La directiva NIS 2 es la reforma más ambiciosa del marco regulatorio europeo en materia de ciberseguridad desde 2016. Adoptada el 14 de diciembre de 2022 y publicada en el Diario Oficial de la Unión Europea (Directiva (UE) 2022/2555), amplía de forma sin precedentes el perímetro de las entidades sujetas a exigencias de seguridad, refuerza las obligaciones, duplica las sanciones e introduce por primera vez una responsabilidad personal de los directivos.
La transposición a las legislaciones nacionales debía estar completada como muy tarde el 17 de octubre de 2024. Más de un año después, varios Estados miembros, entre ellos España, todavía están finalizando sus textos de transposición. En España, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad sigue su tramitación parlamentaria. Esta guía explica a quién afecta, cuáles son las obligaciones del artículo 21, en qué punto está la transposición y cómo construir tu hoja de ruta de cumplimiento.
¿Qué es la directiva NIS 2?
Directiva NIS 2 en breve
Directiva (UE) 2022/2555, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Sustituye y amplía considerablemente el marco establecido por la primera directiva NIS adoptada en 2016.
La directiva NIS 2 sucede a la directiva NIS 1 de 2016, cuyo alcance se limitaba a unos pocos cientos de Operadores de Servicios Esenciales y proveedores de Servicios Digitales. NIS 2 transforma ese perímetro restringido en un marco que potencialmente cubre decenas de miles de entidades a escala europea, con estimaciones que apuntan a varios miles de organizaciones afectadas en cada uno de los grandes Estados miembros.
NIS 2 vs NIS 1: tres cambios estructurales
- Perímetro inédito: 18 sectores cubiertos (frente a 7 bajo NIS 1), con dos categorías de entidades — esenciales e importantes — sujetas a las mismas exigencias de seguridad.
- Obligaciones armonizadas: 10 medidas mínimas obligatorias definidas en el artículo 21, aplicables a todas las entidades afectadas sin excepción.
- Responsabilidad personal: por primera vez, los miembros de la dirección son personalmente responsables del cumplimiento y pueden ser sancionados de forma individual.
¿A quién afecta la directiva NIS 2?
Entidades esenciales (11 sectores)
Las entidades esenciales operan en sectores considerados críticos para el funcionamiento de la sociedad. Están sujetas a una supervisión proactiva por parte de la autoridad nacional competente: pueden ser objeto de controles sin necesidad de un incidente previo. Las sanciones máximas alcanzan los 10 millones de euros o el 2 % de la facturación mundial.
- Energía (electricidad, gas natural, petróleo, hidrógeno)
- Transporte (aéreo, ferroviario, marítimo, fluvial, por carretera, transporte urbano)
- Sector bancario (entidades de crédito)
- Infraestructuras de los mercados financieros (centros de negociación, contrapartidas centrales)
- Sanidad (prestadores de asistencia sanitaria, laboratorios de referencia, fabricantes de productos farmacéuticos y dispositivos médicos críticos, I+D)
- Agua potable (suministradores y distribuidores)
- Aguas residuales (recogida, tratamiento y vertidos)
- Infraestructura digital (puntos de intercambio de Internet, DNS, TLD, servicios cloud, centros de datos, CDN, servicios de confianza cualificados)
- Gestión de servicios IT (proveedores de servicios gestionados y de seguridad gestionada)
- Administración pública (administración central, regional y local según los umbrales nacionales)
- Espacio (operadores de infraestructuras terrestres que apoyan servicios espaciales)
Entidades importantes (7 sectores)
Las entidades importantes están sujetas a las mismas 10 medidas de seguridad que las entidades esenciales, pero su supervisión es reactiva: la autoridad nacional competente actúa principalmente tras una notificación o incidente. Las sanciones máximas alcanzan los 7 millones de euros o el 1,4 % de la facturación mundial.
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación, producción y distribución de productos químicos
- Producción, transformación y distribución de productos alimentarios
- Fabricación (productos sanitarios, productos informáticos, electrónicos, equipos eléctricos, maquinaria, vehículos a motor)
- Proveedores digitales (mercados en línea, motores de búsqueda, redes sociales)
- Organizaciones de investigación
El criterio de tamaño: ¿quién está realmente afectado?
Operar en un sector cubierto no es suficiente: además hay que superar el umbral de tamaño. La regla general distingue tres casos:
- Gran empresa: 250 empleados o más, O facturación superior a 50 M€ y balance superior a 43 M€.
- Mediana empresa: 50 empleados o más, O facturación superior a 10 M€. Las medianas empresas en un sector cubierto están sujetas a NIS 2.
- Pequeña empresa (menos de 50 empleados, menos de 10 M€ de facturación): en principio queda excluida del perímetro NIS 2, salvo excepciones para determinadas infraestructuras críticas específicamente identificadas.
¿Te afecta NIS 2?
Estás afectado si tu organización supera al menos dos de estos tres umbrales: 50 empleados, 10 millones de euros de facturación anual, 10 millones de euros de balance total — y opera en uno de los 18 sectores cubiertos. Es el criterio establecido por la regulación europea, que será confirmado por la ley nacional de transposición.
Administraciones públicas y entidades del sector público
NIS 2 incluye explícitamente a las administraciones públicas centrales, regionales y, según los umbrales nacionales, locales en el perímetro de las entidades esenciales. Cada Estado miembro precisa qué administraciones quedan sujetas en su ley de transposición. En España, esto se articula con el Esquema Nacional de Seguridad (ENS), que ya impone un marco de seguridad obligatorio a las administraciones públicas y a sus proveedores tecnológicos. Para las administraciones ya certificadas ENS, NIS 2 supone principalmente añadir las obligaciones legales específicas (plazos de notificación, responsabilidad de los directivos) sobre una base de gestión de la seguridad ya consolidada.
ENS y NIS 2: complementarios, no equivalentes
El ENS cubre la mayor parte de los controles del artículo 21 NIS 2 mediante sus medidas de seguridad. Pero NIS 2 añade tres elementos que no figuran en el ENS: plazos legales de notificación, responsabilidad personal de los directivos y reporte directo a la autoridad nacional competente. Las administraciones y proveedores ya certificados ENS deben ampliar su programa para cubrir esas obligaciones específicas.
Entidades esenciales vs entidades importantes bajo NIS 2
Criterio: Sectores
Criterio: Supervisión
Criterio: Sanción máxima
Criterio: Responsabilidad directivos
Criterio: Medidas Artículo 21
Quiz NIS 2 en 5 preguntas: pon a prueba tus conocimientos sobre la directiva, los plazos, las sanciones y las medidas del artículo 21. Resultado personalizado según la puntuación con recomendación de formación.
NIS 2 y los subcontratistas: el impacto invisible del artículo 21(d)
Una de las preguntas más frecuentes es: «Estamos por debajo de los umbrales de tamaño — ¿realmente quedamos fuera del perímetro?» La respuesta es matizada. El artículo 21(2)(d) de la directiva impone a todas las entidades esenciales e importantes el control de la seguridad de su cadena de suministro, incluyendo a sus proveedores directos y prestadores de servicios. En la práctica, esto significa que la entidad sujeta a NIS 2 trasladará estas exigencias contractualmente a sus subcontratistas, sea cual sea su tamaño. Estar por debajo de los umbrales protege de la obligación legal directa, no de la obligación contractual impuesta por tus clientes.
Están especialmente afectados los proveedores de servicios gestionados (MSP), los integradores, los editores de software de negocio, los proveedores de hosting, los proveedores de cloud y cualquier prestador con acceso a los sistemas de información de una EE o EI. Estas organizaciones no están formalmente sujetas a NIS 2, pero serán evaluadas y auditadas contractualmente por sus clientes. El nivel de seguridad exigido — política de gestión de riesgos, procedimiento de incidentes documentado, control de acceso — se convierte en un requisito comercial, no solo regulatorio.
¿Eres proveedor de una entidad NIS 2?
Aunque tu organización esté por debajo de los umbrales de tamaño, tus clientes EE y EI deben evaluar tu nivel de seguridad. Anticiparte estructurando tu documentación (política de riesgos, procedimiento de incidentes, control de acceso) te da una ventaja comercial decisiva en concursos, licitaciones y renovaciones de contratos.
Los profesionales encargados de pilotar el cumplimiento de NIS 2 desde el lado proveedor — CISOs, responsables de compras, compliance officers — encuentran en la certificación NIS 2 Lead Implementer el referente que estructura su competencia en gestión de riesgos de terceros y seguridad de la cadena de suministro, dos ámbitos en el corazón del artículo 21(d). Para las organizaciones que gestionan numerosos proveedores, plataformas TPRM como Supplier Shield permiten estructurar y automatizar estas evaluaciones a gran escala.
El estado de la transposición de NIS 2 en 2026
La directiva NIS 2 fijaba el 17 de octubre de 2024 como fecha límite de transposición en todos los Estados miembros. En la fecha en que se actualiza esta guía (2026), un número significativo de Estados miembros, entre ellos España, todavía está finalizando su ley nacional de transposición. La Comisión Europea ha iniciado procedimientos de infracción contra los países más retrasados. En España, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad continúa su tramitación. Mientras tanto, las autoridades nacionales (en España, INCIBE-CERT y el CCN-CERT) animan firmemente a las futuras entidades sujetas a iniciar ya su preparación basándose en el marco europeo, que constituye el suelo mínimo de obligaciones.
Esta situación de transición significa que algunos umbrales sectoriales y los importes exactos de las sanciones en derecho nacional serán confirmados por la ley definitiva de cada país. No obstante, las exigencias materiales del artículo 21 son armonizadas a nivel europeo y constituyen un punto de partida estable para iniciar la preparación.
Decenas de miles de entidades afectadas en la UE
Las estimaciones europeas apuntan a varias decenas de miles de entidades cubiertas por NIS 2 en el conjunto de la Unión, frente a unos pocos cientos bajo NIS 1. La cifra exacta por país depende de los umbrales sectoriales que cada Estado miembro precise en su ley de transposición. En España, las estimaciones manejadas en los trabajos preparatorios apuntan a varios miles de entidades en los 18 sectores cubiertos.
Marcos nacionales de referencia
Cada Estado miembro completa NIS 2 con marcos técnicos nacionales. En España, el Esquema Nacional de Seguridad (ENS) proporciona ya un catálogo de medidas que cubre la mayor parte del artículo 21. En otros países existen marcos equivalentes (referenciales nacionales emitidos por las autoridades de ciberseguridad). Las organizaciones ya alineadas con su marco nacional parten con ventaja para cumplir las medidas materiales de NIS 2.
Las 10 medidas obligatorias del artículo 21
El artículo 21 de la directiva NIS 2 define las medidas mínimas que todas las entidades esenciales e importantes deben implantar. La directiva establece 10 categorías de medidas (a a j), cada una con varios subrequisitos en la práctica, que deben aplicarse de forma proporcional al perfil de riesgo, al tamaño y al sector de la organización. Estas exigencias no son recomendaciones: se verifican en los controles de la autoridad competente y su ausencia constituye un incumplimiento susceptible de sanción.
- a) Políticas relativas al análisis de riesgos y a la seguridad de los sistemas de información
- b) Gestión de incidentes (detección, notificación, respuesta y lecciones aprendidas)
- c) Continuidad de las actividades, gestión de copias de seguridad, recuperación ante desastres y gestión de crisis
- d) Seguridad de la cadena de suministro — relaciones con proveedores directos y prestadores de servicios
- e) Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información, incluyendo el tratamiento de vulnerabilidades
- f) Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos en materia de ciberseguridad
- g) Prácticas básicas de ciberhigiene y formación en ciberseguridad para todo el personal
- h) Políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado
- i) Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos
- j) Uso de soluciones de autenticación multifactor (MFA) o autenticación continua, comunicaciones seguras y sistemas de comunicación de emergencia seguros
Estas medidas son mínimos obligatorios
El artículo 21 define el suelo, no el techo. Las entidades cuyo perfil de riesgo es elevado deben generalmente ir más allá. Aplica el principio de proporcionalidad: las medidas deben adaptarse al tamaño, a la exposición a riesgos y al impacto potencial de un incidente.
Los plazos de notificación de incidentes: 24 h, 72 h, 1 mes
NIS 2 introduce plazos de notificación vinculantes que constituyen uno de los cambios operativos más importantes para los equipos de seguridad. Desde el momento en que se identifica un incidente significativo, se aplica el siguiente calendario frente a la autoridad nacional competente:
Esquema de las tres fases de notificación de incidentes que impone NIS 2: alerta temprana a las 24 horas, notificación completa a las 72 horas, informe final a 1 mes.
- Alerta temprana, 24 horas: notificación inicial a la autoridad nacional competente indicando el tipo de incidente y si se sospecha actividad maliciosa.
- Notificación completa, 72 horas: evaluación inicial de la severidad, del impacto y de los indicadores de compromiso (IoC).
- Informe final, 1 mes: causa raíz, medidas correctoras implantadas, posible impacto transfronterizo.
¿Qué es un incidente significativo?
Un incidente significativo es aquel que ha causado o puede causar perturbaciones operativas graves, pérdidas financieras importantes o daños a otras personas físicas o jurídicas. Estos plazos exigen disponer de procedimientos de respuesta a incidentes probados y de un contacto preestablecido con la autoridad nacional competente antes de que se produzca un incidente.
La responsabilidad personal de los directivos: el cambio clave
NIS 2 impone a los órganos de dirección una implicación directa en la gobernanza de la ciberseguridad, sin precedentes en la regulación europea anterior. La directiva exige que los directivos aprueben las medidas de seguridad y supervisen su implantación, con un marco de responsabilización cuyas modalidades concretas dependen de las disposiciones nacionales de transposición. Como mínimo, los miembros de la dirección deben:
- Aprobar las medidas de gestión de riesgos en materia de ciberseguridad implantadas por la entidad
- Supervisar la implantación de esas medidas y responder de cualquier incumplimiento
- Recibir formación en ciberseguridad adaptada a su rol y promover que el personal la reciba — esta obligación de formación está explícitamente recogida en la directiva
En caso de incidente significativo derivado de un incumplimiento, las autoridades competentes pueden exigir la responsabilidad personal de miembros de la dirección. En los casos graves o reiterados pueden imponerse prohibiciones temporales para ejercer funciones directivas. Esta disposición convierte NIS 2 en un asunto de gobernanza de consejo de administración. Como la directiva impone explícitamente la formación de los directivos, la formación NIS 2 Foundation es el itinerario adecuado para los decisores que deben dominar los aspectos regulatorios y las obligaciones que les incumben personalmente.
NIS 2 e ISO 27001: alineación y diferencias
Las organizaciones ya certificadas ISO 27001:2022 disponen de una ventaja significativa en su recorrido de cumplimiento de NIS 2. La mayor parte de las 10 medidas del artículo 21 tienen una correspondencia directa en cláusulas del cuerpo de la norma o en controles del Anexo A.
Correspondencia entre las medidas NIS 2 (artículo 21) e ISO 27001:2022
Medida NIS 2 (artículo 21): a) Análisis de riesgos
Medida NIS 2 (artículo 21): b) Gestión de incidentes
Medida NIS 2 (artículo 21): c) Continuidad y recuperación
Medida NIS 2 (artículo 21): d) Seguridad cadena suministro
Medida NIS 2 (artículo 21): g) Formación e higiene
Medida NIS 2 (artículo 21): h) Criptografía
Medida NIS 2 (artículo 21): i) Acceso y activos
Medida NIS 2 (artículo 21): j) MFA y autenticación
Dónde NIS 2 va más allá de ISO 27001
- Plazos legales de notificación: ISO 27001 no impone plazos de 24 h/72 h/1 mes. Estas obligaciones existen únicamente bajo NIS 2 (y RGPD para los datos personales).
- Responsabilidad personal de los directivos: ISO 27001 obliga a la organización, no a los individuos. NIS 2 crea una responsabilidad personal que va más allá del marco de la mera certificación.
- Reporte regulatorio a la autoridad nacional: ISO 27001 no contempla obligaciones de notificación a una autoridad nacional. NIS 2 introduce este vínculo directo con el regulador.
NIS 2 y el RGPD: dos regímenes distintos, un riesgo común
NIS 2 y el RGPD persiguen objetivos diferentes: NIS 2 busca la resiliencia operacional de los sistemas de información; el RGPD protege los datos personales de las personas. Pero para las organizaciones que tratan datos personales — es decir, prácticamente todas las entidades NIS 2 — un único incidente cíber puede activar simultáneamente obligaciones bajo ambos regímenes, con plazos y autoridades distintas.
Dos obligaciones de notificación distintas tras un incidente
NIS 2 (artículo 23): alerta temprana a la autoridad nacional competente en 24 horas, para todo incidente significativo en los sistemas de información. RGPD (artículo 33): notificación a la autoridad de protección de datos (en España, la AEPD) en 72 horas, únicamente si el incidente implica una violación de datos personales. Un ransomware que afecte a datos de pacientes activa ambas obligaciones en paralelo — con contenidos de notificación distintos para cada autoridad.
Los sectores más expuestos a este doble régimen son la sanidad (datos médicos), la banca y los seguros (datos financieros personales) y las administraciones públicas (datos de ciudadanos). Para estas organizaciones, los procedimientos de respuesta a incidentes deben distinguir los dos flujos desde la detección: quién notifica qué, a qué autoridad, en qué plazo. La formación NIS 2 Foundation cubre específicamente la articulación entre las obligaciones NIS 2 y los demás marcos regulatorios aplicables, incluidos el RGPD y DORA para las entidades financieras.
NIS 2 y DORA: dos regímenes complementarios
DORA — Digital Operational Resilience Act
Reglamento (UE) 2022/2554, directamente aplicable desde el 17 de enero de 2025. DORA se dirige específicamente a entidades del sector financiero (bancos, aseguradoras, proveedores de pago, plataformas de criptoactivos…) e impone exigencias reforzadas sobre la resiliencia operacional digital, los tests de penetración TIBER-EU y la gestión de los riesgos de proveedores ICT terceros. Es distinto de NIS 2 y no exime a las entidades financieras de las obligaciones NIS 2.
NIS 2 y DORA son dos regímenes distintos pero complementarios. NIS 2 establece el marco general de ciberseguridad aplicable a 18 sectores, mientras que DORA es un reglamento directamente aplicable que se dirige a las entidades financieras. Para bancos, aseguradoras y otros actores financieros, ambos se aplican simultáneamente. Los Estados miembros articulan ambos regímenes en sus marcos nacionales de transposición, pero sus perímetros y exigencias específicas siguen siendo distintos.
¿Cuánto cuesta el cumplimiento de NIS 2?
Dato ENISA — NIS Investments Report 2023
+22 %: es la subida media del presupuesto de ciberseguridad observada en las organizaciones que entran en el perímetro NIS 2 para alcanzar el cumplimiento inicial. Fuente: ENISA NIS Investments Report 2023 (enisa.europa.eu).
La experiencia de los gabinetes especializados converge en horquillas según el tamaño y la madurez de partida. Para una organización de tamaño medio (50-250 empleados) en un sector importante, partiendo sin política de seguridad formalizada, los costes de cumplimiento inicial se sitúan entre 50.000 y 200.000 euros en 18 meses. Para una gran entidad esencial con sistemas de información complejos, el presupuesto puede alcanzar varios cientos de miles de euros o varios millones, según el alcance de las medidas a implantar. Estas horquillas cubren el análisis de brechas, la actualización técnica, la documentación y la formación obligatoria de equipos y directivos.
Las organizaciones ya certificadas ISO 27001 reducen estos costes entre un 30 y un 50 % gracias a su base documental existente — las 10 medidas del artículo 21 encuentran en gran parte una correspondencia directa con los controles ISO 27001. Un análisis de brechas NIS 2 realizado por un gabinete especializado permite cuantificar con precisión el esfuerzo restante antes de comprometer cualquier presupuesto de implantación. Para los equipos internos que pilotan el cumplimiento, certificarse como NIS 2 Lead Implementer es la inversión más rentable: estructura el enfoque, reduce el recurso a consultores externos y demuestra la competencia ante clientes, prescriptores y autoridades de control.
Cumplir con NIS 2: las 4 etapas
Esquema en 4 fases del cumplimiento de NIS 2: Fase 1 evaluación 1-3 meses, Fase 2 planificación 1-2 meses, Fase 3 implantación 6-12 meses, Fase 4 control continuo.
Fase 1 — Evaluación (1 a 3 meses)
Determinar si tu organización entra en el perímetro NIS 2 (a través del quiz anterior y de las herramientas de autodiagnóstico de la autoridad nacional), inventariar los sistemas de información afectados y realizar un análisis de brechas entre tu nivel de seguridad actual y las 10 medidas del artículo 21. Esta fase permite identificar prioridades y calibrar el esfuerzo global.
Fase 2 — Planificación (1 a 2 meses)
Definir un plan de tratamiento de riesgos, una hoja de ruta priorizada, las responsabilidades internas y el presupuesto. Prestar especial atención a la seguridad de la cadena de suministro: el artículo 21(d) obliga a evaluar y controlar los riesgos asociados a tus proveedores directos y prestadores. Plataformas de gestión de riesgos de terceros (TPRM) como Supplier Shield permiten estructurar y automatizar esta dimensión de tu programa NIS 2.
Fase 3 — Implantación (6 a 12 meses)
Implantar las 10 medidas del artículo 21, establecer los procedimientos de notificación de incidentes con un contacto preestablecido con la autoridad nacional, asegurar la cadena de suministro y documentar todo para los controles regulatorios. La formación de los equipos, incluidos los directivos, es un componente exigido explícitamente por la directiva.
Fase 4 — Control continuo
Probar regularmente los procedimientos (ejercicios de gestión de incidentes, auditorías internas), asegurar el reporte a la autoridad y pilotar la mejora continua del programa. Las organizaciones que buscan acompañamiento en el cumplimiento de NIS 2 pueden apoyarse en gabinetes especializados como Abilene Advisors, experto en cumplimiento regulatorio suizo y europeo (NIS 2, DORA, ISO 27001).
En la práctica, una organización que parta de cero debe contar con 12 a 18 meses desde la fase de evaluación hasta un estado de preparación para los controles de la autoridad nacional. Las organizaciones ya certificadas ISO 27001 reducen significativamente este plazo gracias a su base documental existente.
Formación y certificación NIS 2 en Abilene Academy
Abilene Academy, partner Titanium PECB con sede en Morges (Suiza), ha acompañado a equipos de seguridad y cumplimiento en organizaciones como The Global Fund (Ginebra), UNICC (Naciones Unidas) y Deloitte Dinamarca. Las dos formaciones certificantes NIS 2 están diseñadas e impartidas por profesionales en activo en programas reales de cumplimiento:
NIS 2 Directive Foundation (2 días)
La formación NIS 2 Directive Foundation cubre la estructura de la directiva, los criterios de perímetro (empresas, sector público, subcontratistas), las 10 medidas del artículo 21, las obligaciones de notificación y los mecanismos de supervisión de la autoridad nacional. Está dirigida a responsables de seguridad, managers IT, juristas y miembros de la dirección que necesitan comprender los requisitos de NIS 2 antes de iniciar el programa de cumplimiento.
NIS 2 Directive Lead Implementer (5 días)
La formación NIS 2 Directive Lead Implementer cubre el ciclo completo de cumplimiento: análisis de brechas, tratamiento de riesgos, implantación de controles, gestión de la seguridad de proveedores, procedimientos de gestión de incidentes y preparación para los controles de la autoridad nacional. La certificación PECB NIS 2 Lead Implementer demuestra una competencia independiente reconocida por clientes, prescriptores y autoridades de control. Lo que observamos sistemáticamente en las sesiones: los profesionales experimentados dominan las medidas técnicas del artículo 21, pero nunca han simulado una notificación a la autoridad en 24 horas. Es precisamente ese gap — procedimental, no técnico — lo que la formación pone en práctica en condiciones reales.
Ambas formaciones están disponibles en formato presencial y virtual-live, en español, francés e inglés. Son impartidas por profesionales con experiencia directa en implantaciones de NIS 2, ISO 27001 y DORA en entornos internacionales.
La mirada de campo de Alexis Hirschhorn — formador, Abilene Academy
«La paradoja que encontramos en nuestros clientes es simple: los CIO y CISO entienden las exigencias técnicas de NIS 2, pero los comités de dirección todavía no han integrado que la transposición nacional compromete su responsabilidad personal. Mientras la resiliencia siga delegada en IT, el cumplimiento es cosmético y el riesgo bien real.»
Caso de estudio: NIS 2 en un grupo industrial internacional
Para ilustrar de forma concreta lo que implica un programa NIS 2 a escala de grupo, este es el desarrollo de un encargo acompañado por Abilene Advisors, consultora suiza experta en cumplimiento cíber y regulatorio, en un grupo industrial internacional con varias entidades en Europa. La misión arrancó en abril de 2024 y sigue en curso. El objetivo: asegurar el cumplimiento de NIS 2 de todas las entidades europeas del grupo, en un contexto en el que la transposición avanzaba a ritmos muy distintos según los países, algunos con ley nacional ya en vigor y otros aún a la espera de su texto.
El programa en cifras clave
Iniciado en abril de 2024 — programa en curso. Varias entidades europeas cubiertas en un grupo presente a escala internacional. Tres marcos alineados en un único framework: NIS 2, ISO/IEC 27001:2022 e IEC 62443. Primeras certificaciones ISO/IEC 27001 obtenidas en las entidades más avanzadas.
El reto: un único marco para tres referenciales
La recomendación de NIS 2 es apoyar el cumplimiento en un Sistema de Gestión de la Seguridad de la Información (SGSI) conforme a ISO/IEC 27001:2022. Para un grupo industrial, esto no basta: las redes OT (Operational Technology), autómatas, sensores y sistemas de control de procesos, dependen de sus propias exigencias técnicas, cubiertas por la norma IEC 62443. El verdadero reto del proyecto era, por tanto, ensamblar un marco único capaz de integrar simultáneamente las exigencias regulatorias de NIS 2, los controles de gestión de ISO 27001 y las especificidades de seguridad industrial de IEC 62443; manteniéndose suficientemente adaptable para desplegarse sobre entidades cuya madurez en ciberseguridad, lengua de trabajo y contexto regulatorio local variaban con fuerza de un país a otro.
Esquema que ilustra cómo el enfoque de Abilene Advisors combinó NIS 2 (capa regulatoria), ISO 27001 (gestión de la seguridad) e IEC 62443 (seguridad industrial) en un framework unificado y adaptable por entidad.
El enfoque: un framework adaptable por entidad
El proyecto se estructuró en tres tiempos. Primero, una evaluación del nivel de cumplimiento por entidad para identificar las brechas específicas y calibrar el esfuerzo a desplegar planta por planta. Después, una fase de implantación de dos semanas presenciales en cada entidad: talleres de implicación con dirección, análisis de riesgos, personalización de los controles ISO 27001 y de las políticas en función de los procesos locales y de las lenguas de trabajo. Por último, un acompañamiento a distancia en el tiempo, hasta la preparación completa para la auditoría de certificación. En el plano de las herramientas se tomó una decisión deliberada: no imponer una herramienta de gestión de SGSI desde el arranque. La experiencia muestra que introducir una herramienta así antes de que los procesos básicos estén estabilizados añade una carga cognitiva que los equipos operativos no pueden absorber. La evaluación de terceros, en cambio, se herramientizó desde la fase de planificación con Supplier Shield, para estructurar la exigencia de seguridad de proveedores impuesta por el artículo 21(d).
Los resultados a la fecha
Las primeras entidades han obtenido su certificación ISO/IEC 27001. Las restantes están en fase de preparación para la auditoría, con un nivel de madurez en ciberseguridad ya alineado con el suelo común del grupo. Punto importante: el programa continúa más allá de la certificación. El cumplimiento de NIS 2 no es un estado alcanzado de una vez por todas; es un ciclo continuo de vigilancia, notificación de incidentes y mejora — exactamente lo que prevé el artículo 23 de la directiva sobre las obligaciones de reporte recurrente a las autoridades nacionales y a las equivalentes de los demás Estados miembros afectados.
Lo que esta misión nos ha enseñado y que es transferible
- La adaptabilidad prima sobre la estandarización: un framework único sí, pero nunca rígido — cada entidad tiene su contexto, su lengua, su nivel de madurez.
- La comprensión del negocio supera al dominio puramente técnico: un consultor que entiende la actividad industrial de una planta gana la confianza de los equipos operativos en pocas horas, donde la pura experticia cíber puede tardar varios días.
- Mantenerse simple, siempre: cada control añadido al marco debe poder explicarse a un responsable de operaciones en menos de dos minutos — si no, no se aplicará correctamente.
- No introducir una herramienta de SGSI demasiado pronto: antes de que los procesos documentales básicos estén adoptados, una herramienta añade complejidad que ralentiza el proyecto en lugar de acelerarlo.
- Dedicar recursos humanos internos desde el día 1: la falta de disponibilidad por parte del cliente es la primera causa de desviación de calendario en programas NIS 2 — los arbitrajes de prioridades deben acordarse con la dirección antes del kickoff.
Los programas NIS 2 multi-entidad, multi-país y multi-referencial requieren una combinación poco común de conocimiento regulatorio, capacidad para adaptar un marco común a contextos industriales heterogéneos y presencia operativa sobre el terreno. Es precisamente el tipo de acompañamiento que ofrece Abilene Advisors, consultora partner de Abilene Academy, con sede en Suiza, especializada en cumplimiento cíber y regulatorio para grupos internacionales (NIS 2, DORA, ISO 27001, IEC 62443).
