La transposición de la directiva NIS2 es de 2024. Pero el momento en que una empresa se da cuenta de verdad es ahora, cuando llegan las primeras peticiones de evidencia. Quitado el ruido de los congresos, quedan seis obligaciones concretas y dos fechas. Veámoslas sin rodeos.
01Quién está dentro y quién fuera
Primera pregunta, la que cuenta: ¿NIS2 te afecta? La directiva distingue entre sujetos esenciales e importantes, según el sector y el tamaño. El umbral de base es de 50 empleados o 10 millones de facturación, pero con excepciones que también incluyen a empresas más pequeñas si operan en cadenas críticas.
En la práctica, si eres una pyme industrial, un proveedor de la sanidad, un gestor de servicios digitales o trabajas en la cadena energética o de transportes, es muy probable que estés dentro. También como proveedor de un sujeto esencial: es el punto que muchos subestiman.
02Las seis obligaciones que cuentan
El artículo 21 enumera las medidas de gestión del riesgo. Traducidas a cosas que un IT manager tiene que hacer de verdad:
- Análisis del riesgo y políticas de seguridad. Documentadas, no de palabra. Deben existir sobre papel y estar actualizadas.
- Gestión de incidentes. Un proceso escrito para detectar, clasificar y responder, con los roles definidos antes de que hagan falta.
- Continuidad operativa. Backups probados, planes de recuperación, objetivos de tiempo declarados. Un backup nunca restaurado no es un backup.
- Seguridad de la supply chain. Evaluación de los proveedores ICT y de sus exposiciones.
- Higiene básica y cifrado. Patch management, autenticación de varios factores, cifrado donde haga falta.
- Formación y accountability de la dirección. El consejo responde. Ya no es solo un problema del IT.
03Las dos fechas
La transposición ya ha ocurrido. Lo que cambia en 2026 es la aplicación: registro de los sujetos ante la autoridad competente, y activación concreta de las obligaciones de notificación. La ventana de notificación de un incidente significativo es estrecha y hay que recordarla de memoria.
Si no tienes un proceso que te permita cumplir las 24 horas, la conformidad formal no sirve de nada: en el momento del incidente irás tarde por definición.
04Qué puedes ignorar
Buena noticia: no tienes que convertirte en un banco. NIS2 exige medidas proporcionadas al riesgo y al tamaño. Una pyme de 120 personas no tiene que construir un security operations center interno con veinte analistas. Tiene que demostrar que ha evaluado los riesgos y adoptado medidas razonables.
Puedes ignorar, por ahora, las certificaciones voluntarias usadas como espantajo por los vendedores. La norma no impone ISO 27001. Ayuda, pero no es una obligación legal. Desconfía de quien te la vende como única vía.
05Por dónde empezar, concretamente
El error más común es empezar por la política. Se empieza, en cambio, por la fotografía: qué tienes, qué está expuesto, dónde están los agujeros. Sin eso, toda política es teoría. Por eso proponemos casi siempre una auditoría de red como primer paso: siete días, on-premise, y en mano un documento que mapea cada finding sobre el artículo NIS2 correspondiente.
A partir de ahí la conformidad se convierte en una lista de cosas que cerrar por orden de prioridad, no en un monstruo indefinido. La parte difícil no es entender la norma. Es saber en qué punto estás.