Directiva NIS2: qué es, requisitos, plazos y cómo cumplirla

La Directiva NIS2 ya no es solo un objetivo para los departamentos de TI; se trata de un requisito legal en toda regla con un gran peso. Si diriges una empresa en la UE o prestas servicios a una, se acabaron los días de «ya lo haré en su momento». El periodo de gracia ha terminado y ahora la atención se centra en las auditorías y la aplicación de la normativa.

Piensa en la NIS2 como la forma en que la UE eleva el listón de la ciberseguridad. No se trata solo de evitar una filtración de datos, sino de garantizar que, si falla una parte de la cadena de suministro digital, el sistema en su conjunto no se derrumbe.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (abreviatura de la Directiva actualizada sobre seguridad de las redes y la información (NIS2)) es una ley de ciberseguridad de la Unión Europea destinada a reforzar la seguridad de las redes y los sistemas de información en todos los Estados miembros.

El objetivo es garantizar un alto nivel común de seguridad para las redes y los sistemas de información en toda la Unión. La directiva exige a los Estados miembros de la UE que la incorporen a su legislación nacional, lo que obliga a las empresas a adoptar un enfoque «multirriesgo». Esto implica tener en cuenta todos los aspectos, desde las prácticas básicas de seguridad en materia de contraseñas y el cifrado hasta la forma de gestionar un fallo total del sistema.

¿Quién debe cumplir con la NIS2?

Uno de los cambios más importantes que introduce la NIS2 es el aumento del número de empresas a las que afecta. La ley clasifica a las organizaciones en dos grupos principales:

• Entidades esenciales: se trata de las grandes empresas de sectores como la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la sanidad, el agua potable y las infraestructuras digitales, como los proveedores de servicios en la nube y los centros de datos. Si tu empresa cuenta con más de 250 empleados o tiene una facturación superior a 50 millones de euros, es probable que entre en esta categoría.
• Entidades importantes: Esto abarca un ámbito más amplio, como la producción alimentaria, los servicios postales, la gestión de residuos y la industria manufacturera, por ejemplo, productos químicos, dispositivos médicos, etc. Se incluyen la mayoría de las empresas con al menos 50 empleados y 10 millones de euros de ingresos.

Aunque seas una empresa pequeña, podrías verte afectado si eres un proveedor importante de alguna de estas grandes entidades o si tu interrupción pudiera suponer un riesgo sistémico.

Requisitos fundamentales de la Directiva NIS2

La ley se centra en unos cuantos aspectos principales. Si un auditor llama a tu puerta, tendrás que demostrar que estos forman parte activa de tus operaciones diarias.

Gestión de riesgos de ciberseguridad

Debes contar con políticas formales para el análisis de riesgos. No se trata simplemente de un PDF almacenado en un servidor, sino de medidas activas como la autenticación multifactorial (MFA), las comunicaciones de voz y vídeo seguras y el cifrado de datos.

Detección y notificación de incidentes

El plazo para notificar un incidente «grave» es increíblemente ajustado:

• 24 horas: Debe enviar una «alerta temprana» a las autoridades o al CSIRT.
• 72 horas: Debes realizar un seguimiento con una evaluación formal y una actualización sobre la infracción.
• 1 mes: Se debe entregar un informe final detallado sobre lo que ocurrió y cómo se solucionó.

Continuidad del negocio y gestión de crisis

Debes contar con un plan para mantener el servicio durante un ciberataque. Esto incluye la recuperación del sistema, los procedimientos de emergencia y la creación de un equipo de gestión de crisis.

Seguridad de la cadena de suministro

Ahora eres responsable de la seguridad de tus socios. Debes evaluar a tus proveedores y asegurarte de que no sean el eslabón débil de tu cadena.

Gobernanza y rendición de cuentas

Este aspecto llama la atención de los altos directivos. Los órganos de dirección pueden ser considerados personalmente responsables de los fallos de seguridad. Ahora se exige a los ejecutivos que realicen cursos de formación en ciberseguridad para que comprendan realmente los riesgos que asumen.

Controles de correo electrónico y autenticación (no mencionados, pero recomendados)

La NIS2 no menciona explícitamente todas y cada una de las herramientas de software, pero exige «la seguridad de las redes y los sistemas de información». Dado que la mayoría de los ciberataques comienzan con un correo electrónico falso, proteger tu dominio es fundamental.

El uso de DMARC, SPF y DKIM garantiza que, cuando un correo electrónico sale de tu empresa, el destinatario sepa que realmente procede de ti. Impide el «spoofing», es decir, cuando un hacker se hace pasar por tu director general para provocar una transferencia bancaria fraudulenta. Los expertos del sector coinciden en que DMARC refuerza la protección frente a las amenazas más comunes y se ajusta perfectamente a los pilares de gestión de riesgos de la NIS2.

Consecuencias del incumplimiento

En el caso de las entidades esenciales, pueden alcanzar los 10 millones de euros o el 2 % de la facturación anual global. En el caso de las entidades importantes, el límite máximo es de 7 millones de euros o el 1,4 %.

Más allá de las sanciones económicas, te enfrentas a auditorías, órdenes de cumplimiento y el riesgo de perder tu derecho a operar en determinados sectores.

Plazos de la NIS2 e hitos para 2026

Si aún no lo has hecho, anota estas fechas en tu calendario. Ya nos encontramos en la fase de aplicación efectiva:

• Inscripción: A principios de 2026, la mayoría de las empresas deberían haberse inscrito como entidades en sus portales nacionales.
• 17 de abril de 2025: Esta era la fecha límite para que los Estados miembros elaboraran la lista inicial de entidades esenciales e importantes.
• 30 de junio de 2026: Se trata de un hito muy importante. Es la fecha límite fijada para que muchas empresas completen su primera auditoría formal de cumplimiento de la NIS2.
• Notificación continua: A partir de 2026, la norma de notificación en un plazo de 24 horas entrará plenamente en vigor. Las autoridades esperan que se notifique de inmediato cualquier violación significativa.

Cómo ayuda PowerDMARC a cumplir los requisitos de seguridad del correo electrónico

En lugar de intentar gestionar manualmente los complejos protocolos de correo electrónico, PowerDMARC ayuda a automatizar la seguridad de las comunicaciones y la supervisión de riesgos.

• DMARC con SPF/DKIM: PowerDMARC ofrece servicios alojados para DMARC, SPF, DKIM y otros protocolos. Esto refuerza la integridad de tu correo electrónico y bloquea la suplantación de dominios. Cumple con los requisitos de NIS2 en materia de gestión proactiva de riesgos y protección contra el phishing.
• Informes y visibilidad: si alguien intenta atacar tu dominio, lo verás en tu panel de control. Esto te proporciona los datos que necesitas para detectar anomalías y cumplir con los estrictos plazos de notificación de incidentes.
• Supervisión de riesgos: La inteligencia automatizada sobre amenazas y la supervisión de políticas mantienen su dominio seguro sin necesidad de conjeturas manuales, lo que se ajusta a la exigencia de la NIS2 de adoptar medidas de seguridad activas.

Preparación para el cumplimiento de la NIS2

Si todavía estás puliendo los detalles de tu plan, aquí tienes los puntos más importantes que debes poner en primer lugar en tu lista:

• Identifica los puntos débiles: tienes que sentarte y realizar un análisis exhaustivo de las deficiencias. Echa un vistazo a tu situación actual y comprueba en qué aspectos no cumple con la legislación nacional. Es mejor que identifiques esos puntos débiles por ti mismo antes de que lo haga un auditor.
• Protege tu correo electrónico: es una medida sencilla que marca una gran diferencia. Activa DMARC, SPF y DKIM en todos y cada uno de los dominios que posea tu empresa. Así evitarás que tu nombre se utilice en estafas de phishing y harás que sea mucho más difícil manipular todo tu sistema de comunicación.
• Actúa con rapidez: los plazos de notificación de 24 y 72 horas no son ninguna broma. Necesitas un flujo de trabajo muy sólido, para que tu equipo sepa exactamente a quién llamar y qué decir en cuanto detecte algo sospechoso.
• Revisa a tus socios: ahora también eres responsable de la seguridad de tus proveedores. Empieza a revisar los contratos con ellos. Debes asegurarte de que las personas con las que haces negocios cumplen las mismas normas de la NIS2 que tú.

Empieza a preparar la documentación: no esperes hasta la semana anterior a tu auditoría de junio de 2026 para buscar tus registros. Empieza ya a organizar tus datos técnicos y documentos normativos. Tenerlo todo listo te ahorrará muchos quebraderos de cabeza durante todo el proceso.

Resumen

Al fin y al cabo, la NIS2 no consiste solo en cumplir una serie de requisitos para evitar una multa. Se trata de garantizar que tu empresa pueda sobrevivir realmente a un ataque. Vivimos en un mundo en el que los ciberataques forman parte del día a día de las empresas, y no son una hipótesis remota.

Al tomarte en serio aspectos como la seguridad del correo electrónico y la gestión de incidentes, no solo cumples con la ley, sino que proteges tu reputación y garantizas la continuidad de tu negocio.

PowerDMARC te ayuda a generar los informes exactos que necesitarás para tu auditoría de 2026. Empieza hoy mismo tu prueba gratuita con PowerDMARC y descubre lo fácil que es proteger tu dominio.

Preguntas frecuentes

¿Cómo ayuda DMARC con NIS2?

Aunque la NIS2 no incluye la implementación de DMARC entre sus requisitos de cumplimiento, considérala un elemento clave de tus medidas de «gestión de riesgos» y «autenticación». Al configurar DMARC, demuestras a las autoridades reguladoras que estás tomando medidas reales y activas para impedir el phishing y el uso indebido de dominios antes incluso de que se produzcan.

¿Con qué frecuencia debemos comprobar que cumplimos con la normativa?

Aunque los Estados miembros de la UE actualizan oficialmente su lista de empresas afectadas cada dos años, no deberías esperar tanto tiempo. Tus controles de seguridad internos deben ser una práctica constante; mantener el cumplimiento normativo es mucho más fácil que intentar «arreglarlo» todo justo antes de una auditoría.

¿Dónde puedo consultar el reglamento oficial?

Lo mejor es consultar la página web de la ENISA. También deberías consultar el portal de la autoridad de ciberseguridad de tu país, ya que suelen ofrecer los consejos más prácticos y adaptados a la realidad local.

¿Se aplica realmente la NIS2 a las pequeñas y medianas empresas (pymes)?

Por lo general, se aplica a partir de los 50 empleados y los 10 millones de euros de facturación. Pero hay una salvedad: si eres una pequeña empresa que realiza una labor esencial o un eslabón fundamental en la cadena de suministro de una gran empresa, las autoridades pueden considerarte una entidad «importante».

• Acerca de
• Últimas publicaciones

Ayan Bhuiya

Jefe de turno, experto en infraestructura y seguridad del correo electrónico en PowerDMARC

Con más de 13 años de experiencia en ciberseguridad, Ayan Bhuiya está especializado en infraestructuras, continuidad empresarial, gestión de riesgos y seguridad del correo electrónico. Actualmente es Jefe de Turno en PowerDMARC. Posee un Diploma de Postgrado en Redes y Seguridad y cuenta con un historial probado de liderazgo en iniciativas estratégicas de seguridad para mitigar las amenazas y garantizar la resiliencia de las empresas.

Últimos comentarios de Ayan Bhuiya (ver todos)

• Seis formas en que una filtración de datos personales puede poner en peligro la seguridad de tu empresa - 1 de abril de 2026
• Directiva NIS2: qué es, requisitos, plazos y cómo cumplirla - 26 de marzo de 2026
• Essential Eight frente a SMB 1001: una comparación completa para la ciberseguridad moderna en Australia - 12 de febrero de 2026