Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/NIS2/17 de abril de 20268 min

NIS2 en España: quién está obligado y qué exige la directiva

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

La Directiva (UE) 2022/2555 (NIS2) derogó la NIS original y entró en vigor en enero de 2023, con plazo de transposición al 17 de octubre de 2024. España tramita la Ley Nacional de Ciberseguridad para incorporarla al ordenamiento interno. El impacto es amplio: más sectores, más entidades y obligaciones más exigentes.

Puntos clave

1Afecta a entidades esenciales (≥ 250 empleados o ≥ 50 M€ de facturación) en sectores de alta criticidad
2Afecta también a entidades importantes (≥ 50 empleados o ≥ 10 M€) en sectores adicionales
3Obliga a adoptar medidas técnicas y organizativas de gestión del riesgo (art. 21)
4Exige notificar incidentes en 24 h (alerta) y 72 h (notificación completa)
5Responsabiliza personalmente a los órganos de dirección
6Sanciones de hasta 10 M€ o el 2 % del volumen de negocio global para entidades esenciales

Entidades esenciales e importantes: diferencias clave

NIS2 clasifica las organizaciones en dos categorías. Las entidades esenciales son grandes operadores en sectores de alta criticidad: energía, transporte, banca, sanidad, agua, infraestructuras digitales, administración pública y espacio. Las entidades importantes son organizaciones medianas en esos mismos sectores o en sectores adicionales como servicios postales, residuos, fabricación crítica y proveedores digitales.

Energía (electricidad, gas, petróleo, calefacción urbana)
Transporte (aéreo, ferroviario, marítimo, por carretera)
Banca y mercados financieros
Sanidad: hospitales, laboratorios, fabricantes de equipos médicos críticos
Infraestructuras digitales: IXP, DNS, TLD, centros de datos, cloud, CDN
Administración pública central y autonómica

Medidas obligatorias del artículo 21

El art. 21 exige medidas proporcionales al riesgo. Los ámbitos cubiertos son: política de gestión del riesgo, continuidad del negocio, seguridad en la cadena de suministro, control de accesos con MFA, cifrado en reposo y en tránsito, gestión de vulnerabilidades y parcheo, y formación del personal en ciberseguridad.

Plazos de notificación de incidentes significativos

NIS2 endurece los plazos respecto a la directiva anterior. Ante cualquier incidente significativo, la entidad tiene tres hitos de comunicación obligatorios con la autoridad competente (INCIBE-CERT para el sector privado, CCN-CERT para el sector público en España).

Hito	Plazo	Contenido mínimo
Alerta temprana	24 horas	Comunicar existencia del incidente y posible causa
Notificación	72 horas	Evaluación inicial, gravedad, indicadores de compromiso
Informe final	1 mes	Causa raíz, impacto real, medidas adoptadas y lecciones

Próximos pasos recomendados

1Determina si tu organización entra en el ámbito NIS2 por tamaño, sector o función como proveedor crítico
2Revisa el estado de tu análisis de riesgos frente a los requisitos del art. 21
3Actualiza el plan de gestión de incidentes con los nuevos plazos (24 h / 72 h / 1 mes)
4Implica a la dirección: forma a consejeros y directivos sobre sus nuevas responsabilidades personales

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

Directiva (UE) 2022/2555 — EUR-Lex, Texto oficial completo de la Directiva NIS2 en español
INCIBE — NIS2 para empresas, Recursos e información de INCIBE sobre NIS2
CCN-CERT — NIS2, Recursos del Centro Criptológico Nacional sobre NIS2
ENISA — NIS2 Implementation, Guía de implementación de ENISA para NIS2
DSN — Ley Nacional de Ciberseguridad, Información sobre la transposición de NIS2 en España

También en NIS2

NIS2: mapa completo de sectores y entidades obligadas en España

6 min

NIS2: los tres plazos de notificación de incidentes que no puedes ignorar

5 min

NIS2 y la cadena de suministro: cómo gestionar la seguridad de tus proveedores TIC

7 min

← Volver a La Gaceta