NIS2 en España: qué exige la Directiva 2022/2555 y cómo acreditar el cumplimiento V-PROOF

NIS2 en España: qué exige la Directiva 2022/2555 y cómo acreditar el cumplimiento — V-PROOF Journal
Normativa · Ciberseguridad

NIS2 en España: qué exige la Directiva y cómo acreditar el cumplimiento ante el regulador

La Directiva (UE) 2022/2555 amplía a miles de entidades españolas la obligación de implementar medidas de ciberseguridad verificables. Ya no basta con una política escrita — el Art. 21 exige evidencia técnica que el CCN-CERT y el INCIBE-CERT pueden auditar.

Veröffentlicht: Juli 2026
Cobertura normativa: NIS2 · Art. 21 · Art. 20 · Art. 23
Kategorie: Regulierung
NIS2 · UE 2022/2555 Europäischer Anbieter Servicios esenciales

Kernpunkte

  • La Directiva NIS2 es de obligada transposición desde el 17 de octubre de 2024 y España la está incorporando a través de la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad.
  • El Art. 21 establece diez categorías de medidas técnicas obligatorias — desde gestión de riesgos hasta seguridad de la cadena de suministro — que deben poderse acreditar ante el regulador.
  • El Art. 20 introduce responsabilidad personal de los órganos de dirección: los Consejos de Administración deben aprobar las medidas de ciberseguridad y son individualmente responsables del incumplimiento.
  • El Art. 23 exige notificación de incidentes significativos en 24 horas (alerta temprana), 72 horas (notificación) y un mes (informe final) — plazos que exigen registros técnicos inmediatos.
  • V-PROOF genera evidencia criptográfica inmutable de la implementación de las medidas del Art. 21 activo por activo, con timestamp blockchain verificable por cualquier supervisor o auditor.
  • La convergencia NIS2 + DORA afecta a los sectores financiero, bancario y de infraestructuras de mercados: entidades ya sujetas a DORA deben además cumplir NIS2 sin solapamiento garantizado.

NIS2: de directiva de mínimos a obligación de evidencia técnica

La Directiva NIS1 (2016/1148) fue el primer intento europeo de armonizar la ciberseguridad de infraestructuras críticas. Su problema: dejaba demasiado margen a los Estados para establecer requisitos, creaba fragmentación normativa y no incluía mecanismos de verificación real del cumplimiento. NIS2 (Directiva (UE) 2022/2555) corrige todos esos defectos.

Publicada el 27 de diciembre de 2022 en el Diario Oficial de la UE, NIS2 amplía drásticamente el alcance de NIS1: de unos centenares de operadores de servicios esenciales identificados por cada Estado a miles de entidades en sectores ampliados. Introduce además tres cambios estructurales que la convierten en una normativa cualitativamente diferente: la responsabilidad personal de la alta dirección, plazos de notificación de incidentes mucho más exigentes, y la obligación expresa de medidas verificables —no solo declaradas.

La diferencia entre NIS1 y NIS2

NIS1 preguntaba: "¿tiene usted una política de seguridad?" NIS2 pregunta: "¿puede demostrar que sus medidas de seguridad funcionan y que su dirección las ha aprobado formalmente?" Es el mismo salto que existe entre un manual de procedimientos y una evidencia técnica verificable.

En España, la transposición se realiza a través de la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad, en tramitación parlamentaria a lo largo de 2025 y 2026. Las autoridades competentes serán el CCN-CERT (para las Administraciones Públicas y el sector privado de infraestructuras críticas bajo el CNI) y el INCIBE-CERT (para el sector privado en general). Las sanciones previstas alcanzan los 10 millones de euros o el 2% de la facturación global para entidades esenciales, y 7 millones o el 1,4% para entidades importantes.

Quién está obligado: entidades esenciales e importantes

NIS2 divide las entidades en dos categorías con requisitos y régimen sancionador diferenciado. La clasificación depende del sector, el tamaño (empresas medianas y grandes) y la criticidad para la sociedad o la economía.

Entidades esenciales · Régimen reforzado
  • Energía (electricidad, gas, petróleo, calefacción, hidrógeno)
  • Transporte (aéreo, ferroviario, marítimo, por carretera)
  • Banca e infraestructuras de mercados financieros
  • Sector sanitario (hospitales, laboratorios, fabricantes de productos críticos)
  • Agua potable y aguas residuales
  • Infraestructuras digitales (IXPs, DNS, TLD, cloud, CDN, datacenters)
  • Gestión de servicios TIC (MSPs, MSSPs)
  • Administración Pública central y regional
  • Espacio
Entidades importantes · Régimen estándar
  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación de productos químicos
  • Producción, transformación y distribución de alimentos
  • Fabricación (dispositivos médicos, electrónica, maquinaria, vehículos)
  • Proveedores de servicios digitales (mercados en línea, buscadores, redes sociales)
  • Institutos de investigación
  • Proveedores TIC de las entidades anteriores

La clasificación no es solo teórica: las entidades esenciales están sujetas a supervisión ex ante (el regulador puede solicitar documentación sin haber detectado incidente previo), mientras que las importantes se supervisan ex post. En ambos casos, sin embargo, la obligación de disponer de evidencia técnica verificable es idéntica.

El calendario NIS2: dónde estamos y qué queda por venir

27. Dezember 2022
Veröffentlichung im Amtsblatt der Europäischen Union
La Directiva (UE) 2022/2555 se publica en el Diario Oficial de la UE. Deroga la Directiva NIS1 (2016/1148).
17 octubre 2024
Fecha límite de transposición en los Estados miembros
Los Estados miembros debían haber transpuesto NIS2 a su derecho nacional. España, como varios otros Estados, no completó la transposición en plazo — situación que no exime a las entidades de cumplir los requisitos materiales de la Directiva.
2025 – 2026
Tramitación parlamentaria en España
La Ley de Coordinación y Gobernanza de la Ciberseguridad avanza en el Parlamento. Las entidades en sectores afectados deben preparar su cumplimiento sin esperar a que la ley esté aprobada: el efecto directo de la Directiva ya es exigible.
HOY — 2026
Período de mayor riesgo de incumplimiento
Las entidades que no hayan implementado las medidas del Art. 21 ni documentado la aprobación del Consejo de Administración (Art. 20) están en incumplimiento. El INCIBE y el CCN-CERT han iniciado actividades de sensibilización y primeras solicitudes de información.
2026 – 2027
Primeras inspecciones formales y sanciones
Una vez aprobada la ley de transposición española, el CCN-CERT e INCIBE-CERT tendrán competencias formales de inspección y sanción. Las entidades sin registros técnicos verificables de sus medidas de ciberseguridad se enfrentarán a las sanciones más elevadas.

El Art. 21 y los registros técnicos que V-PROOF genera

El Art. 21 de NIS2 establece que las entidades deben adoptar medidas técnicas, operativas y organizativas "adecuadas y proporcionadas" para gestionar los riesgos de ciberseguridad. Los RTS e ITS que la ENISA y la Comisión están desarrollando especificarán qué nivel de evidencia será exigible. Estos son los cuatro pilares del Art. 21 para los que V-PROOF genera evidencia directa:

Art. 21(2)(a) — Análisis de riesgos
Registros verificables de la implementación de controles de gestión de riesgos
Las entidades deben demostrar que sus políticas de análisis de riesgos no son solo documentos — sino controles implementados y operativos. La diferencia entre "tenemos una política" y "podemos acreditar que funciona" es exactamente el gap que V-PROOF cierra.
Evidencia V-PROOF V-Seal Core genera un sello criptográfico de cada control de seguridad implementado: qué medida se estableció, quién la aprobó, cuándo y con qué estado. El hash SHA-256 anclado en blockchain es verificable por el INCIBE-CERT o el CCN-CERT sin necesidad de acceso a los sistemas internos.
Art. 21(2)(b) — Gestión de incidentes
Logs inmutables de incidentes con timestamp blockchain para notificaciones Art. 23
El Art. 23 exige alerta temprana en 24 horas, notificación en 72 y informe final en un mes. Para cumplir estos plazos con credibilidad, la entidad necesita registros técnicos del momento exacto en que detectó el incidente — un registro que sea técnicamente inalterable retroactivamente.
Evidencia V-PROOF Cada incidente registrado a través de V-PROOF recibe un timestamp blockchain inmutable. La entidad puede demostrar ante el regulador exactamente cuándo detectó el incidente y qué acciones se tomaron — con evidencia criptográfica que no puede ser alterada post-facto.
Art. 21(2)(d) — Cadena de suministro
Trazabilidad de la cadena de suministro de software con evidencia verificable
NIS2 introduce explícitamente la seguridad de la cadena de suministro como obligación, incluyendo los aspectos de seguridad del software. Las entidades que desarrollan o integran software de terceros deben poder acreditar la trazabilidad e integridad de ese software ante el regulador.
Evidencia V-PROOF Git Integration sella criptográficamente cada commit, versión y despliegue del software utilizado en sistemas críticos. La cadena de custodia del código es verificable commit a commit — exactamente el nivel de granularidad que los supervisores de NIS2 pueden requerir.
Art. 20 — Gobernanza de la dirección
Evidencia de aprobación formal por el órgano de dirección
El Art. 20 es una novedad estructural de NIS2: los órganos de dirección no solo deben aprobar las medidas de ciberseguridad — son personalmente responsables si la entidad incumple. La aprobación del Consejo debe ser documentada y demostrable.
Evidencia V-PROOF V-PROOF registra la identidad del aprobador, su rol institucional y el timestamp exacto de cada aprobación de medidas de seguridad. El órgano de dirección tiene evidencia criptográfica de haber ejercido su función de gobernanza — defensable ante cualquier procedimiento de responsabilidad personal.

Cobertura V-PROOF por obligación NIS2

Artículo NIS2 Verpflichtung Reichweite V-PROOF-Modul
Art. 20 — Gobernanza de los órganos de dirección
Art. 20Responsabilidad dirección Evidencia de aprobación formal de medidas de ciberseguridad por el órgano de gobierno ✓ Abgeschlossen V-Seal
Art. 21 — Medidas de gestión de riesgos de ciberseguridad
Art. 21(2)(a)Análisis de riesgos Registros verificables de controles de gestión de riesgos implementados y operativos ✓ Abgeschlossen V-Seal
Art. 21(2)(b)Gestión de incidentes Logs inmutables de incidentes con timestamp exacto de detección, clasificación y respuesta ✓ Abgeschlossen V-Seal
Art. 21(2)(c)Continuidad de actividades Evidencia de pruebas de continuidad y recuperación ante desastres realizadas ◐ Teilprüfung V-Seal
Art. 21(2)(d)Cadena de suministro Trazabilidad de la cadena de suministro de software con evidencia verificable por componente ✓ Abgeschlossen Git-Integration
Art. 21(2)(e)Desarrollo y mantenimiento Historial verificable de cambios en sistemas TIC críticos — gestión de vulnerabilidades ✓ Abgeschlossen Git-Integration
Art. 21(2)(f)Eficacia de medidas Registros que demuestren que se evalúa la eficacia de las medidas de ciberseguridad ◐ Teilprüfung V-Seal
Art. 21(2)(h)Criptografía Evidencia del uso de criptografía en la protección de activos críticos ✓ Abgeschlossen V-Seal
Art. 21(2)(g)(j)Formación y acceso Políticas de formación en ciberhigiene y control de accesos — Verantwortung des Kunden Proceso organizativo interno
Art. 23 — Notificación de incidentes significativos
Art. 2324h / 72h / 1 mes Registro inmutable del momento de detección del incidente y acciones de respuesta tomadas ✓ Abgeschlossen V-Seal
Convergencia NIS2 + EU AI Act — Para entidades que usan IA en infraestructuras críticas
NIS2 Art. 21(2)(a)+ EU AI Act Art. 14 Supervisión humana verificable en sistemas de IA que operan infraestructuras críticas ✓ Abgeschlossen AI Orchestrator V-Proof

◐ Parcial = V-PROOF certifica que la actividad se realizó; el diseño de la actividad (el plan de continuidad, la evaluación de eficacia) es responsabilidad de la entidad.

NIS2 y DORA: obligaciones diferentes sobre las mismas entidades

Un error habitual en los equipos de compliance del sector financiero es asumir que el cumplimiento de DORA implica automáticamente el cumplimiento de NIS2. No es así. Son dos marcos con alcances, autoridades competentes y requisitos específicos distintos — y la intersección no es total.

Las entidades bancarias, de infraestructuras de mercados financieros y de infraestructuras digitales están en el ámbito de aplicación de ambas normativas. DORA es un reglamento de aplicación directa gestionado por la EBA, ESMA y EIOPA. NIS2 es una directiva transpuesta por cada Estado, gestionada en España por el CCN-CERT e INCIBE-CERT. Las sanciones son independientes y acumulables.

La diferencia práctica para el CISO

DORA se centra en la resiliencia operativa de los sistemas TIC financieros y en los riesgos de proveedores terceros. NIS2 cubre además la seguridad de toda la cadena de suministro (no solo proveedores TIC críticos), introduce la responsabilidad personal de la dirección de forma explícita, y aplica a sectores como salud, energía o administración pública que DORA no toca. Una entidad bancaria necesita cumplir ambos. Una sola integración V-PROOF cubre los requisitos de evidencia técnica de los dos marcos simultáneamente.

Soberanía de datos · Relevancia NIS2

NIS2 y la seguridad de la cadena de suministro de proveedores TIC

El Art. 21(2)(d) de NIS2 exige que las entidades evalúen la seguridad de su cadena de suministro TIC, incluyendo los aspectos de seguridad relacionados con las relaciones entre cada entidad y sus proveedores directos. Esta obligación incluye evaluar el marco jurídico bajo el que opera el proveedor TIC.

Un proveedor de plataforma de AI Governance o GRC con sede en Estados Unidos está sujeto al CLOUD Act (18 U.S.C. § 2713), que permite a las autoridades americanas requerir acceso a datos gestionados por ese proveedor independientemente de dónde estén alojados. Una entidad esencial bajo NIS2 que use ese tipo de proveedor para gestionar su documentación de cumplimiento introduce un riesgo jurídico en su cadena de suministro que el propio Art. 21(2)(d) obliga a identificar y mitigar.

V-PROOF tiene sede legal en España. Sus clientes pueden incluirlo en su evaluación de cadena de suministro NIS2 con la garantía de que opera bajo soberanía de la UE, sin exposición al marco jurídico americano.

La soberanía completa frente al CLOUD Act también depende de la infraestructura cloud sobre la que el cliente despliega V-PROOF. Para entidades esenciales NIS2, recomendamos combinarlo con proveedores cloud de sede legal europea.
Strategische Analyse

V-PROOF ante NIS2

Stärken, Anwendungsfälle im regulatorischen Bereich und Grenzen des Anwendungsbereichs

F
Fortalezas · Lo que V-PROOF aporta a NIS2
  • Evidencia criptográfica de que las medidas del Art. 21 están implementadas y operativas — no solo declaradas en una política Art. 21(2)(a) — Gestión de riesgos
  • Registro inmutable del momento exacto de detección y clasificación de incidentes — esencial para acreditar el cumplimiento de los plazos del Art. 23 Art. 21(2)(b) + Art. 23
  • Trazabilidad commit a commit de la cadena de suministro de software crítico — el nivel de granularidad que los supervisores exigirán bajo Art. 21(2)(d) Art. 21(2)(d) — Git Integration
  • Registro de la aprobación formal del órgano de dirección: el Consejo tiene evidencia criptográfica de haber ejercido su función de gobernanza NIS2 Art. 20 — Responsabilidad dirección
  • Proveedor con sede legal en España: la evaluación de cadena de suministro TIC del Art. 21(2)(d) no genera riesgo CLOUD Act Art. 21(2)(d) — Cadena de suministro
  • Cobertura dual NIS2 + DORA + EU AI Act en una sola integración para entidades en sectores de doble obligación Convergencia normativa 2025–2027
Anwendungsbereiche · Regulatorische Anwendungsfälle
  • Operadores de servicios esenciales en energía, transporte y salud que necesitan evidencia técnica verificable del Art. 21 antes de la primera inspección Entidades esenciales — Art. 3
  • Infraestructuras digitales (datacenters, proveedores cloud europeos, MSPs) que deben acreditar su seguridad ante clientes NIS2 Sección 8 — Infraestructuras digitales
  • Administraciones Públicas centrales y regionales preparando su cumplimiento bajo la supervisión del CCN-CERT Sección 10 — Sector público
  • Consejos de Administración de entidades esenciales que necesitan documentar su función de gobernanza NIS2 ante posibles procedimientos de responsabilidad personal Art. 20 — Responsabilidad personal
  • Entidades bancarias y financieras con doble obligación NIS2 + DORA que buscan una sola integración para ambos marcos Convergencia NIS2 + DORA
Außerhalb des Geltungsbereichs · Verantwortung des Kunden
  • Notificación formal de incidentes al INCIBE-CERT o CCN-CERT (Art. 23): V-PROOF genera el registro sellado del incidente; la notificación es responsabilidad del equipo de compliance. Art. 23 — Notificación
  • Diseño del plan de continuidad de negocio y recuperación ante desastres (Art. 21(2)(c)): V-PROOF certifica que las pruebas se realizaron, no diseña el plan. Art. 21(2)(c) — Continuidad
  • Formación del personal en ciberhigiene (Art. 21(2)(g)): V-PROOF puede sellar la evidencia de que la formación se realizó, no la imparte. Art. 21(2)(g) — Formación
  • Evaluación de riesgos de terceros (Art. 21(2)(d) — parte organizativa): V-PROOF certifica los resultados y medidas implementadas; la evaluación de riesgos es responsabilidad de la entidad. Art. 21(2)(d) — Evaluación
Diagnóstico NIS2

¿Puede su entidad demostrar ante el CCN-CERT o el INCIBE-CERT que sus medidas de ciberseguridad funcionan?

V-PROOF ofrece un diagnóstico estratégico de 48 horas que mapea las obligaciones NIS2 aplicables a su entidad, identifica los gaps de evidencia técnica y define el alcance de integración para los Arts. 20, 21 y 23.

Solicitar Diagnóstico Estratégico NIS2

Quellen und rechtliche Verweise

  1. Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 — EUR-Lex CELEX:32022L2555
  2. ENISA — NIS2 Implementation Guidelines, 2024 — enisa.europa.eu
  3. INCIBE — Guía de transposición NIS2 para el sector privado español — incibe.es
  4. CCN-CERT — Guía de implementación NIS2 para la Administración Pública española — ccn-cert.cni.es
  5. Comisión Europea — Informe sobre el estado de transposición de NIS2 en los Estados miembros, 2025 — digital-strategy.ec.europa.eu
  6. ENISA — Threat Landscape Report 2025 (referencias a sectores NIS2) — enisa.europa.eu
  7. Reglamento (UE) 2022/2554 (DORA) — referencia de convergencia con NIS2 para el sector financiero — EUR-Lex
Zurück
Zurück

DSGVO und ENS im Zeitalter der KI: Wie man mit kryptografischen V-PROOF-Nachweisen Rechenschaftspflicht nachweist

Weiter
Weiter

V-PROOF: Die erste spanische Plattform für KI-Governance, die Compliance in einen kryptografischen Nachweis umwandelt