Cómo cumplir NIS2 en España: guía práctica para el responsable de seguridad (2025)

¿Te aplica NIS2? Los criterios definitivos

NIS2 distingue entre entidades esenciales (Anexo I) y entidades importantes (Anexo II). Los criterios cuantitativos son: más de 250 empleados o más de 50 millones de euros de facturación para esenciales; más de 50 empleados o más de 10 millones para importantes. Pero hay excepciones: algunas entidades están sujetas independientemente de su tamaño (operadores de infraestructuras críticas, prestadores de servicios de confianza, registros de dominio, etc.).

Las 10 medidas técnicas y organizativas del art. 21 NIS2

El artículo 21 NIS2 exige medidas «adecuadas y proporcionadas» para gestionar los riesgos. No fija controles exactos, pero enumera 10 áreas mínimas. La proporcionalidad se evalúa en función del tamaño, la exposición al riesgo y el impacto potencial de un incidente. Los organismos de supervisión (CCN, INCIBE) pueden requerir evidencias de implementación durante una inspección.

• 1. Análisis de riesgos y políticas de seguridad de los sistemas de información
• 2. Gestión de incidentes: detección, respuesta, recuperación y lecciones aprendidas
• 3. Continuidad de negocio: copias de seguridad, planes de recuperación, gestión de crisis
• 4. Seguridad de la cadena de suministro: evaluación de proveedores TIC críticos
• 5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas (SDLC seguro)
• 6. Procedimientos para evaluar la eficacia de las medidas de gestión de riesgos
• 7. Formación y concienciación en ciberseguridad para toda la plantilla
• 8. Políticas de criptografía y cifrado para datos en tránsito y en reposo
• 9. Seguridad de RRHH, control de accesos y gestión de activos
• 10. Autenticación multifactor (MFA) o autenticación continua en accesos críticos

Notificación de incidentes: los tres plazos que no puedes ignorar

El sistema de notificación NIS2 es escalonado. El primer nivel —alerta temprana— no exige información completa: basta con notificar que ha ocurrido un incidente que podría ser significativo. La notificación de 72 horas debe incluir ya una evaluación de gravedad, indicadores de compromiso y, si se sospecha, el origen. El informe final de un mes cierra el ciclo con el análisis de causa raíz y las medidas correctoras adoptadas.

• Alerta temprana (24h): canal directo al CERT competente (CCN-CERT o INCIBE-CERT según el tipo de entidad)
• Notificación de incidente (72h): descripción, impacto estimado, indicadores de compromiso
• Informe intermedio: a petición del CERT o autoridad supervisora
• Informe final (1 mes): causa raíz, impacto real, medidas correctoras, lecciones aprendidas
• Nota: si el incidente también implica datos personales, notificar a la AEPD en paralelo (art. 33 RGPD)

Quién supervisa NIS2 en España según tu tipo de empresa

La supervisión en España no recae en un único organismo: depende del sector y del impacto potencial de la entidad. El CCN-CERT supervisa las Administraciones Públicas y los operadores esenciales del sector privado de muy alto impacto. INCIBE supervisa el resto del sector privado. El CNPIC coordina con ambos para entidades que también son operadores críticos bajo la Ley 8/2011.

• Administraciones Públicas y operadores esenciales de alto impacto: CCN-CERT (cert@ccn-cert.cni.es)
• Sector privado (resto): INCIBE-CERT (incidencias@incibe-cert.es, teléfono 017)
• Operadores críticos (LPIC): CNPIC como punto de contacto adicional
• Sector financiero: Banco de España y CNMV como organismos sectoriales de enlace
• Telecomunicaciones: CNMC como organismo sectorial de enlace