El Período de Gracia Ha Terminado
La Directiva NIS2 (Directiva (UE) 2022/2555) exigía a los estados miembros de la UE transponer sus requisitos al derecho nacional antes del 17 de octubre de 2024. La mayoría de los estados miembros cumplieron ese plazo o lo hicieron poco después. A partir del primer trimestre de 2026, la aplicación nacional está activa en toda la UE.
Las Autoridades Nacionales Competentes (ANC) están realizando auditorías. El BSI de Alemania ha establecido un plazo de registro de entidades para abril de 2026. La ANSSI de Francia comenzó la verificación del cumplimiento a finales de 2025. Los Países Bajos, Bélgica y los países nórdicos siguen calendarios similares.
Si opera en la UE y está dentro del ámbito de aplicación de NIS2 —que ahora cubre un rango mucho más amplio de sectores y tamaños de entidades que la Directiva NIS original— está sujeto a auditoría hoy mismo.
Qué Cambió Realmente Respecto a NIS1
NIS2 no es una actualización incremental. Es una expansión fundamental:
- El ámbito de aplicación se amplió de ~10.000 a ~160.000 entidades en toda la UE. La Directiva NIS original cubría operadores de infraestructuras críticas. NIS2 añade fabricación, producción alimentaria, gestión de residuos, servicios postales, productos químicos, proveedores digitales y más.
- Clasificación en dos niveles: Entidades esenciales (energía, transporte, salud, agua, infraestructura digital, banca, espacio) y entidades importantes (fabricación, alimentación, productos químicos, servicios postales, investigación, gestión de residuos, proveedores digitales). Ambas deben cumplir. La diferencia está en los niveles de sanción y los regímenes de auditoría.
- Responsabilidad de la dirección: El artículo 20 hace a los órganos de dirección personalmente responsables de aprobar las medidas de gestión de riesgos de ciberseguridad. La dirección debe recibir formación en ciberseguridad. La responsabilidad personal está sobre la mesa — analizamos los detalles en nuestro análisis sobre la responsabilidad de la dirección en NIS2 y por qué los ejecutivos responden personalmente.
- Seguridad de la cadena de suministro: El artículo 21(2)(d) exige a las organizaciones abordar los riesgos de ciberseguridad en sus cadenas de suministro y relaciones con proveedores. Esto traslada los requisitos a los proveedores y prestadores de servicios.
- Notificación de incidentes más estricta: Alerta temprana al CSIRT en 24 horas, notificación del incidente en 72 horas e informe final en el plazo de un mes.
Estructura de Sanciones
Las sanciones están diseñadas para captar la atención del consejo de administración:
| Tipo de entidad | Multa máxima | Límite basado en ingresos |
|---|---|---|
| Entidad esencial | EUR 10.000.000 | 2 % del volumen de negocio anual mundial total |
| Entidad importante | EUR 7.000.000 | 1,4 % del volumen de negocio anual mundial total |
Se aplica la cifra más elevada de las dos. Para un fabricante con EUR 500 M de ingresos, el límite de entidad esencial es EUR 10 M. Para un fabricante con EUR 100 M, sigue siendo EUR 2 M.
Más allá de las multas, las ANC pueden:
- Ordenar la suspensión temporal de certificaciones o autorizaciones
- Prohibir temporalmente a la dirección el ejercicio de sus funciones directivas
- Emitir instrucciones vinculantes con plazos de cumplimiento definidos
Calendario de Aplicación por País
No todos los estados miembros avanzan al mismo ritmo. Este es el estado de los principales mercados:
| País | ANC | Plazo de registro | Primera oleada de auditorías | Estado (T1 2026) |
|---|---|---|---|---|
| Alemania | BSI | Abril 2026 | T2 2026 | Portal de registro activo; auditorías inminentes |
| Francia | ANSSI | Completado (2025) | Activo desde T4 2025 | Auditorías en curso para entidades esenciales |
| Países Bajos | NCSC-NL | Marzo 2026 | T2 2026 | Directrices sectoriales publicadas |
| Bélgica | CCB | T1 2026 | T2-T3 2026 | Herramienta de autoevaluación disponible |
| Italia | ACN | T1 2026 | T3 2026 | Transposición completa; orientación pendiente |
| España | CCN-CERT | T2 2026 | T3-T4 2026 | Transposición completa; implementación en curso |
| Suecia | MSB | T1 2026 | T2 2026 | Aplicación activa para entidades esenciales |
| Polonia | NASK | T2 2026 | T3 2026 | Ley nacional aprobada; detalles pendientes |
Alemania y Francia son los más avanzados. Si opera en alguno de estos mercados, su ventana de auditoría es ahora.
Qué Examinan Primero los Auditores
Según las primeras medidas de aplicación y las orientaciones de las ANC, los auditores priorizan:
-
Estructura de gobernanza — ¿Existe una persona designada responsable de la ciberseguridad? ¿Ha aprobado la dirección el marco de gestión de riesgos? ¿Han recibido formación los órganos de dirección?
-
Inventario de activos — ¿Sabe qué tiene? ¿Puede presentar un inventario completo de sistemas de red y de información, incluidos los activos OT? Es la base desde la que parten los auditores.
-
Segmentación de red y control de acceso — ¿Están aislados los sistemas críticos? ¿Se controla el acceso con criterios de mínimo privilegio? Las redes sin segmentar con acceso abierto son un hallazgo inmediato.
-
Capacidad de respuesta a incidentes — ¿Dispone de un plan de respuesta a incidentes documentado y probado? ¿Puede cumplir los plazos de alerta temprana de 24 horas y notificación de 72 horas?
-
Gestión de riesgos en la cadena de suministro — ¿Ha evaluado la postura de ciberseguridad de sus proveedores críticos? ¿Sus contratos incluyen requisitos de seguridad?
Para las organizaciones con gran presencia OT —fabricantes, operadores energéticos, empresas de agua— los auditores examinan específicamente:
- Si las redes OT están segmentadas de las redes IT
- Si el acceso remoto a los sistemas OT está controlado y registrado
- Si los activos OT están incluidos en el inventario de activos
- Si los planes de respuesta a incidentes cubren escenarios específicos de OT
La Brecha de Cumplimiento en OT
La mayoría de las organizaciones que se han estado preparando para NIS2 comenzaron por sus entornos IT. Seguridad del correo electrónico, protección de endpoints, gestión de identidades, configuraciones en la nube — estos ámbitos cuentan con herramientas maduras y playbooks ya existentes.
Los entornos OT son diferentes. Los desafíos son específicos y persistentes:
- Los sistemas de control industrial ejecutan protocolos propietarios que las herramientas de seguridad IT estándar no comprenden
- Los PLCs, RTUs y HMIs nunca fueron diseñados para software de endpoint y no pueden aceptarlo
- Los parches requieren ventanas de mantenimiento que pueden producirse trimestralmente, o incluso anualmente
- La visibilidad de la red es limitada porque muchas redes OT carecen de monitorización centralizada
- Los equipos heredados son anteriores a los estándares modernos de autenticación
Estos no son problemas hipotéticos. Son la razón por la que los entornos OT aparecen sistemáticamente como la mayor brecha de cumplimiento en las evaluaciones de preparación para NIS2.
Abordar esto requiere controles a nivel de red que funcionen alrededor de los equipos heredados: dispositivos de segmentación que aplican políticas de acceso en los límites de zona, capturan registros de tráfico para fines de auditoría y proporcionan visibilidad de las comunicaciones de protocolos industriales, sin tocar los dispositivos en sí.
Un Plan de Acción Prioritizado en 5 Pasos
Si está sujeto a NIS2 y no ha completado su programa de cumplimiento, aquí es donde debe centrar sus esfuerzos:
Paso 1: Regístrese ante su ANC (Plazo: Inmediato)
Si su estado miembro exige el registro de entidades —y la mayoría lo hace— esta es su primera tarea administrativa. En Alemania, el portal de registro del BSI está activo con un plazo límite en abril de 2026. No registrarse no le exime del cumplimiento; simplemente añade una infracción.
Paso 2: Complete su Inventario de Activos (Semanas 1-4)
No puede proteger lo que no conoce. Elabore un inventario completo de:
- Todos los sistemas IT (servidores, endpoints, servicios en la nube, aplicaciones)
- Todos los sistemas OT (PLCs, HMIs, servidores SCADA, historiadores, estaciones de trabajo de ingeniería)
- Toda la infraestructura de red (switches, routers, firewalls, puntos de acceso inalámbrico)
- Todas las vías de acceso remoto (concentradores VPN, servidores de salto, conexiones de proveedores)
Paso 3: Implemente la Segmentación de Red (Semanas 4-12)
Separe los sistemas OT críticos de las redes IT. Aplique políticas de denegación por defecto en los puntos de frontera. Para entornos OT, despliegue dispositivos de red en línea o pasivos que puedan aplicar la segmentación sin requerir cambios a nivel de dispositivo.
Priorice:
- Aplicación del límite IT/OT
- Control de acceso remoto y registro de sesiones
- Aislamiento de sistemas críticos para la seguridad
Paso 4: Establezca Capacidad de Respuesta a Incidentes (Semanas 4-8)
Documente y pruebe un plan de respuesta a incidentes que:
- Cubra escenarios tanto de IT como de OT
- Cumpla el requisito de alerta temprana de 24 horas
- Identifique su CSIRT y los procedimientos de notificación
- Incluya plantillas de comunicación y rutas de escalada
Paso 5: Documente Todo (Continuo)
El cumplimiento de NIS2 se basa en evidencias. Elabore y mantenga:
- Marco de gestión de riesgos aprobado por la dirección
- Políticas de seguridad que cubran todas las medidas del artículo 21
- Registros de formación de la dirección
- Evaluaciones de seguridad de proveedores
- Resultados de pruebas del plan de respuesta a incidentes
- Registros de auditoría que demuestren la efectividad de los controles
Las organizaciones que superan las auditorías sin problemas son las que comenzaron por sus puntos ciegos en OT, construyeron controles a nivel de red que pueden demostrar efectivamente y documentaron cada decisión. Los contratistas de defensa que operan tanto en EE. UU. como en la UE también deberían explorar cómo una arquitectura de cumplimiento puede satisfacer tanto CMMC como NIS2. Si su red OT sigue siendo un espacio plano y sin monitorización detrás de un único firewall, ahí es donde debe ir su primera inversión.
Para más recursos sobre NIS2, opciones de despliegue soberano y guías de cumplimiento, visite el centro de Cumplimiento NIS2 para OT On-Premise.
