site-logo
site-logo
site-logo

Abordando los desafíos de la implementación de NIS2

Inicio

Blogs

Abordando los desafíos de la implementación de NIS2

Abordando los desafíos de la implementación de NIS2

Implementación de NIS2
Shieldworkz logo

Equipo Shieldworkz

Comencemos la publicación de hoy con un chequeo de la realidad. La Directiva NIS2 entró en vigor en enero de 2023, con una fecha límite de transposición para el 17 de octubre de 2024. Esa fecha ya está muy pasada. Y sin embargo, el panorama sigue siendo fragmentado. A principios de 2026, solo alrededor de 14 Estados Miembros de la UE han completado la transposición. La Comisión Europea ha enviado dictámenes motivados a 19 Estados Miembros por no completar el proceso, advirtiendo que los casos podrían ser remitidos al Tribunal de Justicia. Alemania — hogar de aproximadamente 30,000 empresas afectadas — solo promulgó su ley nacional en diciembre de 2025. Francia, Irlanda y España todavía están trabajando en sus procesos legislativos.

Para las organizaciones atrapadas en el medio, esto crea una situación única e incómoda: están legalmente obligados bajo una directiva cuyas reglas de implementación nacional pueden no estar completamente en vigor en su jurisdicción, mientras que los reguladores en otros Estados Miembros donde operan ya están auditando. Bienvenidos a NIS2.

  • 14 Estados Miembros con transposición completada a principios de 2026

  • 19 Estados que recibieron dictámenes motivados de la Comisión por falta de transposición

  • ~75% de las organizaciones encuestadas carecían de un presupuesto dedicado para la implementación de NIS2 (ECSO, 2025)

"El cumplimiento no es un proyecto con una línea de meta. Es una postura operativa que su junta directiva debe asumir. Ese cambio de mentalidad es el desafío de implementación más difícil de todos."

El laberinto de la transposición

Aquí está el problema estructural central que la mayoría de las guías subestiman: NIS2 es una directiva, no una regulación. Cada Estado Miembro la transpone a su derecho nacional con sus propias interpretaciones, extensiones y desviaciones. Esto no es una preocupación teórica, ya está causando dolor operativo real para cualquier organización con presencia en más de un país de la UE.

Bélgica ha introducido una política de divulgación coordinada de vulnerabilidades obligatoria. Italia ha ampliado la lista de sectores regulados más allá de los Anexos de NIS2 para incluir servicios legales para grandes minoristas y entidades del sector cultural. Grecia requiere evaluaciones estructuradas basadas en riesgos con revisiones anuales obligatorias y declaraciones de cumplimiento. Hungría opera un marco legal dual que requiere que las organizaciones contraten auditores externos certificados dentro de los 120 días de registro.

Para una empresa de logística de tamaño medio que opera en seis Estados Miembros, esto significa seis marcos de cumplimiento potencialmente distintos sobre el estándar común de NIS2. Las empresas de telecomunicaciones, proveedores de la nube y proveedores de servicios gestionados enfrentan aún más complejidad: dependiendo de su tipo de servicio, pueden estar sujetas a la ley de su "principal establecimiento" o, por el contrario, a las leyes de cada Estado Miembro donde prestan servicios.

¿Qué hacer al respecto?

Acciones para los profesionales

  • Construya una matriz de jurisdicción. Mapee cada país donde tiene operaciones, procesamiento de datos o prestación de servicios contra el estado de transposición de ese país y cualquier desviación del estándar de la directiva. Actualícelo trimestralmente; realmente está cambiando.

  • No trate el estándar de NIS2 como su techo. Varios Estados Miembros ya lo han excedido. Calibre al país jurisdiccional más estricto en el que opere como su estándar por defecto.

  • Identifique su jurisdicción de "establecimiento principal" temprano. Los proveedores de nube y los operadores de centros de datos enfrentan reglas de asignación jurisdiccional diferentes a otros tipos de entidades: obtenga claridad legal sobre esto antes de que los reguladores lo asignen por usted.

  • Siga la propuesta del Omnibus Digital de la UE con atención. En enero de 2026, la Comisión Europea propuso enmiendas específicas a NIS2 para aumentar la claridad legal y simplificar el cumplimiento para alrededor de 28,700 empresas, incluidas entidades más pequeñas. Estas aún no están en vigor, pero remodelarán las obligaciones cuando lo estén.


Entendiendo el alcance

NIS2 amplió dramáticamente su alcance en comparación con su predecesora. Ahora cubre 18 sectores críticos, incluyendo —nuevamente— servicios postales y de mensajería, producción de alimentos, productos químicos, gestión de residuos y fabricación de dispositivos médicos, electrónica y maquinaria. La "regla de límite de tamaño" significa que todas las empresas medianas y grandes que operan en estos sectores están en alcance automáticamente, sin necesidad de ser formalmente designadas.

El problema es que "mediano" tiene una definición específica de la UE (más de 50 empleados o más de €10M de facturación), y en la práctica muchas organizaciones realmente no saben si califican. Me encuentro regularmente con empresas que asumieron que estaban fuera de alcance porque se consideraban "pequeñas" según las normas de la industria, solo para descubrir que cruzaron el umbral hace años. Otros están en alcance porque una subsidiaria o unidad de negocio cruza el umbral incluso si la matriz no lo hace.

Luego está la cascada de la cadena de suministro. Incluso si su organización no cumple directamente con los criterios, si usted es un proveedor directo de una entidad que está en alcance, espere enfrentar requisitos contractuales que le llegarán. NIS2 exige explícitamente que las entidades dentro de su alcance aborden la seguridad de la cadena de suministro, y la única forma práctica de hacerlo es incluir los requisitos en los contratos con los proveedores.

¿Qué hacer al respecto?

Acciones para los profesionales

  • Lleve a cabo un ejercicio de delimitación formal utilizando las definiciones de sector reales en los Anexos I y II de NIS2, no una autoevaluación superficial. Incluya todas las subsidiarias, empresas conjuntas y entidades donde tenga un control operativo significativo.

  • Consulte el portal de registro de su autoridad nacional competente (NCA). Varios Estados Miembros —incluidos Italia, Hungría y Grecia— ya han comenzado procesos de registro y esperan que las entidades se autoincriban. El portal BSI de Alemania se activó para el registro a principios de 2026.

  • Si es un proveedor para entidades reguladas, realice una auditoría contractual proactiva. Las cláusulas de seguridad impulsadas por NIS2 están apareciendo en contratos de adquisición y subcontratación en toda la UE. Adelantarse a estas discusiones —en lugar de que le impongan requisitos— preserva el apalancamiento comercial.


El reloj de informes de incidentes es implacable

De todos los requisitos operativos de NIS2, el cronograma escalonado de informes de incidentes es el que causa más ansiedad en las organizaciones que realmente lo han pensado — y la más complacencia en aquellas que no lo han hecho.

La estructura es: un aviso temprano de 24 horas para incidentes significativos, una notificación detallada de 72 horas incluyendo una evaluación inicial de gravedad e impacto, y un informe final dentro de un mes. Esa ventana de 24 horas es extraordinariamente estrecha. Supone que puede detectar un incidente significativo, clasificarlo correctamente, contactar al ejecutivo responsable y enviar una notificación estructurada a su CSIRT nacional — todo dentro de un día hábil, que bien pudiera comenzar a las 2am un domingo.

En realidad, la mayoría de las organizaciones no pueden hacer ninguna de estas cosas de manera confiable con rapidez. La detección de incidentes a menudo se mide en semanas, no en horas. La clasificación de "significativo" — si un incidente ha causado o es capaz de causar graves interrupciones, pérdidas financieras o daños a otras partes — requiere decisiones que los equipos legales y técnicos discreparán bajo presión. Y el proceso de notificación en sí requiere saber qué autoridad notificar, en qué jurisdicción, en qué formato.

El documento de orientación de ENISA de junio de 2025 — alcanzando casi 200 páginas — ofrece estándares técnicos útiles pero exigentes para la respuesta a incidentes. La expectativa es clara: los reguladores quieren informes sustanciales basados en pruebas, no notificaciones automáticas.

¿Qué hacer al respecto?

Acciones para los profesionales

  • Realice un ejercicio de simulación específicamente calibrado al cronograma de notificación de 24 horas. Necesita saber, hoy, quién toma la decisión de que un incidente es "significativo", quién tiene autoridad delegada si esa persona no está disponible, y cómo la notificación llega a la autoridad correcta. Esto no se puede resolver durante un incidente.

  • Pre-redacte sus plantillas de notificación. Completar un formulario de notificación de incidentes estructurado bajo presión, en un idioma nacional potencialmente desconocido, con información incompleta, es realmente difícil. Tener plantillas pre-aprobadas por el área legal y de comunicaciones reduce esto a un ejercicio de rellenar huecos.

  • Invierta en detección antes de informar. No puede informar lo que no ha detectado. La sintonización de SIEM, la cobertura de detección de endpoints y la visibilidad de redes OT/IT son requisitos previos para cumplir con el cronograma de informes.

  • Monitoree las propuestas del Omnibus Digital de la UE: la Comisión ha señalado la introducción de un portal único de notificación de incidentes que consolidará los informes de NIS2, RGPD, el Acta de Resiliencia Cibernética y DORA. Diseñar sus procesos en torno a envíos a múltiples portales ahora es incurrir en deuda técnica.


"Una ventana de advertencia temprana de 24 horas supone que usted ya ha resuelto la detección, clasificación, escalación y enrutamiento de autoridad. La mayoría de las organizaciones no han resuelto ninguna de estas cosas con rapidez."

La responsabilidad de la junta directiva es real

NIS2 introdujo algo realmente nuevo en la ley de ciberseguridad de la UE: responsabilidad personal directa para la alta dirección. Los órganos de gestión deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad. Deben recibir capacitación en ciberseguridad. Y, de manera crítica, en casos de incumplimiento grave, los ejecutivos individuales pueden enfrentar multas, acciones legales o prohibiciones temporales de funciones directivas.

Esto no es una sanción teórica insertada para parecer dura. La intención legislativa es precisamente acabar con el patrón de juntas directivas que aprueban presupuestos de ciberseguridad basados en presentaciones tranquilizadoras sin comprender o supervisar sustantivamente el programa subyacente. El Reglamento de Implementación de NIS2 y la orientación ENISA son explícitos: la gestión de riesgos de ciberseguridad es un asunto de gobernanza a nivel de junta.

El desafío práctico es que la mayoría de las juntas no están preparadas para esto. Una encuesta de 155 organizaciones en 23 países publicada por ECSO a principios de 2025 encontró que un tercio de las organizaciones informó que no había participación de la gestión en la implementación de NIS2 a pesar de las disposiciones de responsabilidad personal. La brecha entre la intención de la directiva y la realidad organizacional es sustancial.

La asimetría de ejecución a entender: entidades esenciales enfrentan multas de hasta €10 millones o el 2% de la facturación anual global (lo que sea mayor). Las entidades importantes enfrentan multas de hasta €7 millones o el 1.4% de la facturación global. Estos no son números simbólicos; están calibrados para consecuencias a nivel RGPD.

¿Qué hacer al respecto?

Acciones para los profesionales

  • Obtenga una resolución de la junta sobre NIS2. Esto debería reconocer formalmente el estado de la entidad en el alcance, aprobar el marco de gestión de riesgos de ciberseguridad y asignar responsabilidades de supervisión. Crea responsabilidad, evidencia gobernanza y cambia la conversación de proyecto de TI a asunto de la junta.

  • Proporcione capacitación estructurada a la junta — no un discurso de vendedor, sino una sesión facilitada de 90 minutos sobre lo que NIS2 requiere de la gestión, qué significa la gestión de riesgos "apropiada y proporcional" en su sector y qué implica realmente la responsabilidad personal. Use la orientación sobre roles y habilidades en ciberseguridad de ENISA publicada en junio de 2025 como un marco de referencia para las habilidades requeridas a diferentes niveles.

  • Establezca una cadencia de gobernanza. Los informes trimestrales a nivel de junta sobre la postura de ciberseguridad, el estado de los incidentes y el progreso del programa de cumplimiento no son opcionales bajo NIS2 — es el mecanismo mediante el cual la gestión ejerce su obligación de supervisión.


La seguridad de la cadena de suministro: La parte operativa más difícil

El Artículo 21 de NIS2 requiere que las entidades aborden "la seguridad de la cadena de suministro, incluyendo los aspectos relacionados con la seguridad en las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos." Esa oración — engañosamente breve en el texto de la directiva — se traduce en uno de los programas operativamente más exigentes que la mayoría de las organizaciones emprenderá.

La interpretación práctica, reforzada por la orientación de ENISA y el Reglamento de Implementación de NIS2, requiere que las entidades: mantengan una política de seguridad de la cadena de suministro estableciendo requisitos mínimos para todos los proveedores; realicen evaluaciones de riesgos de proveedores que puedan impactar sus sistemas de red y de información; incrusten obligaciones de ciberseguridad en los contratos con proveedores, incluidos los requisitos de informes de incidentes, derechos de auditoría y responsabilidad por incumplimientos; y monitoreen el cumplimiento de los proveedores de manera continua.

Para una gran empresa de energía o red hospitalaria, esto puede significar cientos o miles de proveedores que abarcan plataformas en la nube, proveedores de sistemas SCADA, proveedores de servicios gestionados y contratistas de mantenimiento de instalaciones. Como notó el análisis de la cadena de suministro de NIS2 de Deloitte, actualizar los contratos con los proveedores para incrustar estos requisitos es uno de los aspectos más subestimados del cumplimiento: requiere que los equipos de seguridad, legales y de adquisiciones trabajen en coordinación sostenida, renegociando términos con proveedores que pueden tener poco interés en mejorar el cumplimiento.

Las obligaciones de la cadena de suministro también crean una tensión práctica: NIS2 técnicamente abarca requisitos de cadena de suministro para proveedores cuya posible violación podría afectar los sistemas de red y de información de la entidad. Los proveedores que proporcionan materiales físicos o infraestructura que apoyan servicios críticos pueden estar técnicamente fuera de esta definición. Pero dado que un proveedor físico comprometido puede absolutamente interrumpir servicios críticos, tratar esto como una vía de escape de cumplimiento es operativamente imprudente.

¿Qué hacer al respecto?

Acciones para los profesionales

  • Construya una taxonomía de proveedores por niveles. No todos los proveedores presentan el mismo riesgo. El Nivel 1 (acceso directo a sus sistemas NIS), Nivel 2 (dependencia operativa significativa) y Nivel 3 (proveedores comerciales generales) requieren tratamientos materialmente diferentes. Concentrar su esfuerzo de evaluación primero en los proveedores de Nivel 1 es el único enfoque escalable.

  • Desarrolle un cuestionario estándar de seguridad para proveedores alineado con los requisitos de gestión de riesgos del Reglamento de Implementación de NIS2. Úselo como la base para todas las nuevas adquisiciones y para renegociar contratos existentes. Acepte que los proveedores de alto riesgo se resistirán y planifique la negociación comercial que esto conlleva.

  • Incluya explícitamente obligaciones de notificación de incidentes en los contratos con proveedores: exija a los proveedores que le notifiquen dentro del mismo plazo que NIS2 le exige notificar a su autoridad nacional. Esto no es la norma de la industria — todavía. Pero es la única forma de cumplir con su propia obligación de advertencia temprana de 24 horas cuando el incidente se origina en su cadena de suministro.

  • Examine cuidadosamente sus relaciones con la nube, SaaS y proveedores de servicios gestionados. Estos son casi con certeza sus proveedores de Nivel 1 de mayor riesgo, y muchos tienen sus propias obligaciones bajo NIS2. Use su postura de cumplimiento como un criterio en las decisiones de adquisición.


La brecha de presupuesto y habilidades es estructural

Casi tres cuartos de las organizaciones encuestadas por ECSO a principios de 2025 carecían de un presupuesto dedicado para la implementación de NIS2. Esto no es solo un problema de preparación, es una indicación de cuántas organizaciones aún no han tomado la decisión fundamental de tratar el cumplimiento de NIS2 como un programa que requiere compromiso de recursos, en lugar de un proyecto que debe manejarse junto con cargas de trabajo existentes.

La seguridad de la información ahora representa el 9% de las inversiones en TI de la UE — un aumento significativo en comparación con años anteriores, según los datos de seguimiento de inversiones de ENISA. Pero los nuevos sectores que han entrado en el alcance de NIS2 — producción de alimentos, productos químicos, servicios postales, manufactura — típicamente están comenzando desde bases de madurez en ciberseguridad bajas. Para estas organizaciones, cumplir con los estándares "apropiados y proporcionados" no es una mejora incremental; es un cambio de paradigma en la capacidad organizacional que requiere inversión sostenida a lo largo de varios años.

La orientación sobre roles y habilidades en ciberseguridad de ENISA de junio de 2025 reconoció explícitamente esto, mapeando la experiencia interna requerida para el cumplimiento de NIS2 y enfatizando que requiere equipos multifuncionales que abarquen TI, ciberseguridad, legal, riesgos y operaciones. Para la mayoría de las entidades recién incluidas en el alcance, esta capacidad multifuncional simplemente no existe en su forma actual.

Un programa de cumplimiento de NIS2 realista — incluyendo inventario de activos, evaluación de brechas, desarrollo de políticas, mejora de controles técnicos, revisión de la cadena de suministro, desarrollo de capacidad de respuesta a incidentes y capacitación para la junta — lleva un mínimo de 12 meses incluso en organizaciones bien dotadas de recursos. Para aquellas con recursos limitados, lleva más tiempo, y la calidad del resultado refleja la inversión en recursos.

¿Qué hacer al respecto?

Acciones para los profesionales

  • Encargue una evaluación formal de brechas como el primer entregable de su proyecto, no una evaluación de madurez liderada por un proveedor. Comprenda exactamente lo que tiene, lo que le falta y cuánto costará realísticamente cerrar las brechas. Esta es la base para una solicitud de presupuesto creíble a la junta.

  • Utilice la priorización basada en riesgos. La orientación de ENISA publicada en junio de 2025 se extiende a casi 200 páginas de medidas de seguridad. Ninguna organización implementa todo a la vez. Priorice los controles que abordan el mayor riesgo de ejecución primero: detección y respuesta a incidentes, gestión de acceso incluyendo MFA en sistemas expuestos a internet, y seguridad de la cadena de suministro. Documente su justificación de priorización — es su defensa si un regulador pregunta por qué comenzó donde lo hizo.

  • Considere servicios gestionados para brechas específicas de capacidad, pero mantenga la propiedad interna del programa. La externalización de la capacidad de respuesta a incidentes o las operaciones de seguridad es pragmática. Externalizar la responsabilidad del cumplimiento de NIS2 no lo es — la responsabilidad de la gestión no es delegable.

  • Aproveche los marcos existentes. Si ya está certificado contra ISO 27001 o está alineado con NIST CSF, tiene una ventaja significativa. ENISA se ha comprometido a alinear su orientación con estándares internacionales, y muchos de los controles técnicos se superponen. Mapee sus controles existentes antes de construir nuevos.


Los próximos pasos

La implementación de NIS2 en 2026 es simultáneamente más urgente y más compleja de lo que la mayoría de las organizaciones anticipaban. Urgente porque los reguladores en jurisdicciones transpuestas están comenzando actividades de auditoría — Grecia ha anunciado auditorías a partir del cuarto trimestre de 2025, y las posturas de ejecución en Bélgica, Italia y los estados bálticos se están endureciendo. Compleja porque el panorama de transposición fragmentado significa que sus obligaciones en Bruselas difieren de sus obligaciones en Berlín o Dublín.

Lo único que he visto consistentemente diferenciar a las organizaciones que están manejando esto bien de las que no lo están es: las que lo están haciendo bien comenzaron temprano, obtuvieron la aprobación de la junta antes de que fuera conveniente y trataron NIS2 como una transformación operativa en lugar de un ejercicio de lista de verificación de cumplimiento. Están utilizando la directiva como una oportunidad para arreglar cosas que ya estaban rotas — brechas de detección, expansión no autorizada de TI, relaciones con proveedores sin cláusulas de seguridad, planes de respuesta a incidentes que nunca habían sido probados.

Las organizaciones que están luchando son aquellas que están esperando a que se finalice su ley nacional, o esperando a que el regulador publique más orientación detallada, o esperando una solución de proveedor que manejará todo. La estrategia de espera no funciona aquí. Las obligaciones básicas son claras. La trayectoria de ejecución es clara. Las disposiciones de responsabilidad personal son claras.

Mi consejo práctico: comience con una confirmación de delimitación, obtenga una resolución de la junta, realice una evaluación de brechas enfocada contra los requisitos técnicos del Reglamento de Implementación de NIS2, y desarrolle su capacidad de respuesta a incidentes en paralelo. No trate de abordar toda la directiva de una vez. Priorice las áreas de mayor riesgo de ejecución, documente su razonamiento y demuestre progreso continuo. Esa combinación — programa estructurado, priorización basada en evidencia, responsabilidad a nivel de junta — es lo que los reguladores buscan, y también es lo que genuinamente hace que su organización sea más resistente.

NIS2 no ha terminado de escribirse. Con las enmiendas del Omnibus Digital propuestas en enero de 2026 y los Estados Miembros que continúan divergiendo en sus implementaciones nacionales, el panorama evolucionará. Construya su programa para que sea duradero, no solo para cumplir con el texto actual. Las organizaciones que hagan esto bien encontrarán que la inversión rinde dividendos mucho más allá del cumplimiento regulatorio.

Recursos adicionales

Lista maestra de verificación de NIS2 para operadores de OT 
Plan para el cumplimiento de NIS2
Cumpla con NIS2 en menos de 5 semanas
Marco de cumplimiento de NIS2: Una guía práctica para propietarios y operadores de OT / ICS / IIoT 


Recibe semanalmente

Recursos y Noticias

También te puede interesar

Nova Scotia Power breach

From click to crisis: How Nova Scotia Power got breached

Team Shieldworkz

Actor de amenazas iraní Handala

Desglosando el manual de resiliencia de Handala

Prayukth K V

Mapeo de NIST CSF 2.0 a IEC 62443

Mapeo de NIST CSF 2.0 a IEC 62443: Un Marco Práctico para la Seguridad OT Industrial

Shieldworkz-logo

Equipo Shieldworkz

Controles IEC 62443

Implementación de controles de seguridad IEC 62443 en IACS: Una guía práctica de implementación

Prayukth K V

SCIFs desconectados y NERC CIP-015: Por qué SCADA es insuficiente

SCIFs Aislados y NERC CIP-015: Por qué la seguridad SCADA tradicional es insuficiente

Logo de Shieldworkz

Equipo Shieldworkz

Handala, Irán

Handala: Anatomía del actor de amenaza más destructivo de Irán

Equipo Shieldworkz

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración

BG image

Comienza ahora

Expande tu postura de seguridad CPS

Póngase en contacto con nuestros expertos en seguridad CPS para una consulta gratuita.

Solicitar una Demostración