La directiva NIS2 no llego con mucho ruido en Espana, pero sus obligaciones son reales y las sanciones tambien. El problema es que muchas empresas no saben si les aplica, que tienen que hacer exactamente o cuanto va a costarles. Esta guia lo aclara.
Que implica la consultoria NIS2
La consultoria NIS2 no es una certificacion que obtienes y enmarcas. Es un proceso continuo de implantacion y mantenimiento de medidas de ciberseguridad que la directiva exige a las entidades afectadas.
A diferencia de ISO 27001, donde el objetivo final es un certificado emitido por una entidad acreditada, NIS2 funciona mediante registro y supervision por autoridades competentes. En Espana, el INCIBE (para entidades privadas del sector privado) y el CCN (para administraciones y entidades publicas) seran los organismos de supervision cuando entre en vigor la ley nacional.
Lo que implica en la practica una consultoria NIS2:
- Determinar si tu empresa esta obligada y en que categoria (entidad critica o importante).
- GAP analysis frente a los requisitos del articulo 21 de NIS2.
- Implantar las medidas de seguridad tecnicas y organizativas requeridas.
- Establecer el proceso de notificacion de incidentes (24h aviso inicial, 72h informe completo, 30 dias informe final).
- Gestionar la cadena de suministro: evaluar y documentar la seguridad de proveedores criticos.
- Registrarse ante la autoridad competente cuando el registro sea obligatorio.
- Formarr al organo de gobierno en ciberseguridad (NIS2 responsabiliza directamente a los consejos de administracion).
Quien esta obligado: entidades criticas e importantes
NIS2 clasifica a las organizaciones en dos categorias segun su sector e impacto potencial:
| Categoria | Sectores incluidos | Sancion maxima |
|---|---|---|
| Entidades criticas (alta criticidad) | Energia, transporte, banca, mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestion servicios IT, administracion publica, espacio | 10M EUR o 2% facturacion global |
| Entidades importantes | Servicios postales y de mensajeria, gestion de residuos, fabricacion critica (quimicos, medicos, electronica, maquinaria), alimentacion, proveedores digitales (marketplaces, buscadores, redes sociales) | 7M EUR o 1,4% facturacion global |
El umbral de tamano general es mas de 50 empleados o mas de 10 millones de euros de facturacion en sectores afectados. Las microempresas (menos de 10 empleados y menos de 2 millones de euros) quedan exentas salvo casos especificos.
Ojo con el sector sanitario: Hospitales, clinicas, laboratorios de diagnostico, fabricantes de dispositivos medicos y empresas farmaceuticas estan directamente en el perimetro de NIS2 como entidades criticas. Si tu empresa opera en sanidad o farmacia, no hay duda: NIS2 te aplica.
Que exige NIS2 tecnicamente
El articulo 21 de NIS2 enumera las medidas que deben implantar las entidades afectadas. No es una lista cerrada sino un marco de referencia que la autoridad supervisora interpretara en funcion del sector y el riesgo:
Marco documentado de gestion de riesgos adaptado al perfil de amenaza del sector. No vale un documento generico: debe reflejar los riesgos especificos de la organizacion y estar actualizado.
Proceso de deteccion, respuesta y notificacion de incidentes. NIS2 establece plazos muy concretos: aviso inicial a la autoridad en 24 horas, informe completo en 72 horas, informe final en 30 dias. Incumplir estos plazos es sancionable independientemente del incidente en si.
Planes de contingencia probados y actualizados. No basta con tenerlos escritos: NIS2 espera que hayan sido ejercitados y que los resultados esten documentados.
Evaluacion de la seguridad de proveedores y subcontratistas que tengan acceso a sistemas o datos criticos. Uno de los aspectos mas complejos de NIS2: implica revisar contratos, realizar cuestionarios de seguridad a proveedores y en algunos casos realizar auditorias.
Practicas de seguridad por diseno en el ciclo de vida del software. Gestion de vulnerabilidades, pruebas de seguridad regulares (lo que convierte el pentesting en practicamente obligatorio para entidades NIS2).
Gestion de identidades, autenticacion multifactor (MFA) obligatoria para accesos a sistemas criticos, cifrado de datos en transito y reposo.
NIS2 responsabiliza directamente a los organos de gobierno (consejos de administracion, directivos) de la ciberseguridad de la organizacion. Exige que los miembros de estos organos reciban formacion especifica y que la aprueben para empleados en general.
Cuanto cuesta cumplir con NIS2
| Tamano empresa | Punto de partida | Coste orientativo primer ano | Mantenimiento anual |
|---|---|---|---|
| 50-150 empleados | Sin controles previos | 20.000 - 40.000 EUR | 8.000 - 15.000 EUR |
| 50-150 empleados | Con ISO 27001 implantada | 10.000 - 20.000 EUR | 5.000 - 10.000 EUR |
| 150-500 empleados | Sin controles previos | 35.000 - 70.000 EUR | 15.000 - 30.000 EUR |
| 150-500 empleados | Con ISO 27001 implantada | 15.000 - 35.000 EUR | 8.000 - 18.000 EUR |
Comparalo con las sanciones: El coste de cumplimiento para una empresa mediana es 20.000-40.000 EUR. La sancion maxima por incumplimiento para una entidad critica es 10.000.000 EUR o el 2% de la facturacion global. Si tu empresa factura 10 millones, la sancion maxima seria 200.000 EUR. El ROI del cumplimiento es evidente.
Desglose por partidas (referencia empresa 100 empleados, sector sanitario, sin base previa)
| Partida | Rango | Notas |
|---|---|---|
| GAP analysis NIS2 | 3.000 - 6.000 EUR | Evaluacion del estado actual vs. articulo 21 NIS2 y guias ENISA |
| Consultoria de implantacion | 12.000 - 20.000 EUR | Politicas, procedimientos, controles tecnicos, cadena de suministro |
| Pentest y evaluacion tecnica | 5.000 - 10.000 EUR | Requerido por NIS2 art. 21. Incluye test de infraestructura y aplicaciones criticas |
| Formacion del equipo directivo | 2.000 - 5.000 EUR | Obligatoria para el organo de gobierno segun NIS2. Bonificable con FUNDAE |
| Herramientas (SIEM, EDR, MFA) | 5.000 - 15.000 EUR/ano | Dependiendo de herramientas ya disponibles. Puede reducirse con soluciones cloud |
| Registro ante autoridad competente | 0 - 2.000 EUR | El tramite en si es gratuito; el coste es de preparacion de documentacion |
El proceso de cumplimiento NIS2 paso a paso
No todas las empresas en sectores afectados estan obligadas. El primer paso es analizar si tu empresa supera los umbrales de tamano y si el sector de actividad esta dentro del perimetro de la directiva. La categoria (critica o importante) determina el nivel de obligaciones y las sanciones maximas.
Evaluacion de las medidas de seguridad existentes frente a los requisitos de NIS2. El resultado es un mapa de brechas priorizado por riesgo: que controles faltan, que procesos no estan documentados, que areas requieren inversion tecnica.
Con las brechas identificadas, se define un plan de cierre priorizado por impacto y riesgo. No todo hay que hacerlo a la vez: se puede arrancar por los controles de mayor riesgo y distribuir el resto en un horizonte de 12-18 meses.
Implementacion de las medidas del plan de accion: MFA, gestion de vulnerabilidades, SIEM, politicas de acceso, cifrado, planes de continuidad, procedimientos de notificacion de incidentes, evaluacion de proveedores.
NIS2 es explicita: los directivos deben aprobar las medidas de ciberseguridad y recibir formacion especifica. Esta formacion es bonificable con credito FUNDAE. La formacion general para empleados en ciberseguridad tambien aplica.
Una vez en vigor la ley espanola, las entidades afectadas deberan registrarse ante el organismo supervisor correspondiente (INCIBE para sector privado, CCN para publico) y notificar cambios significativos en su actividad.
NIS2 no es un proyecto puntual. Exige supervision continua de la postura de seguridad, revision periodica de riesgos, actualizacion de politicas y repeticion de evaluaciones tecnicas (pentesting anual como minimo).
Plazos: cuando entra en vigor NIS2 en Espana
La directiva NIS2 tenia como fecha limite de transposicion el 17 de octubre de 2024. Espana no la cumplio. El borrador de la Ley de Coordinacion y Gobernanza de la Ciberseguridad esta en tramitacion parlamentaria, pero sin fecha definitiva de aprobacion a marzo de 2026.
El retraso no elimina el riesgo. La directiva es de aplicacion directa en materias en las que los Estados miembros no pueden derogar sus obligaciones. Ademas, la Comision Europea puede abrir procedimientos de infraccion contra Espana por el retraso, lo que podria acelerar la aprobacion de la ley nacional en cualquier momento. Esperar a que "este definitiva" es una estrategia de alto riesgo.
El consejo practico: arrancar el proceso de cumplimiento ahora. Las empresas que ya tengan ISO 27001 o que hayan iniciado el proceso tendran una posicion muy ventajosa cuando la ley entre en vigor. Las que no hayan empezado tendran un plazo de transicion corto y probablemente insuficiente para hacer todo desde cero.
NIS2, ISO 27001 y ENS: como se relacionan
| NIS2 | ISO 27001 | ENS | |
|---|---|---|---|
| Tipo | Directiva UE obligatoria | Norma internacional voluntaria | Marco normativo espanol obligatorio |
| Quien | Sectores criticos privados y publicos | Cualquier organizacion | AAPP y sus proveedores digitales |
| Certificacion | No. Registro + supervision autoridad | Si. Certificado por entidad acreditada | Si. Certificado por entidad acreditada ENAC |
| Solapamiento con NIS2 | - | 60-70% de controles compartidos | 50-60% de controles compartidos |
La estrategia mas eficiente para una empresa en sector critico que tambien trabaja con el sector publico: implantar ISO 27001 primero (base tecnica comun), certificar ENS usando ese SGSI como base, y completar los requisitos especificos de NIS2 sobre esa estructura ya construida. Tres marcos de cumplimiento, un solo proceso organizado.
Evaluacion NIS2 gratuita
Si no tienes claro si NIS2 aplica a tu empresa, en que categoria entras o cuanto falta para cumplir, hacemos una evaluacion inicial sin coste. En una sesion: ambito de aplicacion, GAP basico y presupuesto orientativo.
Solicitar evaluacion gratuitaPreguntas frecuentes
Cuanto cuesta cumplir con NIS2?
Para una empresa mediana de 50-150 empleados en sector critico sin controles previos, el rango orientativo es 20.000-40.000 EUR en el primer ano. Con ISO 27001 ya implantada, puede reducirse a 10.000-20.000 EUR. El mantenimiento anual posterior suele ser entre 8.000 y 15.000 EUR.
Mi empresa esta obligada por NIS2?
Depende del sector y del tamano. Si tu empresa tiene mas de 50 empleados o mas de 10 millones de euros de facturacion y opera en sectores como sanidad, banca, energia, transporte, infraestructura digital o administracion publica, es muy probable que si. El primer paso es determinar la categoria exacta.
Cuando entra en vigor NIS2 en Espana?
La transposicion debia estar lista en octubre de 2024. Espana va con retraso. El borrador de la ley esta en tramitacion parlamentaria a marzo de 2026, sin fecha definitiva. Pero el retraso no elimina la obligacion: la directiva tiene efecto directo en muchos aspectos y la ley puede aprobarse en cualquier momento.
ISO 27001 es suficiente para NIS2?
No, pero cubre el 60-70% del trabajo. ISO 27001 no incluye los requisitos especificos de NIS2: notificacion de incidentes en 24/72 horas, responsabilidad del organo de gobierno, registro ante autoridad competente y gestion especifica de cadena de suministro. Pero si ya tienes ISO 27001, el trabajo restante es significativamente menor.
Que pasa si no cumplo con NIS2?
Las sanciones para entidades criticas llegan hasta 10 millones de euros o el 2% de la facturacion global anual (la cifra que sea mayor). Para entidades importantes: hasta 7 millones o el 1,4% de la facturacion. Ademas, NIS2 establece responsabilidad personal de los directivos en casos de negligencia grave.