Cuando empecé a trabajar como consultor, hablar de ciberseguridad en las organizaciones era, casi siempre, hablar de cumplimiento no obligatorio. Marcos de buenas prácticas, recomendaciones, estándares voluntarios. Algo que convenía tener, que aportaba valor frente a clientes o partners, pero que rara vez condicionaba decisiones estratégicas.
Además, era un territorio claramente técnico. Se delegaba en especialistas, se abordaba en términos de sistemas, controles y configuraciones, y quedaba lejos de las mesas donde realmente se decidía el rumbo de la organización.
Con el paso del tiempo, ese paisaje ha cambiado de forma radical.
Primero, porque los incidentes dejaron de ser escenarios hipotéticos para convertirse en una realidad cotidiana. Después, porque su impacto dejó de medirse únicamente en términos técnicos y empezó a expresarse en interrupciones de servicio, pérdida de confianza, sanciones, responsabilidades legales y exposición pública.
Este cambio de escala ha hecho que el cumplimiento dejara de ser una opción recomendable para convertirse, progresivamente, en una exigencia legislativa. Pero también ha puesto de manifiesto algo menos evidente y más incómodo: cumplir no equivale necesariamente a estar protegido. De hecho, algunas organizaciones muy “cumplidoras” han demostrado ser sorprendentemente frágiles cuando la realidad ha puesto a prueba sus supuestos.
La Directiva NIS2 es una manifestación clara de este cambio de paradigma.
La ciberseguridad ha dejado de ser un asunto meramente técnico para convertirse en una responsabilidad corporativa, compartida y supervisada desde la dirección. La seguridad ya no es algo que se delega sin más: es una cuestión de liderazgo, criterio y rendición de cuentas.
No es casual que, en los últimos meses, la NIS2 haya empezado a aparecer en conversaciones de comités ejecutivos. Se la menciona con frecuencia, pero rara vez se explica con calma o en toda su dimensión. Porque la NIS2 no es solo una nueva norma europea: es el reflejo de un cambio de época en la forma de entender la seguridad digital.
Con esta directiva, la Unión Europea responde al aumento sostenido de los ciberincidentes y a la dependencia cada vez mayor de infraestructuras digitales y servicios esenciales. La ciberseguridad pasa así a considerarse una cuestión de interés público, no solo empresarial.
El 18 de octubre de 2024 marcó un punto de inflexión: la directiva entró en vigor. En España —como en otros Estados miembros— la transposición a la legislación nacional sigue pendiente, lo que genera incertidumbre. Pero esa incertidumbre no deja margen para la inacción.
Síntesis ejecutiva para comité de dirección
Si solo te quedas con algunas ideas clave sobre la NIS2, deberían ser estas:
- La ciberseguridad ha dejado de ser un asunto técnico.
La NIS2 traslada la responsabilidad a la dirección y a los órganos de gobierno. Ya no es algo que se delega sin seguimiento, sino una materia que exige criterio, supervisión y rendición de cuentas. - Cumplir no equivale a estar protegido.
La directiva no busca acumular controles, sino asegurar que las organizaciones gestionan sus riesgos de forma realista, especialmente en lo que respecta a la continuidad del servicio y la cadena de suministro. - La NIS2 no es una norma técnica, es un marco de gobierno.
No prescribe herramientas ni configuraciones concretas. Exige que existan decisiones, procesos y evidencias que demuestren una gestión responsable de la seguridad. - El riesgo ya no es solo interno.
Proveedores, terceros y dependencias críticas forman parte del perímetro de responsabilidad. Muchos de los incidentes más graves se producen precisamente en esos puntos ciegos. - La preparación no es un proyecto puntual, sino un sistema.
Diagnóstico, gobernanza, evaluación de riesgos, medidas proporcionadas, formación y revisión continua. La NIS2 se cumple integrándola en el funcionamiento habitual de la organización, no con acciones aisladas.
Esta es la lógica desde la que conviene abordar la directiva: menos urgencia reactiva y más construcción de un sistema que permita decidir, actuar y demostrar con coherencia.
Qué es realmente la NIS2
La NIS2 es una directiva europea que establece un nivel mínimo común de ciberseguridad para aquellas organizaciones que operan en sectores considerados críticos o esenciales. Sustituye a la primera Directiva NIS y amplía de forma significativa su alcance, sus exigencias y su régimen sancionador.
No se trata de una norma técnica que indique cómo configurar sistemas o qué herramientas concretas utilizar. Su propósito es otro: garantizar que determinadas organizaciones gestionan la seguridad de la información de forma responsable, estructurada y controlada.
Por eso, la NIS2 pone menos énfasis en la tecnología concreta y más en la gobernanza, la toma de decisiones y la capacidad de demostrar que se actúa con criterio.
A quién aplica la NIS2
Una de las primeras preguntas que se hacen muchas organizaciones es si la NIS2 les afecta realmente. La respuesta no siempre es evidente, pero la directiva se apoya en tres criterios principales:
- Ubicación: operar o prestar servicios en la Unión Europea.
- Tamaño: principalmente empresas medianas y grandes, con excepciones relevantes.
- Sector de actividad: siempre que esté incluido entre los sectores críticos definidos.
Además, la NIS2 distingue entre entidades esenciales y entidades importantes, una clasificación que determina el nivel de supervisión y el régimen sancionador aplicable.
Algunos ejemplos ayudan a aterrizarlo. Un hospital entra claramente en el ámbito de las entidades esenciales. Un proveedor de servicios cloud o de infraestructura digital está directamente sujeto a la directiva. Un fabricante puede verse afectado si forma parte de una cadena de suministro crítica. Y muchas empresas que prestan servicios digitales a terceros están dentro, aunque no siempre sean conscientes de ello.
La clave es entender que ya no solo importa lo que haces internamente, sino para quién lo haces y qué impacto tiene tu actividad en el conjunto del sistema.
La directiva distingue entre dos tipos de entidades según su criticidad. Es fundamental identificar en qué grupo se encuentra tu organización para entender el nivel de supervisión al que estarás sometido:
| Categoría | Entidades Esenciales | Entidades Importantes |
| Sectores | Energía, Salud, Banca, Infraestructura Digital. | Fabricación, Alimentos, Gestión de Residuos, Servicios Postales. |
| Supervisión | Proactiva: La autoridad puede auditar en cualquier momento. | Reactiva: Se supervisa tras indicios de incumplimiento o incidente. |
| Multas Máximas | 10M€ o 2% del volumen de negocio mundial. | 7M€ o 1,4% del volumen de negocio mundial. |
Qué exige la NIS2
La NIS2 introduce un conjunto de obligaciones claras que, vistas desde fuera, pueden parecer exigentes, pero que resultan razonables si se abordan desde una lógica de buena gestión.
El primer gran cambio tiene que ver con la gobernanza. El liderazgo deja de ser opcional. La dirección debe implicarse activamente en la gestión de la ciberseguridad, aprobar las medidas necesarias, supervisar los riesgos y asumir responsabilidades.
En segundo lugar, la directiva pone el foco en la gestión de riesgos, con especial atención a la cadena de suministro. La pregunta ya no es solo “¿estamos protegidos?”, sino “¿qué ocurre si falla un proveedor clave o un servicio del que dependemos?”.
A partir de ese análisis, la NIS2 exige medidas mínimas que no deben interpretarse como requisitos técnicos complejos, sino como prácticas básicas de organización: políticas claras, control de accesos, planes de continuidad, gestión de incidentes y uso proporcionado de criptografía.
Otro elemento clave son las obligaciones de notificación, con plazos estrictos que obligan a prepararse con antelación y a coordinar distintas áreas. En este contexto, la improvisación deja de ser una opción viable.
Qué ocurre si no se cumple
El régimen sancionador de la NIS2 es sensiblemente más severo que el de la directiva original. Pero reducir su impacto a las multas sería un error.
El verdadero riesgo es reputacional, contractual y operativo. No cumplir puede traducirse en pérdida de confianza, exclusión de licitaciones, rescisión de contratos o interrupciones de servicios críticos. Y, en muchos casos, el daño más difícil de reparar no es el económico, sino el de credibilidad.
Cómo empezar: una ruta práctica y realista
Cumplir con la NIS2 no es un proyecto puntual ni un ejercicio de marcado de casillas. Es un proceso continuo que debe integrarse en el funcionamiento habitual de la organización.
Un enfoque razonable suele comenzar con un diagnóstico honesto. A partir de ahí, conviene definir una gobernanza clara y realizar una evaluación de riesgos que permita priorizar esfuerzos.
Sobre esa base, se construye un plan de medidas realista, acompañado de documentación clara y coherente. La formación, las pruebas y la revisión periódica completan el ciclo.
La seguridad no se acelera sin pagar un precio: exige tiempo, repetición y cierta humildad organizativa.
Relación con otros marcos: no empezar de cero
En muchos casos, el reto no está en implantar algo nuevo, sino en ordenar lo existente, dotarlo de una lógica de gobierno y poder demostrarlo de forma consistente.
La NIS2 mantiene una clara coherencia con marcos como ISO 27001, el Esquema Nacional de Seguridad u otros sistemas de gestión. Muchas organizaciones ya cuentan con prácticas y evidencias reutilizables.
Conclusión: la NIS2 no es solo un requisito, es una oportunidad
La NIS2 marca un antes y un después. Impone obligaciones, pero también abre una oportunidad clara para profesionalizar la ciberseguridad, fortalecer la resiliencia y reforzar la confianza del mercado.
No se trata de “sobrevivir a la NIS2”, sino de utilizarla como palanca para hacer mejor las cosas.
Cumplir con la NIS2 no consiste en acumular documentos, sino en saber qué riesgos se asumen, quién decide sobre ellos y cómo se demuestra que se gestionan de forma responsable.
Cuando la organización crece, esa visión deja de ser manejable con memoria y hojas sueltas. En ese punto, disponer de un sistema que conecte riesgos, decisiones, evidencias y revisión continua permite que la responsabilidad siga siendo asumible sin diluirse.
En ithikios trabajamos precisamente desde esa lógica: ayudar a convertir la NIS2 en un sistema gobernable en el tiempo, no en un ejercicio puntual de cumplimiento.
