NIS2 en España: qué exige la Directiva 2022/2555 y cómo acreditar el cumplimiento V-PROOF
NIS2 en España: qué exige la Directiva y cómo acreditar el cumplimiento ante el regulador
La Directiva (UE) 2022/2555 amplía a miles de entidades españolas la obligación de implementar medidas de ciberseguridad verificables. Ya no basta con una política escrita — el Art. 21 exige evidencia técnica que el CCN-CERT y el INCIBE-CERT pueden auditar.
Kernpunkte
- La Directiva NIS2 es de obligada transposición desde el 17 de octubre de 2024 y España la está incorporando a través de la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad.
- El Art. 21 establece diez categorías de medidas técnicas obligatorias — desde gestión de riesgos hasta seguridad de la cadena de suministro — que deben poderse acreditar ante el regulador.
- El Art. 20 introduce responsabilidad personal de los órganos de dirección: los Consejos de Administración deben aprobar las medidas de ciberseguridad y son individualmente responsables del incumplimiento.
- El Art. 23 exige notificación de incidentes significativos en 24 horas (alerta temprana), 72 horas (notificación) y un mes (informe final) — plazos que exigen registros técnicos inmediatos.
- V-PROOF genera evidencia criptográfica inmutable de la implementación de las medidas del Art. 21 activo por activo, con timestamp blockchain verificable por cualquier supervisor o auditor.
- La convergencia NIS2 + DORA afecta a los sectores financiero, bancario y de infraestructuras de mercados: entidades ya sujetas a DORA deben además cumplir NIS2 sin solapamiento garantizado.
NIS2: de directiva de mínimos a obligación de evidencia técnica
La Directiva NIS1 (2016/1148) fue el primer intento europeo de armonizar la ciberseguridad de infraestructuras críticas. Su problema: dejaba demasiado margen a los Estados para establecer requisitos, creaba fragmentación normativa y no incluía mecanismos de verificación real del cumplimiento. NIS2 (Directiva (UE) 2022/2555) corrige todos esos defectos.
Publicada el 27 de diciembre de 2022 en el Diario Oficial de la UE, NIS2 amplía drásticamente el alcance de NIS1: de unos centenares de operadores de servicios esenciales identificados por cada Estado a miles de entidades en sectores ampliados. Introduce además tres cambios estructurales que la convierten en una normativa cualitativamente diferente: la responsabilidad personal de la alta dirección, plazos de notificación de incidentes mucho más exigentes, y la obligación expresa de medidas verificables —no solo declaradas.
La diferencia entre NIS1 y NIS2
NIS1 preguntaba: "¿tiene usted una política de seguridad?" NIS2 pregunta: "¿puede demostrar que sus medidas de seguridad funcionan y que su dirección las ha aprobado formalmente?" Es el mismo salto que existe entre un manual de procedimientos y una evidencia técnica verificable.
En España, la transposición se realiza a través de la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad, en tramitación parlamentaria a lo largo de 2025 y 2026. Las autoridades competentes serán el CCN-CERT (para las Administraciones Públicas y el sector privado de infraestructuras críticas bajo el CNI) y el INCIBE-CERT (para el sector privado en general). Las sanciones previstas alcanzan los 10 millones de euros o el 2% de la facturación global para entidades esenciales, y 7 millones o el 1,4% para entidades importantes.
Quién está obligado: entidades esenciales e importantes
NIS2 divide las entidades en dos categorías con requisitos y régimen sancionador diferenciado. La clasificación depende del sector, el tamaño (empresas medianas y grandes) y la criticidad para la sociedad o la economía.
- Energía (electricidad, gas, petróleo, calefacción, hidrógeno)
- Transporte (aéreo, ferroviario, marítimo, por carretera)
- Banca e infraestructuras de mercados financieros
- Sector sanitario (hospitales, laboratorios, fabricantes de productos críticos)
- Agua potable y aguas residuales
- Infraestructuras digitales (IXPs, DNS, TLD, cloud, CDN, datacenters)
- Gestión de servicios TIC (MSPs, MSSPs)
- Administración Pública central y regional
- Espacio
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación de productos químicos
- Producción, transformación y distribución de alimentos
- Fabricación (dispositivos médicos, electrónica, maquinaria, vehículos)
- Proveedores de servicios digitales (mercados en línea, buscadores, redes sociales)
- Institutos de investigación
- Proveedores TIC de las entidades anteriores
La clasificación no es solo teórica: las entidades esenciales están sujetas a supervisión ex ante (el regulador puede solicitar documentación sin haber detectado incidente previo), mientras que las importantes se supervisan ex post. En ambos casos, sin embargo, la obligación de disponer de evidencia técnica verificable es idéntica.
El calendario NIS2: dónde estamos y qué queda por venir
El Art. 21 y los registros técnicos que V-PROOF genera
El Art. 21 de NIS2 establece que las entidades deben adoptar medidas técnicas, operativas y organizativas "adecuadas y proporcionadas" para gestionar los riesgos de ciberseguridad. Los RTS e ITS que la ENISA y la Comisión están desarrollando especificarán qué nivel de evidencia será exigible. Estos son los cuatro pilares del Art. 21 para los que V-PROOF genera evidencia directa:
Cobertura V-PROOF por obligación NIS2
| Artículo NIS2 | Verpflichtung | Reichweite | V-PROOF-Modul |
|---|---|---|---|
| Art. 20 — Gobernanza de los órganos de dirección | |||
| Art. 20Responsabilidad dirección | Evidencia de aprobación formal de medidas de ciberseguridad por el órgano de gobierno | ✓ Abgeschlossen | V-Seal |
| Art. 21 — Medidas de gestión de riesgos de ciberseguridad | |||
| Art. 21(2)(a)Análisis de riesgos | Registros verificables de controles de gestión de riesgos implementados y operativos | ✓ Abgeschlossen | V-Seal |
| Art. 21(2)(b)Gestión de incidentes | Logs inmutables de incidentes con timestamp exacto de detección, clasificación y respuesta | ✓ Abgeschlossen | V-Seal |
| Art. 21(2)(c)Continuidad de actividades | Evidencia de pruebas de continuidad y recuperación ante desastres realizadas | ◐ Teilprüfung | V-Seal |
| Art. 21(2)(d)Cadena de suministro | Trazabilidad de la cadena de suministro de software con evidencia verificable por componente | ✓ Abgeschlossen | Git-Integration |
| Art. 21(2)(e)Desarrollo y mantenimiento | Historial verificable de cambios en sistemas TIC críticos — gestión de vulnerabilidades | ✓ Abgeschlossen | Git-Integration |
| Art. 21(2)(f)Eficacia de medidas | Registros que demuestren que se evalúa la eficacia de las medidas de ciberseguridad | ◐ Teilprüfung | V-Seal |
| Art. 21(2)(h)Criptografía | Evidencia del uso de criptografía en la protección de activos críticos | ✓ Abgeschlossen | V-Seal |
| Art. 21(2)(g)(j)Formación y acceso | Políticas de formación en ciberhigiene y control de accesos | — Verantwortung des Kunden | Proceso organizativo interno |
| Art. 23 — Notificación de incidentes significativos | |||
| Art. 2324h / 72h / 1 mes | Registro inmutable del momento de detección del incidente y acciones de respuesta tomadas | ✓ Abgeschlossen | V-Seal |
| Convergencia NIS2 + EU AI Act — Para entidades que usan IA en infraestructuras críticas | |||
| NIS2 Art. 21(2)(a)+ EU AI Act Art. 14 | Supervisión humana verificable en sistemas de IA que operan infraestructuras críticas | ✓ Abgeschlossen | AI Orchestrator V-Proof |
◐ Parcial = V-PROOF certifica que la actividad se realizó; el diseño de la actividad (el plan de continuidad, la evaluación de eficacia) es responsabilidad de la entidad.
NIS2 y DORA: obligaciones diferentes sobre las mismas entidades
Un error habitual en los equipos de compliance del sector financiero es asumir que el cumplimiento de DORA implica automáticamente el cumplimiento de NIS2. No es así. Son dos marcos con alcances, autoridades competentes y requisitos específicos distintos — y la intersección no es total.
Las entidades bancarias, de infraestructuras de mercados financieros y de infraestructuras digitales están en el ámbito de aplicación de ambas normativas. DORA es un reglamento de aplicación directa gestionado por la EBA, ESMA y EIOPA. NIS2 es una directiva transpuesta por cada Estado, gestionada en España por el CCN-CERT e INCIBE-CERT. Las sanciones son independientes y acumulables.
La diferencia práctica para el CISO
DORA se centra en la resiliencia operativa de los sistemas TIC financieros y en los riesgos de proveedores terceros. NIS2 cubre además la seguridad de toda la cadena de suministro (no solo proveedores TIC críticos), introduce la responsabilidad personal de la dirección de forma explícita, y aplica a sectores como salud, energía o administración pública que DORA no toca. Una entidad bancaria necesita cumplir ambos. Una sola integración V-PROOF cubre los requisitos de evidencia técnica de los dos marcos simultáneamente.
NIS2 y la seguridad de la cadena de suministro de proveedores TIC
El Art. 21(2)(d) de NIS2 exige que las entidades evalúen la seguridad de su cadena de suministro TIC, incluyendo los aspectos de seguridad relacionados con las relaciones entre cada entidad y sus proveedores directos. Esta obligación incluye evaluar el marco jurídico bajo el que opera el proveedor TIC.
Un proveedor de plataforma de AI Governance o GRC con sede en Estados Unidos está sujeto al CLOUD Act (18 U.S.C. § 2713), que permite a las autoridades americanas requerir acceso a datos gestionados por ese proveedor independientemente de dónde estén alojados. Una entidad esencial bajo NIS2 que use ese tipo de proveedor para gestionar su documentación de cumplimiento introduce un riesgo jurídico en su cadena de suministro que el propio Art. 21(2)(d) obliga a identificar y mitigar.
V-PROOF tiene sede legal en España. Sus clientes pueden incluirlo en su evaluación de cadena de suministro NIS2 con la garantía de que opera bajo soberanía de la UE, sin exposición al marco jurídico americano.
V-PROOF ante NIS2
Stärken, Anwendungsfälle im regulatorischen Bereich und Grenzen des Anwendungsbereichs
- Evidencia criptográfica de que las medidas del Art. 21 están implementadas y operativas — no solo declaradas en una política Art. 21(2)(a) — Gestión de riesgos
- Registro inmutable del momento exacto de detección y clasificación de incidentes — esencial para acreditar el cumplimiento de los plazos del Art. 23 Art. 21(2)(b) + Art. 23
- Trazabilidad commit a commit de la cadena de suministro de software crítico — el nivel de granularidad que los supervisores exigirán bajo Art. 21(2)(d) Art. 21(2)(d) — Git Integration
- Registro de la aprobación formal del órgano de dirección: el Consejo tiene evidencia criptográfica de haber ejercido su función de gobernanza NIS2 Art. 20 — Responsabilidad dirección
- Proveedor con sede legal en España: la evaluación de cadena de suministro TIC del Art. 21(2)(d) no genera riesgo CLOUD Act Art. 21(2)(d) — Cadena de suministro
- Cobertura dual NIS2 + DORA + EU AI Act en una sola integración para entidades en sectores de doble obligación Convergencia normativa 2025–2027
- Operadores de servicios esenciales en energía, transporte y salud que necesitan evidencia técnica verificable del Art. 21 antes de la primera inspección Entidades esenciales — Art. 3
- Infraestructuras digitales (datacenters, proveedores cloud europeos, MSPs) que deben acreditar su seguridad ante clientes NIS2 Sección 8 — Infraestructuras digitales
- Administraciones Públicas centrales y regionales preparando su cumplimiento bajo la supervisión del CCN-CERT Sección 10 — Sector público
- Consejos de Administración de entidades esenciales que necesitan documentar su función de gobernanza NIS2 ante posibles procedimientos de responsabilidad personal Art. 20 — Responsabilidad personal
- Entidades bancarias y financieras con doble obligación NIS2 + DORA que buscan una sola integración para ambos marcos Convergencia NIS2 + DORA
- Notificación formal de incidentes al INCIBE-CERT o CCN-CERT (Art. 23): V-PROOF genera el registro sellado del incidente; la notificación es responsabilidad del equipo de compliance. Art. 23 — Notificación
- Diseño del plan de continuidad de negocio y recuperación ante desastres (Art. 21(2)(c)): V-PROOF certifica que las pruebas se realizaron, no diseña el plan. Art. 21(2)(c) — Continuidad
- Formación del personal en ciberhigiene (Art. 21(2)(g)): V-PROOF puede sellar la evidencia de que la formación se realizó, no la imparte. Art. 21(2)(g) — Formación
- Evaluación de riesgos de terceros (Art. 21(2)(d) — parte organizativa): V-PROOF certifica los resultados y medidas implementadas; la evaluación de riesgos es responsabilidad de la entidad. Art. 21(2)(d) — Evaluación
¿Puede su entidad demostrar ante el CCN-CERT o el INCIBE-CERT que sus medidas de ciberseguridad funcionan?
V-PROOF ofrece un diagnóstico estratégico de 48 horas que mapea las obligaciones NIS2 aplicables a su entidad, identifica los gaps de evidencia técnica y define el alcance de integración para los Arts. 20, 21 y 23.
Solicitar Diagnóstico Estratégico NIS2Quellen und rechtliche Verweise
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 — EUR-Lex CELEX:32022L2555
- ENISA — NIS2 Implementation Guidelines, 2024 — enisa.europa.eu
- INCIBE — Guía de transposición NIS2 para el sector privado español — incibe.es
- CCN-CERT — Guía de implementación NIS2 para la Administración Pública española — ccn-cert.cni.es
- Comisión Europea — Informe sobre el estado de transposición de NIS2 en los Estados miembros, 2025 — digital-strategy.ec.europa.eu
- ENISA — Threat Landscape Report 2025 (referencias a sectores NIS2) — enisa.europa.eu
- Reglamento (UE) 2022/2554 (DORA) — referencia de convergencia con NIS2 para el sector financiero — EUR-Lex
