NIS2 dejó de ser un tema de futuro hace tiempo. Ya está transpuesta y aplicándose, y la sorpresa para muchas empresas es doble: les aplica cuando creían que no, y la responsabilidad llega directamente a la dirección, no se queda en el departamento de IT. Las sanciones son reales y los clientes empiezan a pedir evidencias de cumplimiento antes de firmar contratos.
Esta guía es un checklist práctico: cómo saber si NIS2 te aplica, qué obligaciones impone y qué tiene que demostrar tu infraestructura. No sustituye a un asesor jurídico, pero te da el mapa para no llegar en blanco a esa conversación.
NIS2 amplía mucho el alcance respecto a la directiva anterior. Distingue dos grandes categorías de entidades:
El criterio combina sector y tamaño (en general, a partir de mediana empresa: 50+ empleados o 10M€+ de facturación, con excepciones que rebajan ese umbral en sectores críticos).
| Pregunta | Implicación |
|---|---|
| ¿Operas en un sector esencial o importante? | Probablemente te aplica |
| ¿Eres mediana o gran empresa? | Refuerza la aplicación |
| ¿Eres proveedor de una entidad esencial? | Puede alcanzarte por la cadena de suministro |
| ¿Eres microempresa fuera de sectores críticos? | Probablemente exenta (verifícalo) |
El punto que pilla a muchos: la cadena de suministro. Aunque tú no seas entidad esencial, si das servicio a una que sí lo es, te exigirán cumplir por contrato. NIS2 obliga a las entidades a gestionar el riesgo de sus proveedores.
NIS2 no es una lista de tecnologías concretas; es un marco de gestión de riesgos. Se concreta en cuatro grandes obligaciones:
Medidas técnicas y organizativas proporcionadas al riesgo: control de accesos, cifrado, seguridad de redes, gestión de vulnerabilidades, continuidad de negocio.
Plazos estrictos ante un incidente significativo: alerta temprana en 24 horas, notificación más detallada en 72 horas, e informe final posterior. Esto exige tener detección y procesos listos antes de que pase algo.
El cambio cultural más importante: los órganos de gobierno deben aprobar y supervisar las medidas, y pueden ser responsables del incumplimiento. La ciberseguridad deja de ser “cosa de IT”.
Evaluar y exigir seguridad a tus proveedores. Y, si eres proveedor, prepárate para que te la exijan a ti.
Lo que tu plataforma tiene que poder demostrar. Se solapa mucho con ENS y RGPD; aquí está el subconjunto que NIS2 prioriza:
El mayor riesgo no es técnico, es de actitud: tratar NIS2 como un documento que se rellena una vez. Un auditor, o un cliente exigente, no quiere ver una política bonita; quiere ver evidencias: logs reales, un informe de restauración de backup que funcionó, un simulacro de incidente cronometrado, un acta de la dirección. Cumplir es poder demostrar control cuando alguien pregunta, no coleccionar certificados.
Buena parte de este checklist se simplifica con una infraestructura que te devuelve el control: sabes dónde están los datos, quién accede al hardware, qué versión corre cada cosa, y tienes la trazabilidad como propiedad verificable, no como promesa. Un cloud privado gestionado en la UE, con backup inmutable, Disaster Recovery probado y servicios de ciberseguridad, cubre la parte técnica del checklist de forma defendible. La parte de gobierno —que la dirección se implique— esa te toca a ti.
NIS2 te aplica si operas en un sector esencial o importante con cierto tamaño, o si eres proveedor de quien lo hace. Impone gestión de riesgos, notificación rápida, responsabilidad de la dirección y control de la cadena de suministro. La diferencia entre cumplir y no cumplir está en las evidencias, no en los documentos.
Si quieres saber si te aplica y qué te falta de este checklist, y montar la infraestructura que lo soporte, esa conversación, con tu caso concreto sobre la mesa, es la que merece la pena tener.