Saltar al contenido principal Saltar a navegación Saltar al pie de página
Tiempo limitado: Programa Design Partner. Plan BUSINESS gratis de por vida.

Descarga Gratis · 24 páginas · PDF A4

Directiva NIS2: Resumen en inglés para CISOs y responsables de cumplimiento

Resumen de 24 páginas en inglés de la Directiva (UE) 2022/2555. Abarca el ámbito de aplicación, las diez medidas del Artículo 21, el calendario de notificación del Artículo 23 (24h/72h/un mes), los sectores del Anexo I y II, las multas administrativas y una hoja de ruta práctica de cumplimiento en 10 pasos. Redactado por Rediacc; no es una traducción oficial.

Descargar el PDF Abrir en el navegador

Este documento es un resumen no oficial. Para una interpretación vinculante, consulta el texto oficial en OJ L 333/80, 27.12.2022.

Qué contiene el PDF

Diecinueve secciones para CISOs y responsables de cumplimiento: la directiva en palabras simples, sin 73 páginas de considerandos y artículos.

  1. Resumen ejecutivo
  2. Propósito y base jurídica
  3. De NIS1 a NIS2: ¿Por qué una nueva regulación?
  4. Ámbito de aplicación y áreas excluidas
  5. Definiciones clave
  6. Categorías de entidades: Entidades esenciales e importantes
  7. Sectores en el ámbito (Anexo I y Anexo II)
  8. Obligaciones de los Estados miembros
  9. Medidas de gestión de riesgos de ciberseguridad (Artículo 21)
  10. Obligaciones de notificación de incidentes (Artículo 23)
  11. Seguridad de la cadena de suministro
  12. Responsabilidad del órgano de dirección
  13. Estructuras de cooperación a nivel de la UE
  14. Supervisión y aplicación
  15. Multas administrativas
  16. Calendario de implementación y transición
  17. Impacto para empresas fuera de la UE
  18. Hoja de ruta práctica de cumplimiento (10 pasos)
  19. Conclusión y evaluación

Tres guías complementarias

El PDF muestra la estructura de la directiva. Las guías complementarias convierten las obligaciones en decisiones de compra y operativas, cada una para un público diferente.

Artículo 21(2)(d): la pregunta para proveedores

Por qué tu lista de proveedores TIC se reduce cuando el software corre en tus servidores, no en los del proveedor. Para CISOs y responsables de compra que renegocian contratos en 2026.

Leer la guía →

Efectividad continua sin teatro

Cómo los Artículos 21(2)(e), (f) y 23 funcionan juntos: el fork de tiempo constante para simulacros semanales realistas y el cronograma de notificación del Artículo 23 que exige evidencia forense. Para SREs y responsables de operaciones.

Leer la guía →

Lo que nos dijeron los compradores en el primer ciclo de auditoría NIS2

El stack de cumplimiento de cinco herramientas que entidades esenciales de mediana empresa están silenciosamente ensamblando, cuál sustituye una infraestructura autohospedada, y qué partidas siguen siendo tuyas de todos modos. Para CFOs y compradores en ciclos de renovación.

Leer la guía →

Preguntas frecuentes

¿Es esta una traducción oficial de la directiva?

No. Es un resumen no oficial en inglés destinado a hacer accesibles la estructura y las obligaciones de la directiva. Para interpretación vinculante, consulta el texto oficial en OJ L 333/80 (27 de diciembre de 2022) o a través de EUR-Lex (CELEX 32022L2555). Los actos nacionales de transposición en tu Estado miembro pueden imponer obligaciones más estrictas o de alcance diferente que la propia directiva.

¿Quién está dentro del ámbito de aplicación de NIS2?

Empresas en sectores del Anexo I o del Anexo II que superen el umbral de mediana empresa: más de 50 empleados o más de 10 millones EUR de facturación (Recomendación 2003/361/CE). El Anexo I incluye los sectores más críticos: energía, transporte, banca, mercados financieros, salud, agua, infraestructura digital, administración pública, espacio. El Anexo II incluye otros sectores críticos: postal, residuos, químicos, alimentación, manufactura, proveedores digitales, investigación. Independientemente del tamaño: registros de TLD, proveedores de DNS, prestadores de servicios de confianza y administración pública central. Las secciones 4, 6 y 7 del PDF detallan el ámbito.

¿Cuándo entró en vigor NIS2 y cuál es el plazo de transposición?

La directiva entró en vigor el 16 de enero de 2023. Los Estados miembros disponían hasta el 17 de octubre de 2024 para transponerla al derecho nacional; la aplicación comenzó el 18 de octubre de 2024, fecha en que también se derogó NIS1. El calendario completo, incluido el plazo de 17 de abril de 2025 para enviar listas de entidades a la Comisión y el cronograma de revisión, está en la Sección 16. La mayoría de equipos subestiman cuánto de ese calendario ya ha pasado.

¿Cuáles son las multas máximas?

Para entidades esenciales: 10.000.000 EUR o el 2 % del volumen de negocios anual mundial, lo que sea mayor. Para entidades importantes: 7.000.000 EUR o el 1,4 % del volumen de negocios anual mundial, lo que sea mayor. La directiva también permite sanciones más allá de multas: como último recurso, los reguladores pueden prohibir temporalmente a líderes sénior de entidades esenciales ejercer sus funciones. La Sección 15 explica cómo se determinan las multas.

¿Se aplica NIS2 a empresas de fuera de la UE?

Sí, de dos maneras. Directamente: proveedores de DNS, nube, centros de datos, CDN, MSP/MSSP, mercados en línea, buscadores y redes sociales no europeos que ofrezcan servicios en la UE deben designar un representante europeo y cumplir. Indirectamente: cualquier proveedor no europeo que suministre productos o servicios a entidades esenciales o importantes de la UE quedará sujeto a requisitos contractuales de seguridad de cadena de suministro que sus clientes europeos impongan bajo el Artículo 21(2)(d). La Sección 17 cubre ambas.

¿Cómo funciona la notificación de incidentes del Artículo 23?

Tres plazos, todos activados al «tomar conocimiento» de un incidente significativo: 24 horas para aviso temprano, 72 horas para notificación completa y un mes para el informe final. Los destinatarios del servicio también deben ser notificados sin demora indebida si una amenaza cibernética significativa probablemente les afecte. La Sección 10 muestra la matriz completa de notificación.

Sobre este resumen

Rediacc es una plataforma de infraestructura autohospedada registrada en Estonia (OÜ 17363830, VAT EE102920091). Este resumen forma parte de nuestro programa de contenidos NIS2. Las guías complementarias describen cómo Rediacc aborda artículos específicos de la directiva, así como los vacíos donde no es la respuesta (sin certificaciones aún; sin capa GRC; sin gestión de notificaciones del Artículo 23; MFA solo en portal). Para el mapeo público de capacidades, consulta NIS2 and DORA en la documentación.

Envíanos tu cuestionario de proveedor o tus tres partidas de seguridad más importantes del presupuesto del año pasado. Responderemos contra una instancia en funcionamiento, por escrito, incluyendo los vacíos. O descarga el PDF y comparte con un colega.

Descargar el PDF