NIS2: lo que ya sabemos (y lo que puedes hacer) mientras llega la ley

Nota de vigencia. Este artículo se ha redactado con información actualizada a 25 de junio de 2026. La transposición de NIS2 está en curso y el marco técnico de referencia se está renovando, de modo que algunos datos pueden cambiar. Iremos ampliando y corrigiendo esta información a medida que se publiquen novedades.

En una frase

La Directiva NIS2 ya está en vigor a nivel europeo y es vinculante para los Estados miembros, pero España todavía no la ha transpuesto a su ordenamiento. Es normal, entonces, que muchas organizaciones tengan la sensación de que toca esperar. La cuestión es que quedarse de brazos cruzados no es la única salida: hay bastante terreno firme sobre el que ya se puede trabajar.

Qué es NIS2 y a quién va a afectar

NIS2 es la Directiva (UE) 2022/2555, la norma europea que sube el nivel de exigencia en ciberseguridad para un buen número de organizaciones consideradas «esenciales» o «importantes»: energía, transporte, banca, sanidad, agua, infraestructuras digitales, administración pública, fabricación de determinados productos, servicios postales, gestión de residuos y unos cuantos sectores más.

Frente a la primera Directiva NIS, los cambios de fondo son tres:

• Más organizaciones dentro del ámbito, incluidas medianas empresas de los sectores afectados.
• Responsabilidad explícita de la dirección en la gobernanza de la ciberseguridad. Deja de ser «cosa de informática».
• Obligaciones más concretas en gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro.

Si operas en alguno de esos sectores y superas ciertos umbrales de tamaño, lo más probable es que NIS2 te aplique: averiguarlo con precisión es justo el primer paso que merece la pena dar.

Por qué hay tanta niebla ahora mismo

Circula bastante información imprecisa, así que vale la pena situar de dónde viene la incertidumbre:

• El plazo de transposición venció el 17 de octubre de 2024 y España todavía no ha adaptado la norma.
• Hay un anteproyecto de ley —el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad— aprobado por el Consejo de Ministros en enero de 2025, pero sigue en tramitación y sin fecha cierta de aprobación.
• El CCN retiró la versión anterior de su guía CCN-STIC 892, que ofrecía un perfil de cumplimiento específico (PCE-NIS2) para alinear el ENS con NIS2. Esa retirada dejó temporalmente sin «mapa oficial certificado» a quien lo usaba como referencia.

Eso es lo que explica la espera. Pero de ahí a concluir que «más allá de la directiva no hay nada» va un trecho.

Lo que sí tenemos (aunque falte la ley)

El destino final todavía no está del todo dibujado, pero hay puntos de apoyo bastante sólidos:

• La propia Directiva NIS2. Sus obligaciones de fondo ya están definidas y no van a cambiar en lo esencial cuando se transponga.
• El Reglamento de Ejecución (UE) 2024/2690, que desarrolla los requisitos técnicos y metodológicos de NIS2 para determinados sectores (proveedores de servicios digitales e infraestructuras, entre otros) y se aplica de forma directa en toda la UE.
• El Esquema Nacional de Seguridad (ENS, RD 311/2022) como marco de referencia. El propio CCN ha señalado que una organización con su sistema certificado en ENS de categoría Alta, con un alcance adecuado, cumple los requisitos de ciberseguridad de NIS2.
• El trabajo del CCN no se ha parado. La guía 892 no se ha abandonado: se está renovando. El CCN, junto con la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y la Oficina de Coordinación de Ciberseguridad, prepara una versión nueva alineada con el Reglamento (UE) 2024/2690 y el ENS. Y los certificados ENS ya emitidos siguen siendo plenamente válidos.

En resumen: lo que falta es la hoja de ruta nacional definitiva y certificada, no las bases para ir preparándose.

Qué puedes empezar a hacer ya

Son cosas que no vas a lamentar haber hecho: sirven ahora y van a seguir sirviendo, salga como salga el texto final de la ley.

• Determinar si estás dentro del ámbito. Un análisis de sector y tamaño aclara si serás entidad «esencial» o «importante», o si quedas fuera. Es la decisión que condiciona todo lo demás.
• Inventariar tus activos y analizar tus riesgos. Sin inventario y sin análisis de riesgos no hay manera de priorizar, y es además la base de cualquier marco que acabe aplicándose.
• Implicar a la dirección. Si NIS2 la hace responsable de la gobernanza de la ciberseguridad, cuanto antes se involucre, menos prisas habrá después.
• Trabajar las medidas que ya se conocen. El artículo 21 enumera unas cuantas: gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, cifrado, control de accesos, formación. Nada de eso va a sobrar.
• Preparar la notificación de incidentes. Los plazos serán exigentes, así que tener claro de antemano quién notifica, cómo y cuándo es trabajo que conviene adelantar.
• Avanzar hacia el ENS. Por la relación reconocida entre el ENS de categoría Alta y NIS2, adecuarse al ENS es de las inversiones con menos riesgo de quedarse obsoleta.

Qué no merece la pena hacer todavía

No conviene precipitarse: sobreinvertir antes de tener claro tu alcance —o dimensionar el esfuerzo sin saber aún si eres entidad esencial, importante o quedas fuera— es la mejor forma de gastar de más o de menos.

Lo sensato es montar ahora los cimientos comunes y dejar para después las decisiones que dependen del texto definitivo.

Te lo iremos contando

Esto se mueve mucho. En vez de un único artículo que envejezca, en ESED preferimos mantener viva esta información: iremos publicando actualizaciones a medida que avance la ley, salga la nueva guía del CCN y se concreten los plazos. Si quieres seguir el tema, este es tu punto de referencia.

¿Hablamos?

Si necesitas saber si NIS2 te aplica y por dónde empezar, en ESED acompañamos a las organizaciones en ese diagnóstico inicial y en lo que viene después. Cuéntanos tu caso y te ayudamos a ordenar los primeros pasos.