¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes, para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

El Real Decreto-ley español de transposición NIS2

La transposición española de la Directiva NIS2 se realiza mediante un Real Decreto-ley aprobado en 2024-2025, junto con la actualización del Esquema Nacional de Seguridad (ENS) recogido en el Real Decreto 311/2022. La nueva norma impone obligaciones de ciberseguridad a entidades esenciales e importantes en sectores como energía, transporte, sanidad, servicios financieros, agua potable, infraestructura digital, administración pública y espacio. La supervisión y la respuesta a incidentes corresponden principalmente al CCN-CERT (Centro Criptológico Nacional) y al INCIBE-CERT (Instituto Nacional de Ciberseguridad), junto con autoridades sectoriales.

Por qué se introdujo

El 17 de enero de 2023 entró en vigor la Directiva NIS2 (Network and Information Security 2) como sucesora de NIS1. NIS2 amplió drásticamente el alcance, de unos pocos miles a decenas de miles de organizaciones en Europa, e introdujo la responsabilidad directa del órgano de gobierno en materia de ciberseguridad. Los Estados miembros debían transponer NIS2 al derecho nacional antes del 18 de octubre de 2024.

España transpone NIS2 mediante un Real Decreto-ley aprobado en el periodo 2024-2025, cuya tramitación se ha prolongado más allá del plazo europeo y cuya finalización se está completando por fases. La norma adapta el marco anterior (Real Decreto-ley 12/2018, NIS1) y se articula con el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, que sigue siendo la referencia para el sector público.

En la práctica, las organizaciones españolas deben referirse al texto nacional vigente, no directamente a la Directiva. La Directiva puede servir como ayuda interpretativa, pero la supervisión y las sanciones se basan en la norma española y, en su caso, en el ENS.

Quién está bajo el alcance

La norma española distingue entre entidades esenciales e importantes. Las entidades esenciales están sujetas a supervisión proactiva (auditorías sin previo aviso); las entidades importantes a supervisión reactiva (intervención ante señales o tras un incidente).

Sectores esenciales: energía, transporte, banca, infraestructura del mercado financiero, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública, espacio.
Sectores importantes: servicios postales y de mensajería, gestión de residuos, fabricación y distribución de productos químicos, producción y transformación alimentaria, fabricación (maquinaria, vehículos, productos sanitarios), proveedores de servicios digitales, organizaciones de investigación.
Umbrales: con carácter general, 50+ empleados o más de €10M de facturación anual o balance. Determinadas entidades críticas (operadores de servicios esenciales, infraestructuras críticas) quedan sujetas con independencia del tamaño.

Las obligaciones principales

La transposición española recoge los tres pilares habituales de NIS2:

Gestión de riesgos. Medidas técnicas y organizativas proporcionadas: análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, gestión de vulnerabilidades, criptografía, control de accesos, autenticación multifactor y formación del personal.
Notificación de incidentes. Los incidentes significativos deben notificarse en tres fases: alerta temprana en 24 horas, informe intermedio en 72 horas, informe final en un mes. La notificación se canaliza a través del CSIRT competente (CCN-CERT, INCIBE-CERT u otro según el sector).
Obligaciones del órgano de gobierno. El consejo o equivalente debe aprobar las medidas de gestión de riesgos, supervisar su implantación y completar formación específica en ciberseguridad. La responsabilidad personal por incumplimientos graves es una consecuencia directa de NIS2.

Relación con el ENS

El Esquema Nacional de Seguridad (ENS), recogido en el Real Decreto 311/2022, sigue siendo la norma de referencia para el sector público español y para los proveedores que le prestan servicios. El ENS establece principios básicos, requisitos mínimos y un esquema de categorización (básica, media, alta) con controles asociados.

La transposición de NIS2 no sustituye al ENS, sino que se articula con él. Para las entidades del sector público y sus proveedores, el ENS sigue siendo de aplicación obligatoria, mientras que la nueva norma NIS2 añade obligaciones adicionales en materia de notificación, gobernanza y supervisión sectorial. Para el sector privado bajo NIS2, el ENS puede servir como marco de referencia técnico, aunque no sea jurídicamente vinculante fuera del sector público.

En la práctica, muchas organizaciones optan por construir un único programa de cumplimiento que cubra ENS y NIS2 de manera coordinada, aprovechando las coincidencias en controles técnicos y organizativos.

Sanciones

La transposición española se alinea con los topes europeos. Las entidades esenciales pueden enfrentarse a multas de hasta €10 millones o el 2 % de la facturación anual mundial (la cifra mayor). Para las entidades importantes, el máximo se sitúa en €7 millones o el 1,4 %.

Además de las multas, las autoridades competentes pueden emitir instrucciones vinculantes, requerir auditorías externas, suspender certificaciones y, en casos graves, suspender temporalmente a miembros del órgano de gobierno de sus funciones. La responsabilidad personal del consejo es una novedad relevante respecto al marco anterior.

En los primeros 12-18 meses tras la entrada en vigor cabe esperar un enfoque gradual centrado en demostrar progresos razonables. La obligación de formación del órgano de gobierno, sin embargo, es exigible y verificable desde el primer momento.

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página NIS2

Fuentes

FAQ

¿Cuándo se aplica?

La transposición española de NIS2 se ha aprobado por etapas en 2024-2025, mediante un Real Decreto-ley cuya entrada en vigor se ha completado por fases. La mayoría de obligaciones son plenamente exigibles desde 2025. Para detalles concretos, conviene consultar las guías publicadas por el CCN-CERT y el INCIBE.

¿Mi organización entra en el alcance?

Depende del sector y del tamaño. Umbral general: 50+ empleados o más de €10M de facturación anual o balance, en un sector designado. Las infraestructuras críticas y determinadas entidades esenciales quedan incluidas con independencia del tamaño. El INCIBE y el CCN-CERT ofrecen herramientas de autoevaluación.

¿Cuál es la relación con el ENS?

El ENS (Real Decreto 311/2022) sigue siendo obligatorio para el sector público y sus proveedores. La transposición de NIS2 se añade a este marco para los sectores cubiertos por la directiva. En la práctica, muchas organizaciones desarrollan un único programa de cumplimiento integrado para evitar duplicidades.

¿Cuál es la relación con el RGPD?

RGPD y NIS2 se solapan parcialmente pero protegen bienes distintos. El RGPD protege los datos personales; NIS2 protege la seguridad de las redes y sistemas de información. Un mismo incidente puede activar ambas obligaciones de notificación, ante la AEPD y ante el CSIRT competente. Conviene coordinar los procedimientos internos para responder a ambos requisitos.

¿Cómo empiezo?

Tres pasos: (1) determinar el alcance (sector, tamaño, clasificación como entidad esencial o importante) y designar un miembro del órgano de gobierno responsable; (2) análisis de brechas frente a las obligaciones de gestión de riesgos, notificación de incidentes y gobernanza; (3) plan de implementación priorizando la formación del órgano de gobierno (exigible de inmediato) y las medidas técnicas y organizativas.

¿Qué autoridad, CCN-CERT, INCIBE o sectorial?

El CCN-CERT es la referencia para el sector público y para infraestructuras críticas, mientras que el INCIBE-CERT atiende al sector privado y a la ciudadanía. Las autoridades sectoriales (CNMV, Banco de España, Ministerio de Sanidad, etc.) mantienen competencias específicas. Para entidades multisectoriales, conviene aclarar desde el inicio la asignación de competencias con cada autoridad implicada.