La normativa de seguridad NIS2 que eleva el nivel de responsabilidad de los comités de dirección, se implementará antes de que acabe el año y, por tanto, forzará a las empresas a ampliar su nivel de ciberseguridad.
Antonio Hernando, secretario de Estado de Telecomunicaciones e Infraestructuras Digitales, ha confirmado recientemente que el Gobierno español prevé implementar la Directiva Europea de Ciberseguridad NIS2 antes de finales de 2025. Esta normativa, aprobada a finales de 2022 y en vigor desde el 16 de enero de 2023, debió haber sido adoptada por los Estados miembros de la UE antes del 17 de octubre de 2024, por lo que España llega con retraso en su trasposición.
Desde Setesca, consultora especializada en estrategia, innovación y ciberseguridad, se advierte de que el anuncio marca el inicio de una carrera contrarreloj para las empresas españolas, que deberán reforzar de forma urgente su gestión del riesgo digital y sus capacidades de respuesta ante incidentes.
Una nueva era de la ciberseguridad empresarial
La Directiva (UE) 2022/2555, conocida como NIS2, busca elevar el nivel común de ciberseguridad en toda la Unión Europea. Su impacto será profundo: por primera vez, obligará a organizaciones que antes no estaban reguladas —incluidas medianas empresas y proveedores en sectores estratégicos— a cumplir estándares de seguridad y gobernanza digital más exigentes.
“NIS2 no es solo una actualización normativa; es un cambio estructural en cómo las empresas deben entender la ciberseguridad. Ya no basta con protegerse, ahora deben demostrar que lo hacen de forma proactiva, medible y conforme a los criterios europeos”, explica Jordi Damià, CEO de Setesca.
¿A quién afectará la NIS2?
La nueva directiva amplía el alcance de la anterior NIS1, afectando tanto al sector público como al privado.
Entre los sectores directamente impactados se incluyen:
- Energía, banca, sanidad, transporte, infraestructuras digitales y suministro de agua.
- Sectores importantes como alimentación, química, mensajería o producción industrial.
- Las empresas proveedoras de las empresas de los sectores indicados.
Además, el tamaño de la organización será un factor determinante: medianas y grandes empresas estarán obligadas a cumplir, y algunas pymes también, si su actividad es considerada esencial o crítica dentro de la cadena de suministro.
Principales obligaciones que introduce NIS2
Las empresas deberán incorporar medidas avanzadas y procesos formales de ciberseguridad, entre los que destacan:
- Gestión integral de riesgos: implementar medidas técnicas, operativas y organizativas.
- Notificación de incidentes: informar a la autoridad competente o al CSIRT nacional en plazos muy reducidos.
- Seguridad de la cadena de suministro: garantizar la protección de terceros y proveedores críticos.
- Gobernanza interna y liderazgo: designar responsables de ciberseguridad y formar a la alta dirección.
- Cumplimiento estricto y sanciones: las multas podrán alcanzar hasta 10 millones de euros o un 2 % de la facturación anual global.
Un contexto de urgencia
A pesar de que el plazo europeo expiró hace más de un año, España aún no ha aprobado la ley definitiva de transposición. Todo apunta a que la normativa entrará plenamente en vigor en 2026, pero el tiempo de preparación para las empresas es limitado.
“No se trata solo de cumplir con una obligación legal, sino de proteger la continuidad del negocio. El impacto reputacional y económico de un ciberataque puede ser devastador si las organizaciones no están listas”, añade Damià.
Según los expertos de la consultora, 2026 será un año clave para la preparación, ya que las compañías deberán evaluar sus vulnerabilidades, formar a sus equipos y establecer mecanismos de monitorización y respuesta ante incidentes antes de que la norma entre en vigor.
Recomendaciones para las empresas
- Verificar el ámbito de aplicación: confirmar si su sector o tamaño las incluye en NIS2.
- Realizar una auditoría de ciberseguridad y cumplimiento.
- Diseñar un plan de gobernanza que involucre a la dirección y no solo al área técnica.
- Reforzar la gestión de la cadena de suministro y los contratos con proveedores críticos.
- Formar a los responsables internos sobre sus nuevas obligaciones legales.
“Las empresas que comiencen ahora a adaptarse estarán en una posición ventajosa. La NIS2 marcará una línea divisoria entre quienes entienden la ciberseguridad como estrategia y quienes la ven solo como un coste”, concluye Damià.
CISO as a Service
Para ayudar a las organizaciones en este proceso, Setesca ha desarrollado su servicio de CISO as a Service, una solución diseñada para aquellas empresas que necesitan cumplir con los requisitos de NIS2 sin asumir los elevados costes de incorporar un CISO interno. Este modelo permite disponer de un responsable de ciberseguridad altamente cualificado, con supervisión continua, soporte estratégico y cumplimiento normativo, garantizando así que las compañías puedan adaptarse de forma ágil y eficiente a las nuevas exigencias regulatorias.
Acerca de Setesca – www.setesca.com
Setesca nace en 2007 fundada por Jordi Damià y orientada a ofrecer un servicio diferencial en sistemas de información e implantación de procesos de optimización. Pronto se convierte en un nuevo modelo estratégico de consultoría especializada en mejora de la gestión de departamentos TIC, y servicios y productos innovadores y de alta productividad. Del mismo modo, también está especializada en Gestión de Talento y soporte a la implantación de la innovación. La máxima del nuevo modelo de consultoría es la cercanía y flexibilidad a las necesidades del cliente, involucrándose directamente en los resultados esperados. Setesca ayuda a las empresas a adoptar procesos de innovación en compañías como en Seat, ICIL, Iberdrola, etc.