Cómo Cumplir NIS2 en España: Guía de Implementación
Plan de implementación NIS2 para CTOs y CISOs. Los 10 bloques técnicos, plazos de notificación y checklist de controles.
El 17 de octubre de 2024 era la fecha límite para que España transpusiera la directiva NIS2 a ley nacional. Estamos en febrero de 2026, la ley aún no está aprobada definitivamente, pero el trámite parlamentario va por la vía rápida. Y aunque la ley no esté formalmente en vigor, sus efectos ya se notan en el mercado.
La oportunidad está en moverse ahora. Mientras muchas empresas esperan al BOE, las que se preparen tendrán menos fricción en futuras auditorías, ventaja en RFPs y licitaciones de clientes regulados, acceso temprano a consultores y auditores (antes del colapso de última hora que se producirá cuando la ley se publique) y mejores condiciones en seguros ciber, que ya están pidiendo controles alineados con NIS2 como requisito previo.
Esta guía no es para abogados. Es para CTOs, CISOs y fundadores que necesitan saber qué hacer técnicamente y por dónde empezar.
1. Qué es NIS2 y Qué Cambia
NIS2 (Network and Information Security Directive 2) es la actualización de la NIS de 2016. Nace para armonizar la ciberseguridad en la UE, ampliar el alcance a muchos más sectores e introducir sanciones "reales" y responsabilidad personal para los directivos.
| NIS1 (2016) | NIS2 (2022) | |
|---|---|---|
| Alcance en España | ~1.000 entidades | +12.000 entidades |
| Sectores | Solo ultra críticos | 18 sectores amplios |
| Sanciones máximas | Bajas | 10M € o 2% facturación global |
| Resp. directivos | No | Sí — suspensión posible |
| Supervisión | Desigual entre países | Coordinada a nivel UE |
| Cadena de suministro | No contemplada | Obligación explícita |
En resumen: la ciberseguridad pasa de "buena práctica" a obligación legal con consecuencias reales.
2. Timeline Real en España (2026)
La NIS2 se publicó en el Diario Oficial de la UE el 14 de diciembre de 2022. La fecha límite para que los estados miembros la transpusieran era el 17 de octubre de 2024, pero España —junto con la mayoría de países de la UE— la incumplió. En enero de 2025, el Consejo de Ministros aprobó el anteproyecto de ley y la consulta pública se completó en febrero de ese mismo año. A lo largo de 2026, la tramitación parlamentaria avanza con urgencia y se espera aprobación en los próximos meses.
A fecha de febrero de 2026, el borrador ha pasado consulta pública y está en Congreso/Senado con tramitación urgente. Se espera que entre en vigor pocos meses después de publicarse en el BOE, probablemente con un período de adaptación más corto de lo habitual dada la demora acumulada.
La Comisión Europea puede sancionar a España por el retraso en la transposición, pero eso no exime a las empresas: cuando la ley entre en vigor, el nivel de exigencia será pleno desde el primer día. No habrá "período de gracia" adicional.
En cuanto a las autoridades previstas, el Centro Nacional de Ciberseguridad (CNCS) actuará como coordinador general. CCN-CERT se encargará del sector público e INCIBE-CERT del sector privado. Las autoridades sectoriales —Banco de España, CNMC, entre otras— supervisarán los sectores de su competencia.
3. A Quién Aplica NIS2 (Test Rápido)
NIS2 clasifica las organizaciones en entidades esenciales y entidades importantes. La diferencia principal es el nivel de supervisión: las esenciales están sujetas a supervisión proactiva, mientras que las importantes están sujetas a supervisión reactiva (inspección tras incidente o denuncia). Pero los requisitos técnicos son prácticamente los mismos para ambas.
Paso 1: ¿Estás en un sector cubierto?
NIS2 cubre 18 sectores amplios. Los sectores clave incluyen energía, transporte, banca, mercados financieros, salud, agua potable, aguas residuales, infraestructura digital (IXPs, DNS, TLD, cloud providers, data centers, CDNs), servicios TIC gestionados (MSP, MSSP), administración pública central, servicios postales, residuos, química, alimentación, fabricantes críticos, proveedores digitales (marketplaces, buscadores, redes sociales grandes) e investigación cuando maneja infraestructura o datos críticos.
Paso 2: ¿Superas umbrales de tamaño?
| Categoría | Empleados | Facturación | Balance |
|---|---|---|---|
| Esencial | ≥ 250 | ≥ 50M € | ≥ 43M € |
| Importante | ≥ 50 | ≥ 10M € | ≥ 10M € |
| Micro (<10 emp.) | Generalmente excluidas, con excepciones (DNS, TLD, servicios de confianza) | ||
Paso 3: ¿Eres parte de la cadena de suministro de una entidad NIS2?
Este es el paso que muchas empresas pasan por alto, y probablemente el más relevante para startups y PYMEs tecnológicas. Aunque no estés directamente en la lista, puedes estar "indirectamente obligado" si proporcionas SaaS o servicios gestionados a hospitales, bancos, utilities o cualquier entidad NIS2.
La conclusión práctica es clara: si vendes a sectores regulados, asume que te van a exigir un nivel de seguridad alineado con NIS2, aunque a ti no te inspeccione directamente el regulador. Hemos visto ya a bancos y utilities españoles enviando cuestionarios de seguridad de más de 80 preguntas a sus proveedores tecnológicos, con plazos de respuesta de semanas. Si no puedes responder adecuadamente, pierdes el contrato.
4. Qué Exige NIS2 en la Práctica (10 Bloques Técnicos)
La directiva habla el lenguaje legal, así que traduzco a "checklist ingenieril" para que puedas evaluar tu situación rápidamente.
| Bloque | Qué exige | Evidencia mínima |
|---|---|---|
| Análisis de riesgos | Inventario de activos + risk assessment anual | Matriz de riesgos documentada |
| Cadena de suministro | Evaluación de proveedores críticos | Contratos con cláusulas de seguridad |
| Gestión de incidentes | Plan de respuesta + notificación reglada | 24h / 72h / 1 mes (3 hitos) |
| Continuidad | BCP/DRP + backups inmutables | Restauración probada <6 meses |
| Vulnerabilidades | Escaneos + plazos de parcheo definidos | Críticas: <7 días, Altas: <30 días |
| SSDLC | Seguridad en el ciclo de desarrollo | SAST/DAST en CI/CD + SCA |
| Criptografía | TLS moderno + cifrado en reposo | TLS 1.2+ y KMS dedicado |
| RRHH | Formación + política de uso + altas/bajas | Registros de formación anual |
| Control de acceso | MFA + mínimo privilegio + revisión permisos | Auditoría de accesos trimestral |
| Resp. ejecutiva | Dirección aprueba estrategia + formación | Informes trimestrales al board |
5. Plan en 10 Pasos para 2026
Si crees que NIS2 te afecta —o afectará a tus clientes—, puedes seguir esta hoja de ruta para estar preparado cuando la ley entre en vigor.
Empieza confirmando si estás afectado (por sector, tamaño o tipo de clientes) y haciendo un risk assessment inicial con un inventario completo de activos. Es imposible proteger lo que no conoces, así que esta fase de descubrimiento es la base de todo lo demás.
A continuación, cataloga tus proveedores críticos y revisa los contratos para incluir cláusulas de seguridad y notificación de incidentes si no las tienen. Define y documenta tu plan de respuesta a incidentes, asegurándote de que incluye los tres hitos de notificación que exige NIS2.
1# Incidente de seguridad significativo detectado2notificación:3hito_1:4 plazo: 24 horas desde detección5 contenido: Early warning — ¿qué ha pasado? ¿es un ataque?6 destino: CSIRT competente (INCIBE-CERT o CCN-CERT)78hito_2:9 plazo: 72 horas desde detección10 contenido: Notificación detallada — alcance, impacto, medidas tomadas11 destino: CSIRT competente + autoridad supervisora1213hito_3:14 plazo: 1 mes desde detección15 contenido: Informe final — causa raíz, acciones correctivas, lecciones16 destino: CSIRT competente + autoridad supervisora1718# Comparativa con GDPR:19# GDPR: 72h única notificación a AEPD20# NIS2: 24h + 72h + 1 mes (3 hitos obligatorios)Asegura los backups, el BCP y el DRP, y prueba que las restauraciones funcionan de verdad, no solo en teoría. En paralelo, implanta MFA y SSO en todos los accesos críticos y revisa los permisos de administración para aplicar mínimo privilegio. Establece un programa de patching y gestión de vulnerabilidades con plazos definidos por criticidad. Lanza formación y concienciación de seguridad para todo el personal, incluyendo simulaciones de phishing que midan la mejora en el tiempo.
Realiza al menos un pentest o auditoría técnica seria cada 12 meses para validar que los controles implementados funcionan en la práctica, no solo en el papel.
NIS2 responsabiliza personalmente a los directivos. No pueden alegar desconocimiento. El board debe aprobar formalmente las políticas de ciberseguridad y recibir informes trimestrales de postura de seguridad.
Cómo Ayuda Vulnerabbit con NIS2
Vulnerabbit está pensado para cubrir justo la parte que NIS2 no perdona: evidencia técnica continua. Las políticas en PDF son necesarias, pero insuficientes. Los reguladores y auditores quieren ver que los controles están activos y funcionando, no que existen en un documento que nadie lee.
En cuanto al risk assessment y vulnerabilidades (art. 21), realizamos escaneos automáticos de web, APIs, cloud, DNS y SSL. Mantenemos un inventario de activos expuestos que se actualiza con cada escaneo, y priorizamos vulnerabilidades por impacto real en tu contexto, no por severidad teórica CVSS.
Para la detección de incidentes (art. 23), ofrecemos detección temprana de configuraciones inseguras y nuevos vectores de ataque, alertas inmediatas cuando aparece una nueva exposición relevante, y una línea de tiempo auditable de detección y corrección que puedes presentar a cualquier regulador como evidencia de cumplimiento.
En la cadena de suministro, analizamos servicios cloud y terceros integrados (Firebase, APIs externas, servicios SaaS críticos) para darte visibilidad sobre riesgos que no controlas directamente pero de los que eres responsable ante la directiva.
Las guías de corrección están adaptadas a tu stack (AWS, GCP, DigitalOcean, Vercel, etc.) con explicaciones en lenguaje claro para que un equipo pequeño, sin un departamento de seguridad dedicado, pueda ejecutarlas sin depender de consultores externos para cada cambio.
NIS2 no es un "tick en un Excel", es un proceso continuo. Vulnerabbit te da la parte automatizable, para que tu tiempo se dedique a decidir prioridades y gestionar riesgos, no a pelearte con logs y capturas de pantalla.
Comprueba si tu dominio es vulnerable
Nuestro escáner gratuito analiza SSL, cabeceras de seguridad, DNS y configuración de email en menos de 5 minutos. Sin instalar nada.
Lanzar Auditoría Gratuita
Escrito por
Kevin Reyes
Fundador & CEO de Vulnerabbit
Ingeniero DevSecOps con más de 7 años de experiencia en cloud security, CI/CD y automatización de infraestructura. Fundó Vulnerabbit con la misión de hacer la ciberseguridad sencilla, proactiva y accesible para startups y pymes.
LinkedInContinúa leyendo
Auditoría de Firebase para SaaS y startups: checklist en 15 puntos (2026)
Tu Firebase ya está en producción. Checklist de 15 puntos: qué auditar, con qué comando y cómo priorizar el fix. Pensado para CTOs y leads, no para reescribir la app.
Seguridad en React y Next.js: las vulnerabilidades más frecuentes en 2026
Las vulnerabilidades más explotadas en apps Next.js 15/16: errores de frontera RSC, Server Actions, fugas de secretos, SSRF, cache poisoning y mitigaciones.
Alternativas a Rapid7 InsightVM para Pymes y Startups (2026)
Rapid7 InsightVM es el estándar enterprise en gestión de vulnerabilidades, pero rara vez encaja en pymes y startups. 5 alternativas reales según escala y presupuesto.