Implantación de NIS2: lo que debe saber para cumplir la normativa en 2026

29 de abril de 2026

5 minutos de lectura

Resumir con IA

A estas alturas, la mayoría de las personas que dirigen una empresa en Europa han oído hablar del acrónimo NIS2. Otra cuestión es si han hecho algo al respecto.

La Directiva se está incorporando a la legislación nacional de los 27 Estados miembros, con algunos países a la cabeza y otros aún poniéndose al día. Pero la dirección no cambia: lo que antes eran orientaciones voluntarias sobre ciberseguridad ahora conlleva consecuencias legales, plazos definidos y, si eres directivo, responsabilidad personal.

A continuación, describo la ruta crítica hacia el cumplimiento de NIS2, para que pueda entender claramente cómo trabajar a través de esta complejidad.

Stanislav Kazanov

Responsable de GRC, Ciberseguridad y Sostenibilidad

Stanislav lleva la seguridad y la sostenibilidad en el ADN de cada sistema. Navega por la intersección entre el cumplimiento global y la informática ecológica, garantizando que las infraestructuras sean a prueba de balas contra las amenazas y responsables con el medio ambiente.

Ver perfil

¿Qué es la directiva NIS2?

La Directiva NIS2 es la legislación emblemática de la UE destinada a mejorar el nivel básico de ciberseguridad.

En 2016, la UE publicó la primera Directiva SRI, que fue un buen comienzo, pero supuso un panorama de amenazas que ahora parece casi pintoresco. La NIS2 ha aprendido las lecciones de su predecesora y la ha sustituido por un marco más amplio con reglas uniformes en todos los países, normas más estrictas, más sectores cubiertos y sanciones lo suficientemente coherentes como para que no puedas buscar una jurisdicción indulgente.

Como resultado, las empresas de todos los Estados miembros ya no pueden tratar la ciberseguridad como una actividad de “mejor esfuerzo”. Deben avanzar hacia un marco jurídicamente vinculante con expectativas claras en torno a la resistencia, la notificación de incidentes y quién asume la responsabilidad si algo sale mal.

Lista de control de la aplicación de NIS2: Requisitos básicos de la UE

Obtenga gratis su lista de comprobación del cumplimiento de NIS2 y evalúe su nivel actual de preparación. Es una forma sencilla de ver lo que ya está en marcha y lo que aún necesita atención.

Cómo implantó Polonia el sistema NIS2

Polonia aprobó su ley actualizada -modificaciones de la Ley del Sistema Nacional de Ciberseguridad- a principios de 2026. La estructura sigue la directiva de la UE, pero divide la supervisión de forma que refleje las disposiciones institucionales locales.

Por ejemplo, el CSIRT MON* supervisa las entidades relacionadas con la defensa; el CSIRT NASK** cubre las infraestructuras digitales críticas y la administración pública. Otros organismos sectoriales supervisan ámbitos como la energía, las finanzas, la sanidad y el transporte. Además, existe un registro central que documenta qué entidades están clasificadas como esenciales o importantes.

A partir de abril de 2026, el cumplimiento de los requisitos de información, los procedimientos de supervisión y los procedimientos de ejecución previstos en la legislación polaca es obligatorio.

¿A qué empresas afecta?

El ámbito de aplicación es más amplio que antes. La clasificación depende de dos cosas: sector y tamaño, y va más allá de las infraestructuras críticas tradicionales.

La NIS2 distingue entre entidades esenciales, cuya interrupción tendría un gran impacto social o económico, y entidades importantes, donde el impacto sería significativo pero menos crítico.

Entidades esenciales

Grandes empresas (250 empleados o más, 50 millones de euros o más de facturación) en sectores clave; o medianas empresas en sectores críticos.

Energía, transporte, banca, infraestructuras de mercados financieros, sanidad, infraestructuras digitales.

Entidades importantes

Medianas empresas (50-249 empleados, 10 millones-50 millones de euros de volumen de negocio) en sectores clave; o cualquier entidad (independientemente de su tamaño) en sectores específicos.

Servicios postales, gestión de residuos, productos químicos, alimentación (grandes productores y distribuidores), fabricación (dispositivos médicos, electrónica).

Aunque no alcance los umbrales de tamaño, las autoridades pueden designarle como “esencial” o “importante” en función del impacto potencial de una interrupción de su servicio.

Principales requisitos de ciberseguridad de NIS2

Con arreglo a la Directiva, se aplicará un planteamiento basado en el riesgo, lo que significa que las medidas que se adopten deberán ser proporcional al tamaño de su empresa y a las amenazas a las que puede enfrentarse. Suelen formalizarse a través de un sistema de gestión de la seguridad de la información (SGSI). Para ello, realizará las siguientes actividades:

Evaluar periódicamente los riesgos
Mantener políticas de seguridad documentadas que formalicen las funciones, responsabilidades y controles de la organización.
Establecer un proceso para hacer frente a los incidentes de seguridad, incluyendo la prevención, detección, notificación y respuesta dentro de los plazos especificados para notificar a las autoridades.
Garantizar que los planes de gestión de copias de seguridad, recuperación en caso de catástrofe y gestión de crisis estén implantados y operativos durante las interrupciones.
Llevar a cabo la diligencia debida y la supervisión continua de los proveedores, incluido el establecimiento de requisitos de seguridad y la recopilación de pruebas de los proveedores.
Implantar protecciones básicas del sistema, como el control de acceso, el cifrado, la AMF y la aplicación de parches.
Impartir al personal y a la dirección formación sobre el SGSI y establecer procedimientos para la incorporación y la salida seguras.

Apoyo experto para gestionar los requisitos de NIS2

Evalúe las lagunas de cumplimiento, implante controles y manténgase preparado para las auditorías con Innowise.

Nuevos plazos de cumplimiento de NIS2

La UE exigió a los Estados miembros que transpusieran la Directiva antes del 17 de octubre de 2024. Algunos lo hicieron, mientras que otros no. Así que los plazos dependen ahora de dónde estés registrado, ya que se fijan a nivel nacional y varían según la jurisdicción.

Registro de entidades

Suele ocurrir a los pocos meses de entrar en vigor la ley nacional o cuando se le clasifica como esencial o importante.

Medidas de ciberseguridad

Se espera desde el momento en que se le aplica la ley. En la práctica, desde el primer día, aunque la aplicación supervisora puede ser gradual.

Primera auditoría de conformidad

Si le seleccionan, suele llegar en un plazo de 18 a 24 meses, aunque las autoridades pueden ir más rápido en función de su perfil de riesgo.

Estos plazos son indicativos y pueden variar en función de cómo cada Estado miembro aplique y haga cumplir la NIS2 a nivel nacional, así que asegúrese de comprobar qué se aplica en su país.

Sanciones por incumplimiento

Ahí es donde la cosa empieza a matizarse. La directiva establece un suelo y no un techo: Los Estados miembros deben establecer un nivel mínimo para las multas máximas, pero siempre pueden ir más allá si lo desean. En virtud del artículo 34, tienen que asegurarse de que las multas sean eficaces, proporcionadas y disuasorias. En lenguaje llano, lo suficientemente grande como para doler, justo en relación con lo que hiciste mal, y lo suficientemente grave como para que nadie lo mire y piense “vale la pena el riesgo”.”

La Directiva establece dos niveles para las multas máximas:

Para entidades esenciales

≥ 10 millones de euros

o el 2% de su volumen de negocios anual global, si esta cifra es superior

Para entidades importantes

≥ 7 millones de euros

o el 1,4 por ciento del volumen de negocios anual global, si esta cifra es superior

Para ver cómo funciona esto en la práctica, tomemos el ejemplo de Polonia. Su legislación refleja estos umbrales del NIS2. En el caso de las grandes organizaciones, se aplica el cálculo basado en el volumen de negocio, de modo que si usted ingresa 1.000 millones de euros en todo el mundo, el 2% equivale a 20 millones de euros. Para infracciones graves que amenacen la defensa nacional, la seguridad del Estado o la seguridad pública, la legislación polaca va más allá: multas de hasta 100 millones de zlotys (unos 23 millones de euros).

Una escala completamente diferente, ¿no? Así que no sólo las grandes empresas deben preocuparse por el porcentaje, sino cualquiera que esté en el sector equivocado.

Por qué el NIS2 supone un gran cambio para las empresas polacas

Dos cosas han cambiado.

En primer lugar, la responsabilidad. Antes, si una empresa tenía una seguridad deficiente, la responsabilidad solía estar lo suficientemente repartida como para que ninguna persona se sintiera expuesta. Ahora, los consejos de administración son explícitamente responsables. Eso cambia la forma en que estas conversaciones se desarrollan internamente.

En segundo lugar, la escala. Miles de empresas polacas que nunca se habían enfrentado a auditorías obligatorias de ciberseguridad ahora sí lo hacen. Y las estrictas ventanas de alerta temprana de 24 horas y de notificación formal de 72 horas implican que es necesario disponer de supervisión y procesos antes de que ocurra algo.

Estudios Mostrar que aproximadamente la mitad de las pequeñas y medianas empresas tienen implantados controles de seguridad básicos, y cerca de la mitad han sufrido algún incidente en los dos últimos años. Estas cifras sugieren que muchas organizaciones parten con retraso.

* Equipo de Respuesta a Incidentes de Seguridad Informática del Ministerio de Defensa Nacional

** Equipo de Respuesta a Incidentes de Seguridad Informática operado por la Red Informática Académica y de Investigación, instituto nacional de investigación de Polonia.

Más sobre este tema

Blog

Navegar por DORA: el reglamento de la UE para la resiliencia digital

Blog

Cybersecurity en la banca: importancia, amenazas y desafíos

Blog

Cómo prevenir las filtraciones de datos en la sanidad: buenas prácticas de seguridad

Contáctenos

Reserve usted una llamada o rellene usted el siguiente formulario y nos pondremos en contacto con usted cuando hayamos procesado su solicitud.

Nombre

Empresa

Correo electrónico

Teléfono

Mensaje

Envíenos un mensaje de voz

Adjuntar documentos

Cargar archivo

Puede adjuntar 1 archivo de hasta 2 MB. Formatos de archivo válidos: pdf, jpg, jpeg, png.

Al hacer clic en Enviar, autoriza a Innowise a procesar sus datos personales de acuerdo con nuestra política de privacidad. Política de privacidad para proporcionarle información relevante. Al enviar su número de teléfono, acepta que nos pongamos en contacto con usted a través de llamadas de voz, SMS y aplicaciones de mensajería. Pueden aplicarse tarifas de llamadas, mensajes y datos.

También puede enviarnos su solicitud
a contact@innowise.com

¿Qué pasa después?

Una vez recibida y procesada su solicitud, nos pondremos en contacto con usted para detallarle las necesidades de su proyecto y firmar un acuerdo de confidencialidad. Proyecto y firmaremos un acuerdo de confidencialidad.

Tras examinar sus deseos, necesidades y expectativas, nuestro equipo elaborará una propuesta de proyecto con el alcance del trabajo, el tamaño del equipo, el plazo y los costes estimados con el alcance del trabajo, el tamaño del equipo, el tiempo y las estimaciones de costes.

Concertaremos una reunión con usted para hablar de la oferta y concretar los detalles.

Por último, firmaremos un contrato y empezaremos a trabajar en su proyecto de inmediato.