Saltar al contenido principal Saltar a navegación Saltar al pie de página
Tiempo limitado: Programa Design Partner — plan BUSINESS de por vida

Descarga gratuita · 24 páginas · PDF A4

Directiva NIS2: Resumen en español para CISOs y responsables de cumplimiento

Un resumen de 24 páginas de la Directiva (UE) 2022/2555. Abarca el ámbito de aplicación, las diez medidas del Artículo 21, el calendario de notificación del Artículo 23 (24h/72h/1 mes), los sectores del Anexo I y II, las multas administrativas y una hoja de ruta práctica de cumplimiento en 10 pasos. Redactado por Rediacc; no es una traducción oficial.

Descargar el PDF Abrir en el navegador

Este documento es un resumen no oficial. Para una interpretación vinculante, consulta el texto oficial en OJ L 333/80, 27.12.2022.

Qué contiene el PDF

Diecinueve secciones, estructuradas para el CISO o responsable de cumplimiento que necesita el contenido de la directiva sin tener que leer 73 páginas de considerandos y artículos.

  1. Resumen ejecutivo
  2. Propósito y base jurídica
  3. De NIS1 a NIS2: ¿Por qué una nueva regulación?
  4. Ámbito de aplicación y áreas excluidas
  5. Definiciones clave
  6. Categorías de entidades: Entidades esenciales e importantes
  7. Sectores en el ámbito (Anexo I y Anexo II)
  8. Obligaciones de los Estados miembros
  9. Medidas de gestión de riesgos de ciberseguridad (Artículo 21)
  10. Obligaciones de notificación de incidentes (Artículo 23)
  11. Seguridad de la cadena de suministro
  12. Responsabilidad del órgano de dirección
  13. Estructuras de cooperación a nivel de la UE
  14. Supervisión y aplicación
  15. Multas administrativas
  16. Calendario de implementación y transición
  17. Implicaciones para empresas no pertenecientes a la UE
  18. Hoja de ruta práctica de cumplimiento (10 pasos)
  19. Conclusión y evaluación

Tres guías complementarias

El PDF mapea la directiva. Las guías complementarias convierten las obligaciones en decisiones de adquisición y operativas, una audiencia a la vez.

El Artículo 21(2)(d) es una pregunta para el proveedor

Por qué el registro de terceros TIC se reduce cuando el plano de datos nunca abandona tu tenencia. Para CISOs y responsables de adquisición que renegocian DPAs en 2026.

Leer la guía →

Efectividad continua sin teatro

Los Artículos 21(2)(e), (f) y 23 leídos juntos. El fork de tiempo constante que hace realistas los simulacros semanales, y el calendario de notificación del Artículo 23 que no puedes cumplir sin artefactos de calidad forense. Para SRE y responsables de operaciones.

Leer la guía →

Lo que nos dijeron los compradores en el primer ciclo de auditoría NIS2

El stack de cumplimiento de cinco herramientas que las entidades esenciales de mediana empresa están ensamblando en silencio, lo que un plano de control autohospedado colapsa, y las partidas que de todos modos siguen siendo tuyas. Para CFOs y compradores que se adentran en un ciclo de renovación.

Leer la guía →

Preguntas frecuentes

¿Es esta una traducción oficial de la directiva?

No. Es un resumen no oficial en inglés destinado a hacer accesibles la estructura y las obligaciones de la directiva. Para una interpretación vinculante, consulta el texto oficial en OJ L 333/80 (27 de diciembre de 2022) o a través de EUR-Lex (CELEX 32022L2555). Los actos nacionales de transposición en tu Estado miembro pueden imponer obligaciones más estrictas o con un alcance diferente al de la propia directiva.

¿Quién está dentro del ámbito de aplicación de NIS2?

Las entidades que operan en sectores del Anexo I (alta criticidad) o del Anexo II (otra criticidad) que superan el umbral de mediana empresa (más de 50 empleados o más de 10 millones de euros de facturación, según la Recomendación 2003/361/CE). Algunas entidades están en el ámbito independientemente de su tamaño, incluidos los registros de TLD, proveedores de DNS, prestadores de servicios de confianza y la administración pública central. Las secciones 4, 6 y 7 del PDF cubren el ámbito en detalle.

¿Cuándo entró en vigor NIS2 y cuál es el plazo de transposición?

La directiva entró en vigor el 16 de enero de 2023. Los Estados miembros disponían hasta el 17 de octubre de 2024 para transponerla al derecho nacional; la aplicación comenzó el 18 de octubre de 2024 (la misma fecha en que se derogó NIS1). El calendario completo, incluido el plazo de envío de la lista de entidades a la Comisión (17 de abril de 2025) y el calendario de revisión periódica, está en la Sección 16.

¿Cuáles son las multas máximas?

Para entidades esenciales: 10.000.000 EUR o el 2 % del volumen de negocios anual mundial, el que sea mayor. Para entidades importantes: 7.000.000 EUR o el 1,4 % del volumen de negocios anual mundial, el que sea mayor. La directiva también permite sanciones no monetarias, incluidas prohibiciones temporales de gestión para la alta dirección de entidades esenciales (medida de último recurso). La Sección 15 aborda los factores de determinación de las multas.

¿Se aplica NIS2 a empresas de fuera de la UE?

Sí, de dos maneras. Directamente: los proveedores no pertenecientes a la UE de DNS, nube, centros de datos, CDN, MSP/MSSP, mercados en línea, buscadores y redes sociales que ofrezcan servicios en la UE deben designar un representante en la UE y cumplir con la directiva. Indirectamente: cualquier proveedor no perteneciente a la UE que suministre productos o servicios a entidades esenciales o importantes de la UE estará sujeto a los requisitos contractuales de seguridad de la cadena de suministro que sus clientes de la UE impongan en virtud del Artículo 21(2)(d). La Sección 17 cubre ambos casos.

¿Cómo funciona la notificación de incidentes del Artículo 23?

Tres plazos, todos activados al «tomar conocimiento» de un incidente significativo: 24 horas para un aviso temprano, 72 horas para una notificación completa del incidente y un mes para el informe final. Los destinatarios del servicio también deben ser notificados sin demora indebida si es probable que una amenaza cibernética significativa les afecte. La Sección 10 incluye la matriz completa de notificación.

Sobre este resumen

Rediacc es una plataforma de infraestructura autohospedada registrada en Estonia (OÜ 17363830, VAT EE102920091). Este resumen fue redactado como parte de nuestro programa de contenidos sobre NIS2. Las guías complementarias anteriores describen cómo Rediacc aborda artículos específicos de la directiva, incluidas las áreas en las que Rediacc no es la respuesta (sin certificaciones todavía; sin capa GRC; sin gestión de notificaciones del Artículo 23; MFA solo en el portal). Para el mapeo público de capacidades, consulta NIS2 and DORA en la documentación.

Envíanos tu cuestionario de proveedor o tus tres partidas de seguridad más importantes del presupuesto del año pasado. Responderemos frente a una instancia desplegada, por escrito, incluyendo las carencias. O descarga el PDF y reenvíalo a un colega.

Descargar el PDF