías de corrección están adaptadas a tu stack (AWS, GCP, DigitalOcean, Vercel, etc.) con explicaciones en lenguaje claro para que un equipo pequeño, sin un departamento de seguridad dedicado, pueda ejecutarlas sin depender de consultores externos para cada cambio.

NIS2 Compliance Report — mi-empresa ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Análisis de riesgos ████████░░ 80% Gestión de vulnerabilidades ██████████ 100% Control de acceso ██████░░░░ 60% Criptografía (TLS/cifrado) ██████████ 100% Continuidad de negocio ████░░░░░░ 40% ⚠️ Cadena de suministro ██████░░░░ 60% Próximas acciones recomendadas: → Probar restauración de backups (último test: hace 8 meses) → Activar MFA en 3 cuentas admin pendientes → Añadir cláusulas de seguridad a contrato con proveedor X

NIS2 no es un "tick en un Excel", es un proceso continuo. Vulnerabbit te da la parte automatizable, para que tu tiempo se dedique a decidir prioridades y gestionar riesgos, no a pelearte con logs y capturas de pantalla.

Comprueba si tu dominio es vulnerable

Nuestro escáner gratuito analiza SSL, cabeceras de seguridad, DNS y configuración de email en menos de 5 minutos. Sin instalar nada.

Lanzar Auditoría Gratuita
Kevin Reyes

Escrito por

Kevin Reyes

Fundador & CEO de Vulnerabbit

Ingeniero DevSecOps con más de 7 años de experiencia en cloud security, CI/CD y automatización de infraestructura. Fundó Vulnerabbit con la misión de hacer la ciberseguridad sencilla, proactiva y accesible para startups y pymes.

LinkedIn
Escanea tu dominio gratis