¿Qué exige NIS2 y por qué te aplica?
La Directiva (UE) 2022/2555, conocida como NIS2, sustituyó a la NIS1 de 2016 y endureció el régimen europeo de ciberseguridad. Te aplica si tu organización tiene 50+ empleados o factura más de 10 millones de euros y opera en uno de los 18 sectores incluidos en sus Anexos I y II (energía, transporte, finanzas, salud, agua, infraestructuras digitales, administración pública, servicios postales, gestión de residuos, industria química, alimentaria, servicios digitales, investigación científica, seguridad privada y otros). Las obligaciones del artículo 21 incluyen análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, criptografía, control de accesos, formación y notificación de incidentes en plazos armonizados de 24 horas (notificación temprana), 72 horas (notificación inicial) y 1 mes (informe final).
Estado de transposición en España.
España no cumplió el plazo de transposición del 17 de octubre de 2024. En enero de 2025 el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, y en mayo de 2025 la Comisión Europea envió a España un dictamen motivado por la transposición incompleta, paso previo a un recurso ante el TJUE. El Real Decreto-ley 7/2025 transpuso parcialmente la directiva, pero la ley orgánica completa sigue en tramitación parlamentaria. El retraso no exonera a las empresas: las obligaciones de NIS2 son exigibles por el derecho UE directo en los aspectos que no requieren ejecución y, en cualquier caso, los clientes y supervisores europeos están aplicando criterios coherentes con la directiva sin esperar la transposición plena.
¿Cómo se cumplen las 10 medidas del artículo 21?
El artículo 21.2 de NIS2 enumera 10 medidas técnicas, operativas y organizativas mínimas: políticas de análisis de riesgos y de seguridad de la información, gestión de incidentes, continuidad de negocio y gestión de crisis, seguridad de la cadena de suministro, seguridad en la adquisición y desarrollo de sistemas, políticas y procedimientos para evaluar la eficacia, prácticas básicas de higiene cibernética y formación en ciberseguridad, criptografía y cuando proceda cifrado, seguridad de los recursos humanos, control de acceso y gestión de activos, y autenticación multifactor o continua. Como proveedor de email infraestructura UE, todas estas medidas afectan al servicio que prestamos: el cifrado SMTP STARTTLS y TLS 1.3 obligatorio, el control de acceso al panel con MFA por defecto, la segmentación de red entre clientes, los pentests anuales, el plan de continuidad activo entre PoPs europeos.
¿Qué multas y qué responsabilidad de directivos introduce NIS2?
NIS2 introduce dos niveles de multa según la categoría de entidad: hasta 10 millones de euros o 2% de la facturación mundial (la cifra mayor) para entidades esenciales, y hasta 7 millones de euros o 1,4% para entidades importantes. La novedad relevante es la responsabilidad personal de los órganos de dirección: los administradores deben aprobar y supervisar las medidas de gestión de riesgos, y pueden ser objeto de inhabilitación temporal en casos de infracciones graves y reiteradas. Para entidades esenciales el régimen de supervisión es proactivo (inspecciones in situ programadas, auditorías obligatorias); para entidades importantes es reactivo (sólo tras una infracción notificada). La autoridad competente española está pendiente de definición final con la transposición completa, pero el diseño institucional incluye un Centro Nacional de Ciberseguridad coordinador y autoridades sectoriales según ámbito (CCN-CERT para sector público, INCIBE-CERT para sector privado, CNPIC para infraestructuras críticas).
¿Cómo funciona tu notificación de incidentes del artículo 23?
Cuando un incidente significativo afecta a los datos de cliente o a la disponibilidad del servicio, nuestro incident commander dispara una cascada de notificación. Aviso temprano interno a los clientes afectados en las 24 horas siguientes a la detección, plazo que normalmente batimos porque el objetivo operativo es de 30 minutos desde la confirmación. Evaluación inicial con hechos materiales en 72 horas, incluyendo alcance del impacto, hipótesis de causa raíz y mitigaciones activas. Informe final en 1 mes con análisis completo de causa raíz, lecciones aprendidas y acciones correctivas. Los clientes en sectores de entidad esencial o importante pueden apoyarse en nuestra línea temporal de notificación para alimentar su propia notificación del artículo 23 de NIS2 al CSIRT nacional.
La obligación de cadena de suministro convierte la postura de tu proveedor en tu problema.
El artículo 21 enumera la seguridad de la cadena de suministro como una de las diez medidas obligatorias, lo que significa que una entidad regulada tiene que gestionar la seguridad de sus proveedores y prestadores de servicios como parte de su propio cumplimiento. Este es el mecanismo por el que NIS2 alcanza a proveedores que no están nombrados en la directiva: a través de los contratos y las exigencias de due diligence de los clientes regulados a los que sirven. Tu proveedor de email infraestructura es parte de tu superficie de ataque y por tanto parte de tu postura NIS2, así que los fallos de seguridad del proveedor se convierten en tu hallazgo en una auditoría. Nos convertimos en un activo de la cadena de suministro en lugar de un hueco siendo auditables a demanda: la lista pública de subprocesadores, las revisiones anuales de seguridad de subprocesadores disponibles bajo NDA, el proceso documentado de coordinación de incidentes y el mapeo del artículo 21 que un cliente puede plegar en su propio expediente de riesgo de proveedores. La misma transparencia que satisface un cuestionario de procurement satisface a un supervisor que revisa tu cadena de suministro, porque hacen la misma pregunta desde sillas distintas. Un proveedor que trata la evidencia de cadena de suministro como un entregable rutinario y no como una petición especial es el que no se convierte en el eslabón débil cuando corre tu propia evaluación.
El reloj de 24 horas es una restricción de diseño operativo, no una línea de política.
El artículo 23 fija una cadencia de reporte en tres etapas: un aviso temprano en las 24 horas siguientes a tener constancia de un incidente significativo, una notificación más completa en 72 horas y un informe final en un mes. La parte difícil es la primera etapa, porque el reloj arranca en el momento de tener constancia, y "significativo" tiene una definición: un incidente que causa o es capaz de causar una perturbación operativa grave, pérdidas financieras o un daño material a terceros. Cumplir ese plazo no es cuestión de tener una política que diga 24 horas; es cuestión de construir el pipeline de detección y confirmación para que el aviso pueda de verdad salir del edificio dentro de la ventana. Nuestra cascada está diseñada para alimentar tu reloj y no el nuestro. El monitoreo automatizado levanta una alerta en minutos, un incident commander confirma el alcance y los clientes afectados reciben un aviso temprano con los hechos materiales bien dentro de las 24 horas, con un objetivo operativo de treinta minutos desde la confirmación. La notificación lleva lo que tu equipo necesita para juzgar si se activa tu propia obligación del artículo 23, porque la evaluación de significatividad para tu organización es tuya y no puedes hacerla sin los hechos. Un proveedor cuyo primer aviso llega en la hora veintitrés ha cumplido técnicamente y en la práctica te ha dejado sin tiempo para cumplir tu propio plazo.
Continuidad de negocio y los objetivos de recuperación que NIS2 espera.
La medida (c) del artículo 21 exige continuidad de negocio y gestión de crisis, y un regulador que la lee quiere números en lugar de tranquilizaciones. Nuestra arquitectura se reparte entre varios puntos de presencia para que la pérdida de uno no tumbe el servicio, los backups se conservan treinta y cinco días y cifrados, y los procedimientos de restauración se prueban cada trimestre en lugar de darse por buenos. Los objetivos de recuperación están enunciados: un objetivo de punto de recuperación de seis horas que acota cuántos datos podría costar un evento en el peor caso, y un objetivo de tiempo de recuperación de cuatro horas que acota cuánto tarda la restauración. La gestión de crisis es un procedimiento documentado con un incident commander nombrado y una ruta de escalado definida, ejercitado en simulacros de mesa dos veces al año para que el plan sea memoria muscular y no una carpeta. Para un cliente, estos objetivos alimentan directamente su propia planificación de continuidad, porque la resiliencia de un canal de email que transporta restablecimientos de contraseña, confirmaciones de pedido y alertas de seguridad es parte del cuadro de riesgo operativo del propio cliente. Un proveedor que puede enunciar su RPO y su RTO y mostrar la evidencia de las pruebas de restauración deja que un cliente escriba un plan de continuidad contra cifras reales, mientras que un proveedor que solo habla de alta disponibilidad deja al cliente adivinando los números que un auditor acabará pidiendo.
¿Dónde se separan NIS2 y DORA para un cliente financiero?
Una entidad financiera que lee esta página suele estar sujeta a la vez a NIS2 y DORA, y los dos no se apilan de forma arbitraria. DORA es lex specialis bajo el artículo 4(1) de NIS2, lo que significa que para las obligaciones de gestión de riesgo TIC y de reporte de incidentes que ambos marcos comparten, una entidad financiera sigue DORA y se la considera como que ha cumplido los deberes equivalentes de NIS2. La banca y las infraestructuras de los mercados financieros quedaron fuera de los sectores centrales de NIS2 precisamente porque DORA gobierna su resiliencia operativa en términos más específicos. Para una fintech o un banco que elige proveedor de email, esto decide qué línea temporal de reporte y qué obligaciones de registro vinculan: las reglas de reporte de incidentes de DORA y los requisitos del Registro de Información, en lugar de la cascada del artículo 23 de NIS2, aunque las expectativas de seguridad subyacentes estén muy alineadas. Mantenemos la misma evidencia en cualquier caso, y nuestra página de DORA cubre las particularidades del sector financiero, pero la división vale la pena enunciarla aquí para que un comprador financiero no ensamble un expediente NIS2 cuando DORA es el marco que su supervisor aplicará de verdad.