Ciberseguridad y privacidad digital

Directiva NIS2: el riesgo de esperar demasiado

juan-ignacio-rios.
Juan Ignacio Ríos
Director de Ciberseguridad & Technology Risk de KPMG en España
Pedro García Kollmer
Manager de Technology Risk de KPMG en España
7 octubre, 2025
4 min

El próximo 17 de octubre se cumplirá un año desde que finalizó el plazo oficial para que los Estados miembros de la Unión Europea transpusieran la Directiva NIS2 a sus legislaciones nacionales. España es actualmente uno de los países que aún no han completado este proceso, aunque se espera que la trasposición se produzca cuanto antes, dado que los objetivos que persigue son críticos para la seguridad de la Unión Europea y el funcionamiento eficaz de nuestra sociedad.

La Directiva NIS2 no es una norma más: supone un cambio profundo en la forma en que las organizaciones deben gestionar la ciberseguridad, elevando el nivel de exigencia y ampliando el alcance a más sectores y entidades. Su objetivo es claro: reforzar la resiliencia frente a incidentes que puedan afectar a servicios esenciales y, por extensión, a la economía y la vida cotidiana de los ciudadanos europeos.

¿Qué han hecho las organizaciones hasta ahora?

Durante este tiempo, las organizaciones han adoptado diferentes posturas. Algunas han optado por realizar un diagnóstico de situación e iniciar la implementación o revisión de medidas, especialmente tras la publicación del anteproyecto de Ley en España. Estas organizaciones han entendido que, aunque la trasposición no esté completada, la tendencia regulatoria es clara y el riesgo de esperar es alto.

Sin embargo, otras han preferido mantenerse a la espera, aguardando mayor claridad legislativa, sobre todo en lo relativo a si resultan afectadas y, en caso afirmativo, si serán clasificadas como esenciales o importantes. Este enfoque puede resultar de alto riesgo: la falta de acción no detiene las amenazas ni reduce la exposición a incidentes que pueden tener un impacto económico, reputacional y legal significativo.

Aunque la trasposición no esté completada, la tendencia regulatoria es clara y el riesgo de esperar es alto

Por qué no esperar

La ausencia de una trasposición aprobada no debería llevar a la inacción. Existen requisitos que son cruciales para reducir las amenazas sobre redes y sistemas de información, y que además son buenas prácticas reconocidas internacionalmente. Entre ellos destacan:

  • Realización de análisis y gestión de riesgos: conocer los riesgos es el primer paso para mitigarlos. Sin un mapa claro de amenazas y vulnerabilidades, cualquier medida será reactiva e insuficiente. En línea con ello, se hace cada vez más relevante contar con capacidades que nos permitan evaluar nuestros riesgos de manera cuantitativa, incorporando análisis coste-beneficio y permitiéndonos priorizar nuestras inversiones a la hora de definir los planes de acción. Esto facilita enormemente la gestión dinámica de riesgos de ciberseguridad, obtener claridad sobre las amenazas a las que nos enfrentamos y la comunicación y traslado de esta información a la Alta Dirección, quienes cobran un papel clave en el marco de la Directiva NIS2. Para ello, es necesario contar con herramientas como CRI (Cyber Risk Insights) que nos permiten el análisis dinámico de escenarios de riesgos de ciberseguridad y su impacto en la operativa del negocio.
  • Seguridad en la cadena de suministro: los proveedores son una puerta de entrada habitual para los atacantes. Evaluar su nivel de seguridad y establecer controles contractuales es imprescindible.
  • Incorporación de la seguridad en el diseño de procesos: la ciberseguridad no puede ser un añadido posterior; debe integrarse desde el inicio en los procesos de negocio y en el ciclo de vida de los sistemas.
  • Evaluación de la eficacia de las medidas adoptadas: no basta con definir políticas; hay que comprobar que funcionan mediante auditorías, pruebas y revisiones periódicas.
  • Concienciación y formación en ciberseguridad para todos los empleados, con especial foco en la Alta Dirección: la concienciación es la primera línea de defensa. Un error humano puede anular la cualquier medida de seguridad implementada. Asimismo, surge de manera clara la necesidad de formar y concienciar a la Alta Dirección, quienes tendrán la responsabilidad sobre potenciales incumplimientos y deberán respaldar y liderar la aprobación y supervisión de las medidas de seguridad que se adopten en la organización.

Estas acciones no solo reducen riesgos, sino que preparan a la organización para cumplir con NIS2 cuando la normativa nacional entre en vigor.

NIS2: amenaza u oportunidad

La Directiva NIS2 no debe verse únicamente como una amenaza de incumplimiento que expone a sanciones —que pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocio anual—, sino como una palanca para mejorar las capacidades de ciberseguridad, alinearlas con el negocio y aumentar la concienciación.

En realidad, NIS2 representa una oportunidad para transformar la cultura de ciberseguridad y elevar el nivel de madurez organizativa. Las empresas que actúen de forma proactiva no solo reducirán riesgos, sino que también ganarán en confianza del mercado, mejorarán su reputación y estarán mejor preparadas para afrontar auditorías, licitaciones y exigencias de clientes.

Cómo adaptarse a los requerimientos de la NIS2
Podemos ayudarte

Aunque el marco legal español aún está pendiente de trasposición, existen suficientes herramientas, guías y motivos para avanzar en la definición e implementación de medidas que, más allá del cumplimiento, fortalezcan la postura de ciberseguridad.

Primeros pasos recomendados

Si aún no se ha iniciado el proceso de adecuación, la recomendación es clara:

  1. Realizar un diagnóstico y análisis de riesgos, poniendo foco en los elementos del artículo 21 de la Directiva, que establece las medidas técnicas y organizativas mínimas.
  2. Apoyarse en normativas consolidadas o estándares como el ENS (Esquema Nacional de Seguridad), ya que, según ha comunicado el CCN en una nota publicada el 3 de octubre de 2025, el ENS y los perfiles específicos serán claves en la futura transposición española.
  3. Consultar guías y publicaciones de autoridades como CCN, INCIBE o ENISA, que proporcionan orientación práctica y actualizada.
  4. Involucrar a la Alta Dirección, que tiene la responsabilidad última en la gestión de riesgos y debe aprobar los planes. La implicación del consejo no es opcional: NIS2 establece obligaciones específicas para los órganos de gobierno.

Medidas en marcha en organizaciones avanzadas

Entre las organizaciones que ya han iniciado su adecuación, destacan acciones como:

  • Aseguramiento de la cadena de suministro: identificación y clasificación de terceros críticos, evaluación de riesgos y negociación de términos contractuales mínimos que incluyan requisitos de ciberseguridad.
  • Programas de formación y concienciación, con especial atención a altos cargos, para integrar la ciberseguridad en la cultura corporativa y alinear la estrategia con los objetivos de negocio.
  • Convergencia IT/OT en entornos industriales: segmentación de redes, hardening de activos OT, gestión de parches y vulnerabilidades, y pruebas específicas para entornos críticos.
  • Ajustes en procesos de gestión de incidentes: cumplimiento de plazos de notificación, actualización de playbooks y plantillas, y coordinación entre equipos técnicos, legales y de comunicación.
  • Implementación de autenticación multifactorial y redefinición de roles y responsabilidades en el acceso a la información, reforzando el principio de mínimo privilegio.
  • Refuerzo y pruebas de planes de continuidad de negocio y recuperación ante desastres, asegurando que los procedimientos son efectivos y están alineados con los riesgos identificados.

Estas medidas no solo cumplen con NIS2, sino que aportan valor real al negocio, reduciendo la probabilidad y el impacto de incidentes graves.

En definitiva, las organizaciones deben actuar cuanto antes para reducir riesgos, evitar costes derivados de la improvisación y ejecutar planes alineados con el negocio de manera ordenada. La Directiva NIS2 no debe percibirse solo desde el prisma del cumplimiento, sino como una oportunidad para incrementar la madurez en ciberseguridad y reforzar la confianza en el mercado.

En un contexto donde las amenazas son cada vez más sofisticadas y las dependencias digitales más críticas, esperar no es una opción. La pregunta no es si debemos actuar, sino cuánto tiempo podemos permitirnos seguir sin hacerlo.

Artículos relacionados