Este documento explica de forma práctica cómo deben prepararse las organizaciones españolas ante la entrada en vigor de esta normativa europea sobre ciberseguridad.
La Directiva NIS2, vinculante desde enero de 2023, amplía su alcance respecto a NIS1 y obliga a más sectores (incluidos servicios digitales e industrias estratégicas) a reforzar su resiliencia frente a ciberamenazas. Aunque España aún no ha aprobado la transposición completa, el anteproyecto de ley de 2025 sienta las bases para su aplicación nacional.
El texto detalla las responsabilidades y obligaciones de las entidades esenciales e importantes, incluyendo la gestión de riesgos, seguridad en redes y sistemas, continuidad de negocio, cadena de suministro, criptografía y notificación de incidentes. También establece las diferencias en el nivel de supervisión según la categoría de la entidad, las sanciones económicas por incumplimiento (de hasta 10 millones de euros o el 2 % de la facturación mundial) y la necesidad de que los órganos directivos asuman un rol activo en la gobernanza de la ciberseguridad. Asimismo, aborda la relación con proveedores y la integración de esta normativa con otros marcos europeos como DORA o la Estrategia Europea de Ciberseguridad.
Finalmente, se destacan los próximos pasos para las organizaciones: identificar si están sujetas a la Directiva, realizar autoevaluaciones, y adoptar como referencia el Esquema Nacional de Seguridad y el Reglamento de Ejecución.