Sign in Subscribe
Regulación

NIS2 en España: qué empresas deben prepararse ya aunque la nueva ley siga en tramitación

Javier Monzón

4 min read
NIS2 en España: qué empresas deben prepararse ya aunque la nueva ley siga en tramitación

Durante años, cuando se hablaba de ciberseguridad regulatoria, mucha gente pensaba en un terreno reservado a operadores críticos, grandes infraestructuras o compañías gigantescas. Algo que afectaba a “los de siempre”. A eléctricas, bancos, telecomunicaciones y poco más.

Con NIS2, eso cambia bastante.

Y creo que aquí está una de las claves que más se están infravalorando en España: no estamos ante una norma pensada solo para grandes corporaciones con departamentos enteros de compliance, sino ante un cambio de enfoque mucho más profundo. La ciberseguridad deja de verse como una cuestión técnica o voluntarista y empieza a tratarse como lo que realmente es: una condición básica para operar con seriedad en determinados sectores y, cada vez más, también en sus cadenas de suministro.

Ese matiz importa mucho.

El error de pensar que “esto no va conmigo”

Una de las reacciones más habituales cuando alguien oye hablar de NIS2 es bastante previsible: “mi empresa no es crítica”, “nosotros no somos tan grandes”, “esto será para operadores esenciales, no para nosotros”.

Puede ser. Pero también puede que no.

La directiva amplía el alcance respecto al marco anterior y mete el foco en bastantes más sectores y actividades. Ya no hablamos solo de infraestructuras obvias. También entran organizaciones vinculadas a servicios digitales, gestión TIC, salud, transporte, energía, agua, datos, proveedores tecnológicos y otras actividades que, sin parecer espectaculares sobre el papel, son fundamentales para que medio país funcione.

Además, hay una segunda capa que me parece incluso más interesante: la del efecto arrastre.

Aunque una empresa no quede formalmente en el núcleo duro de la norma, puede acabar notando su impacto por una vía muy sencilla: sus clientes. Si prestas servicios a una entidad que sí está dentro del ámbito de NIS2, lo normal es que antes o después empiecen a exigirte más controles, más evidencias, más cláusulas contractuales, más orden interno y más capacidad de respuesta ante incidentes.

Traducido a la práctica: a muchas pymes NIS2 no les va a entrar por el BOE, sino por el contrato.

España sigue cerrando el marco, pero eso no cambia el fondo

Aquí aparece la tentación clásica: como la transposición española no ha terminado de aterrizar del todo, algunas empresas se colocan en modo espera. Como si el problema todavía no fuese con ellas.

A mí ese enfoque me parece peligroso.

Es verdad que en España el encaje normativo definitivo sigue en construcción. Pero también es verdad que la dirección de viaje está bastante clara. Sabemos el tipo de exigencia que viene. Sabemos que se endurece la obligación de gestionar riesgos. Sabemos que la notificación de incidentes gana peso. Sabemos que la seguridad de proveedores y terceros deja de ser un detalle secundario. Y sabemos, sobre todo, que la ciberseguridad ya no puede vivir únicamente en el rincón del departamento técnico.

Esperar a que todo esté completamente cerrado para empezar a moverse suena cómodo, pero suele ser una mala estrategia. Porque cuando una norma así empieza a aterrizar de verdad, lo difícil no es entenderla. Lo difícil es llegar a tiempo.

NIS2 no va de comprar una herramienta

Hay otro error bastante extendido: pensar que cumplir con algo así consiste en incorporar un producto, firmar un servicio o desplegar una tecnología más.

No funciona así.

NIS2 no se resuelve comprando una caja, una licencia o una plataforma con un nombre vistoso. Lo que pide, en el fondo, es bastante menos glamuroso y bastante más serio: que una organización sea capaz de demostrar que gestiona de forma razonable sus riesgos.

Eso implica procesos. Implica criterios. Implica responsables claros. Implica revisar incidentes, accesos, continuidad, vulnerabilidades, terceros, copias de seguridad, supervisión y capacidad de respuesta. Implica también poder enseñar evidencias, no solo buenas intenciones.

Y aquí es donde muchas organizaciones descubren que su problema no era tecnológico, sino de orden interno.

No sabían exactamente quién decidía qué. No tenían bien definido el escalado de incidentes. No habían clasificado sus proveedores por criticidad. No existía una gobernanza clara. Había herramientas, sí. Incluso muchas. Pero no necesariamente una arquitectura de control coherente.

El papel de la dirección cambia de verdad

Si me preguntas qué parte de NIS2 me parece más relevante, probablemente no diría ni incidentes ni cadena de suministro ni sectores afectados. Diría otra: la responsabilidad de la dirección.

Durante mucho tiempo la ciberseguridad ha vivido demasiado encapsulada. Como si fuese un asunto exclusivo del responsable de sistemas, del CISO o del equipo técnico de turno. NIS2 empuja en otra dirección. Y, sinceramente, ya tocaba.

Porque una brecha grave no es solo un fallo técnico. Es continuidad de negocio, reputación, impacto económico, relación con clientes, exposición legal y capacidad real de seguir operando. Eso ya no se puede despachar como un tema “de informática”.

La dirección tiene que entender esto. No hace falta que el comité ejecutivo se convierta en experto en hardening o en gestión de vulnerabilidades. Pero sí tiene que asumir que la ciberseguridad forma parte del gobierno de la organización. Que exige recursos. Que exige seguimiento. Y que exige decisiones.

Entonces, ¿qué debería hacer ya una empresa?

Yo empezaría por algo muy simple: dejar de preguntarse si la ley española está completamente terminada y empezar a preguntarse si la organización está mínimamente preparada.

A partir de ahí, haría cuatro cosas.

Primero, revisar si la empresa puede entrar en el ámbito de NIS2 por sector, tamaño o criticidad de los servicios que presta.

Segundo, hacer un análisis honesto de situación. No uno decorativo. Uno de verdad. ¿Cómo estamos en incidentes, terceros, accesos, continuidad, copias, vulnerabilidades, formación y supervisión?

Tercero, ordenar la gobernanza. Quién responde, quién decide, quién informa y qué pasa cuando ocurre algo serio.

Y cuarto, diseñar una hoja de ruta realista, por fases. Sin dramatismos, pero también sin autoengaños.

Mi impresión final

Creo que muchas empresas en España siguen leyendo NIS2 como si fuera una obligación futura. Yo la veo más bien como una señal bastante presente.

No porque mañana vaya a cambiarlo todo de golpe, sino porque el mercado, los clientes, los reguladores y el propio contexto digital ya se están moviendo en esa dirección. Y cuando eso ocurre, llegar tarde suele salir bastante más caro que empezar antes.

La pregunta útil ya no es si NIS2 ha aterrizado por completo. La pregunta útil es otra: si mañana tienes un incidente serio, ¿podrías defender de forma creíble que tu organización estaba razonablemente preparada?