La Directiva (UE) 2022/2555, conocida como NIS2, entró en vigor en enero de 2023 y los Estados miembros tenían hasta el 17 de octubre de 2024 para transponerla a su legislación nacional. España, como la mayoría de países de la UE, llega tarde a la transposición. Pero que el BOE aún no haya publicado la ley nacional no significa que puedas esperar: cuando se publique, los plazos de adaptación serán cortos y las sanciones, severas.
NIS2 sustituye a la directiva NIS original de 2016 y amplía drásticamente su alcance. Si la primera NIS afectaba a un puñado de operadores de servicios esenciales, NIS2 abarca a casi cualquier empresa mediana o grande que opere en sectores críticos. Y la definición de 'sector crítico' es mucho más amplia de lo que imaginas.
¿A quién afecta NIS2?
NIS2 clasifica las entidades afectadas en dos categorías: entidades esenciales y entidades importantes. La clasificación depende del sector y del tamaño de la empresa. En general, cualquier empresa con más de 50 empleados o más de 10 millones de euros de facturación en un sector cubierto está dentro del ámbito de aplicación.
- Sectores de alta criticidad (entidades esenciales): energía, transporte, banca, infraestructuras de mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC (B2B), administración pública, espacio
- Otros sectores críticos (entidades importantes): servicios postales, gestión de residuos, fabricación y distribución de sustancias químicas, producción y distribución de alimentos, fabricación (dispositivos médicos, productos informáticos, electrónicos, ópticos, maquinaria, vehículos), proveedores digitales (marketplaces, buscadores, redes sociales), investigación
- Excepciones: microempresas y pequeñas empresas quedan excluidas salvo que operen en sectores especialmente sensibles como proveedores de DNS, registros de nombres de dominio o proveedores de servicios de confianza
Aquí viene lo crucial para el sector tecnológico español: los proveedores de servicios TIC gestionados (managed services) están explícitamente incluidos. Si ofreces hosting, mantenimiento web, desarrollo a medida o gestión de infraestructura IT para empresas de cualquiera de esos sectores, NIS2 te afecta directamente. La cadena de suministro está cubierta.
Requisitos técnicos de ciberseguridad
El artículo 21 de la directiva establece las medidas técnicas, operativas y organizativas que las entidades deben implementar. No son recomendaciones: son obligaciones legales con sanciones asociadas. Veamos cada una:
1. Políticas de análisis de riesgos y seguridad de los sistemas de información
Debes tener un análisis de riesgos documentado y actualizado. No vale un documento de hace tres años que nadie ha revisado. El análisis debe identificar activos, amenazas, vulnerabilidades y medidas de mitigación. Para empresas del sector tecnológico, esto incluye auditorías de seguridad de tus aplicaciones web, APIs y sistemas de almacenamiento.
2. Gestión de incidentes
NIS2 establece plazos de notificación estrictos. Cuando detectes un incidente significativo, tienes 24 horas para enviar una alerta temprana al CSIRT (en España, INCIBE o CCN-CERT según el sector), 72 horas para una notificación completa con evaluación inicial del impacto, y un mes para el informe final detallado. Necesitas un procedimiento documentado y probado, no improvisación.
3. Continuidad de negocio y gestión de crisis
Planes de backup, recuperación ante desastres y gestión de crisis. Los backups deben estar cifrados, almacenados en ubicación separada, y probados regularmente. Aquí no vale tener un cron de mysqldump sin cifrar en el mismo servidor.
<?php
// Backup cifrado conforme NIS2 — continuidad de negocio
require_once 'cuantica.php';
// 1. Exportar datos críticos
$backup_sql = shell_exec('mysqldump --single-transaction mi_base');
$backup_archivos = shell_exec('tar czf - /var/www/datos/');
// 2. Cifrar con protección post-cuántica (6 capas)
$backup_cifrado = cuantica_cifrar($backup_sql, $clave_backup);
// 3. Almacenar en ubicación separada con timestamp
$nombre = 'backup_' . date('Y-m-d_His') . '.enc';
file_put_contents('/mnt/backup-externo/' . $nombre, $backup_cifrado);
// 4. Verificar integridad del backup
$hash = hash_file('sha256', '/mnt/backup-externo/' . $nombre);
file_put_contents('/mnt/backup-externo/' . $nombre . '.sha256', $hash);4. Seguridad de la cadena de suministro
Este es el requisito que más impacto tendrá en el sector tecnológico español. Debes evaluar la seguridad de tus proveedores directos y, en la medida de lo posible, sus subcontratistas. Si usas librerías de terceros, servicios cloud o APIs externas, debes documentar los riesgos asociados y las medidas de mitigación.
En la práctica: cada dependencia de Composer, cada servicio SaaS, cada CDN que uses es un eslabón de tu cadena de suministro. Menos dependencias = menos superficie de ataque = menos documentación de riesgos. El enfoque de PHP nativo sin dependencias externas no es solo una preferencia técnica: es una ventaja de cumplimiento.
5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas
NIS2 exige seguridad por diseño (security by design) y gestión de vulnerabilidades. Esto incluye análisis de seguridad del código, pruebas de penetración, y un proceso definido para corregir vulnerabilidades descubiertas. No puedes desplegar código sin verificar que no introduce fallos de seguridad.
6. Cifrado y criptografía
La directiva exige políticas de uso de cifrado y, cuando sea apropiado, de cifrado de extremo a extremo. No especifica algoritmos concretos (eso queda para la transposición nacional y los estándares ENISA), pero sí establece que el cifrado debe ser proporcional al riesgo. Para datos sensibles de sectores esenciales, eso significa cifrado en reposo y en tránsito con algoritmos actualizados.
Sanciones: las multas ya no son simbólicas
Si la primera directiva NIS tenía sanciones ambiguas que cada país implementaba a su criterio, NIS2 establece mínimos armonizados que no dejan margen a la interpretación:
- Entidades esenciales: multas de hasta 10 millones de euros o el 2% de la facturación mundial anual (lo que sea mayor)
- Entidades importantes: multas de hasta 7 millones de euros o el 1,4% de la facturación mundial anual (lo que sea mayor)
- Responsabilidad personal de los directivos: NIS2 establece que los órganos de dirección deben aprobar y supervisar las medidas de ciberseguridad. La alta dirección puede ser personalmente responsable por incumplimiento
- Suspensión temporal de certificaciones o autorizaciones para la entidad infractora
- Prohibición temporal de ejercer funciones directivas para las personas físicas responsables
La responsabilidad personal de los directivos es la novedad más relevante. Ya no es solo un problema del departamento de IT. Si el CEO o el consejo de administración no supervisa activamente la ciberseguridad, se exponen personalmente.
Auditoría automatizada: el primer paso práctico
Antes de poder cumplir NIS2, necesitas saber dónde estás. Una auditoría de seguridad completa es el punto de partida obligatorio. Y no hablamos de un pentest puntual una vez al año, sino de verificación continua y automatizada.
Norma, el módulo de cumplimiento normativo de PWR.es, automatiza la verificación de los requisitos técnicos de NIS2 mapeándolos contra tu infraestructura real. Verifica configuración TLS, headers de seguridad HTTP, política de cookies, cifrado de datos en reposo, configuración DNS, y genera un informe de cumplimiento con las deficiencias concretas y las medidas correctoras.
<?php
// Verificación automatizada de cumplimiento NIS2
require_once 'norma.php';
// Ejecutar auditoría completa contra requisitos NIS2
$informe = norma_auditar('https://mi-empresa.es', [
'marco' => 'NIS2',
'perfil' => 'entidad_importante', // o 'entidad_esencial'
]);
// Resultado estructurado por artículo de la directiva
foreach ($informe['resultados'] as $requisito) {
echo $requisito['articulo']; // "Art. 21.2.a"
echo $requisito['descripcion']; // "Análisis de riesgos"
echo $requisito['estado']; // "cumple" | "parcial" | "no_cumple"
echo $requisito['evidencia']; // Detalle técnico verificado
echo $requisito['remediacion']; // Acción correctora específica
}Plan de acción: qué hacer antes de octubre 2026
Aunque España no haya publicado aún la transposición, la directiva europea establece el marco y la transposición no puede ser menos exigente. Estas son las acciones que deberías tener en marcha ya:
- 1. Determinar si tu empresa está en el ámbito de NIS2 (sector, tamaño, servicios a entidades cubiertas)
- 2. Realizar un análisis de riesgos completo de tus sistemas de información
- 3. Auditar tu infraestructura actual: TLS, headers, cifrado, backups, control de acceso
- 4. Implementar un procedimiento de gestión de incidentes con los plazos de notificación NIS2
- 5. Documentar tu cadena de suministro tecnológica y evaluar los riesgos de cada proveedor
- 6. Cifrar datos sensibles en reposo y en tránsito con algoritmos actualizados
- 7. Implementar backups cifrados en ubicación separada y probar la restauración
- 8. Establecer autenticación multifactor para todos los accesos administrativos
- 9. Formar a la dirección sobre sus responsabilidades bajo NIS2
- 10. Designar un responsable de seguridad de la información (o contratar uno)
NIS2 no es el RGPD de la ciberseguridad — es más exigente. El RGPD habla de 'medidas técnicas y organizativas apropiadas' sin concretar demasiado. NIS2 especifica qué medidas, con qué plazos de notificación, y con qué sanciones. La ambigüedad ya no es una defensa válida.
La buena noticia es que si ya cumples el ENS nivel alto, gran parte del camino está recorrido. Las medidas técnicas del ENS y las de NIS2 se solapan significativamente. Pero NIS2 añade la cadena de suministro, la notificación de incidentes en 24 horas, y la responsabilidad personal de los directivos. Esos tres puntos son los que requieren atención inmediata.