norppa.io
Guías

Guía NIS2 · 10 min

Cómo cumplir NIS2: una hoja de ruta paso a paso

NIS2 no es una lista de verificación que se completa una vez. Es una obligación continua respaldada por la responsabilidad de la dirección y la supervisión de las autoridades. Pero el camino hacia el cumplimiento está bien definido. Esta guía expone los pasos en orden: determinar si está en el ámbito, registrarse ante su autoridad, comprometer formalmente a la dirección, implementar las medidas de gestión de riesgos, asegurar su cadena de suministro, montar la notificación de incidentes y mantenerlo todo evidenciado a lo largo del tiempo. Cada paso enlaza a una guía más detallada cuando la necesita.

Puntos clave

  • NIS2 (Directiva (UE) 2022/2555) debía transponerse al derecho nacional antes del 17 de octubre de 2024; las obligaciones se aplican mediante la ley de transposición de cada Estado miembro.
  • El cumplimiento sigue una secuencia clara: ámbito → registro → gobernanza → medidas del art. 21 → cadena de suministro → notificación de incidentes → garantía continua.
  • Es continuo, no algo puntual. La dirección es responsable (art. 20) y las autoridades de supervisión pueden auditar, ordenar correcciones y sancionar (art. 34).

Qué significa realmente «cumplir NIS2»

NIS2 es una directiva de la UE, por lo que se aplica mediante la ley nacional que cada Estado miembro aprobó para transponerla (el plazo de transposición fue el 17 de octubre de 2024; algunos Estados se retrasaron). Fija una base de medidas de gestión de riesgos de ciberseguridad (art. 21), notificación de incidentes (art. 23), gobernanza y responsabilidad (art. 20), y registro ante una autoridad competente, todo respaldado por auditorías y sanciones (art. 34).

Lo crucial: es un sistema de gestión, no un certificado. No se «aprueba» NIS2 una vez; las medidas se operan, se evidencian y se mejoran de forma continua, y su dirección es personalmente responsable de ello. Los pasos siguientes le llevan a una base defendible y le mantienen ahí.

Quién debe cumplir

Entidades esenciales e importantes: organizaciones medianas y grandes de los sectores de los anexos I/II (energía, transporte, salud, agua, infraestructura digital, administración pública, fabricación y más). Confirme su nivel con la guía «¿Quién está sujeto a NIS2?».

Implicado indirectamente

Aunque no esté designado, la obligación de cadena de suministro le alcanza: las entidades en el ámbito deben evaluar a sus proveedores (art. 21.2.d), por lo que se enfrentará a cuestionarios, solicitudes de evidencia y monitoreo continuo a través de sus contratos.

La hoja de ruta, paso a paso

Siete pasos, en orden. Cada uno se apoya en el anterior.

Paso 1

Confirme el ámbito y el nivel. Determine si es una entidad esencial o importante a partir de los sectores de los anexos I/II y los umbrales de tamaño, y sitúe a sus propios proveedores.

Paso 2

Regístrese ante su autoridad competente. La mayoría de los Estados miembros exigen a las entidades en el ámbito registrarse (nombre, sector, contactos, rangos de IP) conforme a su ley de transposición.

Paso 3

Comprometa a la dirección. El órgano de dirección debe aprobar las medidas de gestión de riesgos, supervisarlas y formarse (art. 20), y puede ser considerado responsable.

Paso 4

Implemente las medidas del art. 21.2: las diez medidas de base, aplicadas proporcionadamente a su riesgo (véase la lista a continuación).

Paso 5

Asegure su cadena de suministro. Evalúe y monitorice el ciberriesgo de los proveedores (art. 21.2.d) con clasificación, cuestionarios y evidencia continua, no una auditoría puntual.

Paso 6

Monte la notificación de incidentes. Esté en condiciones de enviar la alerta temprana de 24 horas, la notificación de 72 horas y el informe final de un mes a su CSIRT (art. 23).

Paso 7

Hágalo continuo y evidenciado. Monitorice, pruebe, documente y revise para poder demostrar, cuando se le pida, que las medidas funcionan.

Las medidas del artículo 21.2

El paso 4 en detalle. NIS2 exige, de forma proporcionada, al menos:

  • (a) Análisis de riesgos y políticas de seguridad de los sistemas de información.
  • (b) Gestión de incidentes: detección, respuesta y recuperación.
  • (c) Continuidad de la actividad: copias de seguridad, recuperación ante desastres y gestión de crisis.
  • (d) Seguridad de la cadena de suministro, incluida la seguridad de las relaciones con proveedores y prestadores directos.
  • (e) Seguridad en la adquisición, el desarrollo y el mantenimiento, incluido el tratamiento y la divulgación de vulnerabilidades.
  • (f) Políticas y procedimientos para evaluar la eficacia de las medidas.
  • (g) Higiene cibernética básica y formación en seguridad.
  • (h) Criptografía y, cuando proceda, cifrado.
  • (i) Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
  • (j) Autenticación multifactor, comunicaciones de voz/vídeo/texto seguras y comunicaciones de emergencia seguras.

Por qué nunca «termina» de verdad

Las medidas no son un proyecto con línea de meta. NIS2 espera que evalúe su eficacia (art. 21.2.f), y las autoridades de supervisión pueden realizar auditorías, solicitar evidencia, emitir instrucciones vinculantes e imponer multas (art. 34): para las entidades esenciales, hasta 10 millones de euros o el 2 % de la facturación anual mundial, lo que sea mayor. La dirección también puede ser considerada personalmente responsable.

Por eso el último paso es el más importante: la brecha entre «escribimos una política» y «podemos demostrar que funciona hoy» es exactamente lo que un auditor (o la diligencia debida de un cliente) le pide cerrar. El monitoreo continuo y la evidencia conservada convierten un esfuerzo puntual en una posición defendible y repetible.

NIS2 se aplica mediante el derecho nacional, y los detalles (mecánica de registro, plazos, especificidades sectoriales, niveles de sanción) varían según el Estado miembro. Confirme los detalles con su autoridad nacional competente.

¿Por dónde empezar?

Su primer movimiento depende de su situación:

Está claramente en el ámbito (esencial o importante)

Empiece en el paso 1 para confirmar su nivel, luego regístrese e informe a la dirección. Use la guía de responsabilidad de la dirección para implicar pronto al consejo.

No está seguro de si está en el ámbito

Empiece por la guía «¿Quién está sujeto a NIS2?», sectores y umbrales de tamaño, antes de invertir en controles. No presuma estar exento; la cadena de suministro puede alcanzarle.

Es proveedor de entidades en el ámbito

Aunque no esté designado, espere cuestionarios de proveedores y monitoreo. Las guías de cuestionario y lista de verificación muestran qué se le pedirá evidenciar.

Ya tiene ISO 27001

Gran parte del paso 4 se traslada, pero no la notificación legal de incidentes, el registro ni la responsabilidad de la dirección. La guía ISO 27001 mapea lo que queda.

Fuentes: Directiva (UE) 2022/2555 (NIS2) y su ley nacional de transposición. NIS2 se aplica mediante el derecho nacional; confirme la mecánica de registro, los plazos y los niveles de sanción con su autoridad competente.

Cómo ayuda norppa.io

norppa.io está hecho para los pasos 5 y 7, las partes de cadena de suministro y evidencia continua que la mayoría de los equipos encuentran más difíciles. Monitoriza cada dominio de proveedor en más de cien puntos de control cada día (los sensibles al tiempo cada seis horas), asigna cada hallazgo al artículo NIS2 que afecta y mantiene un registro fechado y exportable para su expediente de proveedores.

Los cuestionarios de autoevaluación captan los controles de proceso y contractuales, y cada respuesta se coteja con el perfil técnico en vivo: de modo que, cuando un auditor o un cliente le pide demostrar que la seguridad de la cadena de suministro funciona de verdad, dispone de evidencia actual y corroborada en lugar de una hoja de cálculo de la primavera pasada.

Evidencia continua para los pasos 5 y 7

Vea un informe de proveedor de ejemplo (hallazgos, correspondencia de artículos NIS2 y evidencia) en unos dos minutos.

Ver informe de ejemplo
Ver el panel de ejemplo

Guías relacionadas

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 y el requisito de la cadena de suministro: qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

NIS2 Art. 21(2): lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos

En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.

El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro

Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.

El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)

Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.