Skip to main content
HashnodeReguliaRegulia

Command Palette

Search for a command to run...

NIS2 en España 2026: Qué Tienes Que Hacer Antes de la Transposición

Updated
5 min read
NIS2 en España 2026: Qué Tienes Que Hacer Antes de la Transposición
D
Diego Torres

La Directiva NIS2 (2022/2555) entró en vigor el 17 de octubre de 2024. España tenía 24 meses para transponerla. El plazo se cumplió. España no lo ha hecho.

Esto es lo que está pasando, a quién afecta, y qué puedes hacer ahora.

El estado actual (marzo 2026)

El Consejo de Ministros aprobó el borrador de Ley NIS2 en enero de 2025. Está en el Congreso pero no se ha aprobado. La Comisión Europea ya ha enviado a España (junto a otros 18 Estados miembros) un dictamen motivado por el retraso en la transposición.

La transposición final se espera para 2026. Cuando ocurra, las primeras auditorías NIS2 en España podrían comenzar en cuestión de meses.

El problema: la mayoría de empresas afectadas no lo saben. Y cuando la ley se publique, el calendario de cumplimiento será agresivo.

A quién afecta NIS2 en España

NIS2 cubre dos categorías de entidades:

Entidades Esenciales (supervisión estricta)

  • Energía (electricidad, petróleo, gas)
  • Transporte (aéreo, ferroviario, marítimo, carretera)
  • Banca e infraestructuras de mercado financiero
  • Salud (hospitales, laboratorios, farmacéuticas)
  • Agua potable y residual
  • Infraestructura digital (DNS, IXP, data centers, cloud)
  • Administración pública
  • Espacio

Entidades Importantes (supervisión más ligera)

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Químicos (fabricación y distribución)
  • Alimentación (producción, procesamiento, distribución)
  • Manufactura (dispositivos médicos, ordenadores, electrónica, maquinaria, automoción)
  • Proveedores digitales (mercados online, motores de búsqueda, redes sociales)
  • Investigación

El umbral de tamaño

Aplica a empresas con 50+ empleados O 10M€+ de facturación en los sectores listados.

Caso importante: NIS2 no aplica solo a empresas españolas. Aplica a cualquier empresa que proporcione servicios en España, aunque esté registrada fuera del territorio.

Las obligaciones clave (Artículo 21)

NIS2 define 10 categorías de medidas de gestión de riesgos que las entidades deben implementar:

  1. Políticas de análisis de riesgos y seguridad de los sistemas de información
  2. Gestión de incidentes
  3. Continuidad del negocio (backups, disaster recovery, crisis management)
  4. Seguridad de la cadena de suministro
  5. Seguridad en la adquisición, desarrollo y mantenimiento
  6. Políticas y procedimientos para evaluar la eficacia de las medidas de ciberseguridad
  7. Higiene cibernética básica y formación
  8. Criptografía y cifrado
  9. Seguridad del personal, control de acceso, gestión de activos
  10. Uso de autenticación multifactor

La notificación de incidentes (Artículo 23)

Si sufres un incidente significativo, tienes plazos muy estrictos:

  • Alerta temprana: 24 horas desde el conocimiento del incidente
  • Notificación de incidente: 72 horas (con evaluación inicial)
  • Informe final: 1 mes después del incidente

Falta de notificación = sanciones adicionales.

Las sanciones

NIS2 establece sanciones muy superiores a NIS1:

  • Entidades esenciales: hasta 10 millones de euros o el 2% del volumen de negocios mundial, lo que sea mayor.
  • Entidades importantes: hasta 7 millones de euros o el 1,4% del volumen de negocios mundial.

Además, los directivos pueden ser personalmente responsables de las incumplimientos. Esto es nuevo y cambia drásticamente el panorama de responsabilidad corporativa.

El solapamiento con ISO 27001

Una buena noticia: ISO 27001 cubre aproximadamente el 70-75% de los requisitos de NIS2. Si ya tienes certificación ISO 27001, tu gap es relativamente pequeño.

Si no la tienes, NIS2 es una excelente excusa para empezar. El proceso de certificación te dará la infraestructura de gestión de la seguridad que NIS2 exige.

Qué puedes hacer ahora (antes de la transposición)

1. Determina si estás en scope

Revisa los sectores listados arriba. Si estás en uno de ellos Y cumples el umbral de tamaño, estás afectado.

2. Haz un gap assessment

Evalúa tu estado actual frente a las 10 categorías del Artículo 21. Identifica los gaps.

Herramientas útiles:

  • eucompliance (open source) — aún en desarrollo el módulo NIS2, por ahora solo evaluación conceptual
  • Regulia — incluye cuestionario NIS2 completo con asignación de categorías
  • ENISA NIS2 Technical Implementation Guidance (gratuito)

3. Documenta tus políticas

NIS2 exige documentación formal de:

  • Política de gestión de riesgos
  • Procedimiento de respuesta a incidentes
  • Plan de continuidad del negocio
  • Política de control de acceso
  • Política de cifrado
  • Política de gestión de terceros (cadena de suministro)

Regulia genera borradores de estas 8 políticas con IA (revisables por humanos antes de aprobar).

4. Implementa medidas técnicas críticas

Si tuvieras que priorizar, estas son las más importantes:

  • Autenticación multifactor en todos los accesos administrativos
  • Gestión de incidentes con playbook escrito y equipo asignado
  • Backups testados (no vale tenerlos, hay que probar restauraciones)
  • Parches de seguridad al día en todos los sistemas
  • Logging centralizado para detección y respuesta

5. Haz un inventario de proveedores críticos

Artículo 21.2.d requiere seguridad de la cadena de suministro. Necesitas saber:

  • Qué proveedores acceden a tus sistemas o datos
  • Qué nivel de criticidad tienen
  • Si tienen certificación (ISO 27001, SOC 2)
  • Si hay acuerdos de procesamiento de datos firmados

6. Forma a tu equipo directivo

Los directivos son personalmente responsables. Necesitan entender NIS2 a nivel ejecutivo, no solo técnico. Formación obligatoria en ciberseguridad para el consejo.

Recursos oficiales

Siguiente paso

Si quieres una evaluación automatizada de tu estado NIS2 con dashboard, checklist por categoría, y generador de políticas con IA:

  • Regulia — plataforma SaaS €149/mes con NIS2 + EAA + AI Act en un solo sitio
  • eucompliance — toolkit open source (aún sin módulo NIS2, pero puedes contribuir)

Si prefieres hacerlo manualmente, descarga el Artículo 21 y el Artículo 23 del texto oficial, y ponte a trabajar.

El tiempo se está acabando. Cuando España publique la ley, el calendario será corto.

Regulia es una plataforma de compliance europeo open source para PYMEs. Prueba el escáner gratuito o contribuye en GitHub.

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

R

Regulia

9 posts

The EU compliance blog for SMEs. Articles about EAA accessibility, NIS2 cybersecurity, AI Act governance, and the open source tools that power it all.