NIS2 (Directiva 2022/2555) es la nueva directiva de ciberseguridad de la UE que reemplaza a NIS1 (2016). Amplía significativamente el ámbito (de 7 a 18 sectores), endurece las obligaciones de seguridad y notificación, introduce responsabilidad de la alta dirección, y establece sanciones de hasta 10M EUR o 2% de facturación global.

¿Mi empresa debe cumplir NIS2?

Si operas en la UE en uno de los 18 sectores cubiertos y tienes más de 50 empleados o más de 10M EUR de facturación, probablemente sí. Los sectores incluyen: energía, transporte, banca, salud, agua, infraestructura digital, administración pública, espacio, correos, gestión de residuos, alimentación, fabricación, químicos, investigación, y proveedores digitales.

¿Cuáles son los plazos de notificación de NIS2?

Tres fases: alerta temprana al CSIRT en 24 horas (indicar si es transfronterizo o criminal), notificación del incidente en 72 horas (evaluación inicial, severidad, impacto), informe final en 1 mes (análisis root cause, medidas aplicadas, impacto transfronterizo).

IntermedioNIS2directivaUEregulacióncompliance

NIS2: Nueva Directiva Europea de Ciberseguridad y sus Obligaciones (2024-2026)

Directiva NIS2 (2022/2555): ámbito ampliado (18 sectores), entidades esenciales e importantes, obligaciones de ciberseguridad, notificación de incidentes en 24/72 horas, sanciones, y guía de implementación para organizaciones en la UE.

MalwareIntel Research·5 de junio de 2026·20 min lectura

Serie: CERTs y Marco Regulatorio — Parte 5

Por qué NIS2 cambia las reglas del juego

La Directiva NIS original de 2016 fue el primer intento de la UE de establecer un marco común de ciberseguridad. Funcionó como catalizador inicial, pero tenía problemas graves: cada Estado miembro la interpretó de forma diferente, el ámbito era demasiado estrecho (solo 7 sectores), las sanciones eran laxas y no existía un mecanismo real de supervisión transfronteriza. En la práctica, un operador esencial en Francia tenía obligaciones radicalmente distintas a uno equivalente en España o Alemania.

NIS2 (Directiva 2022/2555) no es una revisión menor. Es una reescritura completa que multiplica por 2.5 los sectores cubiertos, introduce responsabilidad personal de la alta dirección, endurece los plazos de notificación y establece un régimen sancionador comparable al del RGPD. Entró en vigor en enero de 2023, con fecha límite de transposición nacional el 17 de octubre de 2024.

Para cualquier organización que opere en la UE en sectores críticos, NIS2 no es opcional. Y a diferencia de NIS1, las consecuencias de no cumplir son económicamente significativas.

De NIS1 a NIS2: por qué fue necesaria la reforma

Los fallos de NIS1 (2016)

La primera directiva NIS (Directiva 2016/1148) dejó demasiado margen a los Estados miembros. Los problemas principales fueron:

Fragmentación regulatoria. Cada país definió sus propios criterios para identificar "operadores de servicios esenciales" (OES). España identificó unos 400, mientras que otros Estados identificaron menos de 100.
Ámbito insuficiente. Solo 7 sectores cubiertos. Sectores críticos como alimentación, gestión de residuos, espacio, fabricación y administración pública quedaron fuera.
Sanciones sin dientes. No existía un marco armonizado de sanciones. Algunos países imponían multas simbólicas.
Notificación inconsistente. Los plazos y procedimientos de notificación de incidentes variaban entre países.
Cadena de suministro ignorada. NIS1 no abordaba el riesgo de terceros, una de las principales vías de compromiso (SolarWinds, Kaseya, MOVEit).

Timeline de NIS2

Fecha	Hito
Diciembre 2020	La Comisión Europea presenta la propuesta de NIS2
Mayo 2022	Acuerdo político entre Parlamento y Consejo
14 diciembre 2022	Publicación en el Diario Oficial de la UE (Directiva 2022/2555)
16 enero 2023	Entrada en vigor
17 abril 2025	Los Estados publican la lista de entidades esenciales e importantes
17 octubre 2024	Fecha límite de transposición nacional
17 octubre 2027	Primera revisión del funcionamiento de la directiva

Ámbito de aplicación: 18 sectores, dos categorías

NIS2 elimina la discrecionalidad de NIS1 e introduce criterios objetivos para determinar qué organizaciones están cubiertas. El ámbito se estructura en dos categorías: sectores de alta criticidad (Anexo I) y otros sectores críticos (Anexo II).

Sectores de alta criticidad (Anexo I): entidades esenciales

N.o	Sector	Subsectores clave
1	Energía	Electricidad, petróleo, gas, hidrógeno, calefacción/refrigeración urbana
2	Transporte	Aéreo, ferroviario, marítimo, por carretera
3	Banca	Entidades de crédito
4	Infraestructuras de los mercados financieros	Centros de negociación, contrapartes centrales
5	Sector sanitario	Hospitales, laboratorios, fabricantes de productos sanitarios, I+D farmacéutico
6	Agua potable	Suministradores y distribuidores
7	Aguas residuales	Empresas de recogida, tratamiento y vertido
8	Infraestructura digital	IXPs, DNS, TLD registries, cloud, data centers, CDNs, proveedores de servicios de confianza, redes de comunicaciones electrónicas
9	Gestión de servicios TIC (B2B)	MSPs y MSSPs
10	Administración pública	Entidades de gobierno central y regional (excluye defensa, seguridad nacional y poder judicial)
11	Espacio	Operadores de infraestructura terrestre para servicios espaciales

Otros sectores críticos (Anexo II): entidades importantes

N.o	Sector	Subsectores clave
12	Servicios postales y de mensajería	Operadores de servicios postales y mensajería
13	Gestión de residuos	Recogida, tratamiento, reciclaje
14	Fabricación, producción y distribución de sustancias químicas	Industria química
15	Producción, transformación y distribución de alimentos	Industria alimentaria, distribución mayorista
16	Fabricación	Productos sanitarios, informáticos, electrónicos, ópticos, maquinaria, vehículos a motor, material de transporte
17	Proveedores de servicios digitales	Marketplaces, motores de búsqueda, plataformas de redes sociales
18	Investigación	Organizaciones de investigación (cuando sus resultados tienen implicaciones de seguridad)

Criterio de tamaño

La directiva utiliza un criterio objetivo basado en tamaño, salvo excepciones:

Medianas empresas y superiores: 50 o más empleados, o facturación anual o balance superior a 10 millones EUR.
Excepciones independientes del tamaño: proveedores de redes de comunicaciones electrónicas públicas, registros de nombres de dominio TLD, prestadores de servicios DNS, proveedores de servicios de confianza cualificados. Estos están cubiertos siempre, sin importar el tamaño.
Discrecionalidad estatal: los Estados pueden incluir entidades más pequeñas si las consideran críticas para su seguridad nacional.

Entidades esenciales vs. entidades importantes

NIS2 distingue entre dos niveles de entidad con diferencias significativas en supervisión y sanciones:

Aspecto	Entidad esencial	Entidad importante
Sectores	Anexo I (alta criticidad)	Anexo II (otros sectores críticos)
Criterio de tamaño	Grande (250+ empleados o 50M+ facturación)	Mediana (50-249 empleados o 10-50M facturación)
Supervisión	Proactiva (ex ante): auditorías, inspecciones, escaneos de seguridad por la autoridad competente	Reactiva (ex post): solo cuando hay evidencia de incumplimiento
Sanciones máximas	10M EUR o 2% de facturación global (lo que sea mayor)	7M EUR o 1,4% de facturación global (lo que sea mayor)
Obligaciones de seguridad	Idénticas a las entidades importantes	Idénticas a las entidades esenciales
Notificación de incidentes	Mismos plazos	Mismos plazos

Un punto crítico: las obligaciones técnicas son las mismas para ambas categorías. La diferencia está en cómo se supervisan y en la cuantía de las sanciones. Una empresa "importante" no puede relajarse porque tenga sanciones menores; debe implementar las mismas 10 medidas del Artículo 21.

Obligaciones de gobernanza: la dirección responde

NIS2 introduce un cambio cultural significativo. Los órganos de dirección (consejo de administración, dirección general) tienen responsabilidad directa sobre la ciberseguridad. No pueden delegar la responsabilidad, aunque sí las tareas.

Obligaciones de la alta dirección (Artículo 20)

Aprobación de medidas. Los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad.
Supervisión de la implementación. Deben supervisar que las medidas se implementen efectivamente.
Formación obligatoria. Los miembros de los órganos de dirección deben recibir formación periódica en ciberseguridad para adquirir conocimientos y competencias suficientes.
Formación para empleados. Deben ofrecer formación similar a los empleados de forma regular.
Responsabilidad personal. Los órganos de dirección pueden ser considerados personalmente responsables de infracciones.

Esto no es decorativo. La directiva establece que los Estados miembros deben asegurar que las personas físicas responsables de entidades esenciales puedan ser declaradas responsables si se demuestra negligencia en el cumplimiento. En la práctica, un CISO que alerta al consejo sobre un riesgo y recibe un "no" como respuesta, traslada la responsabilidad al consejo.

Medidas de ciberseguridad: las 10 medidas del Artículo 21

El Artículo 21 establece un catálogo mínimo de 10 medidas que toda entidad (esencial o importante) debe implementar. No son opcionales ni modulables: son la línea base.

1. Políticas de análisis de riesgos y seguridad de los sistemas de información

Evaluación de riesgos documentada, actualizada periódicamente, que cubra activos, amenazas, vulnerabilidades y medidas de mitigación. Debe incluir tanto riesgos tecnológicos como humanos y físicos.

2. Gestión de incidentes

Procedimientos de detección, análisis, clasificación, contención, erradicación y recuperación de incidentes. Incluye la definición de roles, escalamiento y comunicación interna durante un incidente.

3. Continuidad de negocio y gestión de crisis

Planes de continuidad de negocio (BCP), planes de recuperación ante desastres (DRP), gestión de backups y pruebas periódicas de los planes. El objetivo: que la organización pueda seguir operando durante y después de un incidente grave.

4. Seguridad de la cadena de suministro

Gestión del riesgo de proveedores y terceros. Incluye requisitos de seguridad en contratos, evaluación de la postura de seguridad de proveedores directos y consideración de los riesgos específicos de cada proveedor.

5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas

Seguridad en el ciclo de vida del desarrollo de software (SDLC). Gestión de vulnerabilidades, incluyendo su divulgación coordinada. Pruebas de seguridad de las redes y sistemas.

6. Políticas y procedimientos para evaluar la eficacia de las medidas

Auditorías, revisiones y evaluaciones para verificar que las medidas de ciberseguridad funcionan. No basta con implementar: hay que demostrar que son efectivas.

7. Prácticas básicas de ciberhigiene y formación

Gestión de contraseñas, actualizaciones de software, configuración segura de dispositivos, segmentación de red, gestión de identidades y concienciación del personal. Todo lo que parece obvio pero se incumple sistemáticamente.

8. Políticas de uso de criptografía y cifrado

Políticas para el uso de cifrado, incluyendo cifrado en reposo y en tránsito, gestión de claves y certificados. No especifica algoritmos concretos, pero la referencia implícita es al estado del arte (AES-256, TLS 1.3, RSA-2048+).

9. Seguridad de los recursos humanos, control de acceso y gestión de activos

Control de acceso basado en roles (RBAC) o en atributos (ABAC), principio de mínimo privilegio, gestión del ciclo de vida de identidades (altas, bajas, cambios de rol), inventario de activos y su clasificación.

10. Autenticación multifactor (MFA) o autenticación continua

Uso de MFA, soluciones de autenticación continua, comunicaciones de voz, vídeo y texto protegidas, y sistemas de comunicaciones de emergencia protegidos. NIS2 menciona MFA explícitamente, no como recomendación sino como obligación.

Notificación de incidentes: el reloj empieza a correr

NIS2 establece un sistema de notificación en tres fases con plazos estrictos. El reloj arranca cuando la entidad tiene conocimiento del incidente significativo.

Qué es un "incidente significativo"

Un incidente se considera significativo cuando:

Ha causado o puede causar perturbaciones operativas graves o pérdidas financieras para la entidad.
Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

Las tres fases de notificación

┌─────────────────────┐
│   DETECCION DEL     │
│   INCIDENTE         │
│   (t = 0)           │
└─────────┬───────────┘
          │
          ▼
┌─────────────────────┐     Contenido:
│   FASE 1            │     - Sospecha de que el incidente es significativo
│   ALERTA TEMPRANA   │     - Indicar si se sospecha acto ilicito o malicioso
│   ≤ 24 horas        │     - Indicar si puede tener impacto transfronterizo
│   → al CSIRT        │
└─────────┬───────────┘
          │
          ▼
┌─────────────────────┐     Contenido:
│   FASE 2            │     - Evaluacion inicial del incidente
│   NOTIFICACION      │     - Severidad e impacto
│   DEL INCIDENTE     │     - IOCs si estan disponibles
│   ≤ 72 horas        │     - Actualizar la alerta temprana si es necesario
│   → al CSIRT        │
└─────────┬───────────┘
          │
          ▼
┌─────────────────────┐     Contenido:
│   FASE 3            │     - Descripcion detallada del incidente
│   INFORME FINAL     │     - Analisis de causa raiz (root cause)
│   ≤ 1 mes           │     - Medidas de mitigacion aplicadas
│   → al CSIRT        │     - Impacto transfronterizo si aplica
│                     │     - Tipo de amenaza/causa probable
└─────────────────────┘

Si el incidente sigue activo al mes, la entidad debe presentar un informe de situación en lugar del informe final, y entregar el informe final en el plazo de un mes tras la resolución.

Diferencias con NIS1

Aspecto	NIS1	NIS2
Plazo de alerta temprana	No definido	24 horas
Plazo de notificación	"Sin demora indebida" (ambiguo)	72 horas
Informe final	No obligatorio	1 mes
Contenido mínimo	Genérico	Detallado (IOCs, root cause, impacto transfronterizo)
Quién notifica	Solo OES y DSP	Todas las entidades esenciales e importantes

Régimen sancionador

NIS2 introduce un régimen de sanciones armonizado que pone fin a la disparidad entre Estados miembros. Las multas se calculan con la misma lógica que el RGPD: el mayor de un importe fijo o un porcentaje de facturación global.

Sanciones para entidades esenciales

Multa máxima: 10.000.000 EUR o el 2% de la facturación anual global total de la empresa del ejercicio anterior, lo que sea mayor.
Supervisión proactiva: la autoridad competente puede realizar auditorías, inspecciones in situ, escaneos de seguridad y solicitar información en cualquier momento.
Suspensión de certificaciones: se puede suspender temporalmente la certificación o autorización de una entidad esencial.
Prohibición temporal: se puede prohibir temporalmente a una persona física de la dirección el ejercicio de funciones directivas.

Sanciones para entidades importantes

Multa máxima: 7.000.000 EUR o el 1,4% de la facturación anual global total del ejercicio anterior, lo que sea mayor.
Supervisión reactiva: solo intervención cuando hay indicios de incumplimiento (tras incidente, denuncia o auditoría).

Responsabilidad personal

Los Estados miembros deben garantizar que las personas físicas responsables de las entidades esenciales (miembros del consejo de administración, directores generales) puedan ser declaradas personalmente responsables por infracciones del Artículo 21 (medidas de ciberseguridad). Esto incluye:

Multas personales.
Suspensión temporal de funciones directivas.
Publicación de la identidad de la persona responsable y la naturaleza de la infracción.

Este punto supone un cambio de paradigma. La ciberseguridad deja de ser un problema "del departamento de TI" para convertirse en un tema de consejo con consecuencias personales.

Seguridad de la cadena de suministro

La Medida 4 del Artículo 21 merece atención especial. Los ataques a la cadena de suministro (SolarWinds, Kaseya, MOVEit, 3CX) han demostrado que comprometer a un proveedor puede afectar a miles de organizaciones simultáneamente.

NIS2 exige:

Evaluación de proveedores. Evaluar la postura de seguridad de los proveedores directos, especialmente los de servicios TIC.
Cláusulas contractuales. Incluir requisitos de seguridad en los contratos con proveedores (notificación de incidentes, derecho de auditoría, requisitos técnicos mínimos).
Riesgo específico por proveedor. Considerar las vulnerabilidades específicas de cada proveedor directo, la calidad general de sus productos y sus prácticas de ciberseguridad.
Evaluación coordinada a nivel UE. El Grupo de Cooperación, con el apoyo de la Comisión y ENISA, puede realizar evaluaciones coordinadas del riesgo de la cadena de suministro de servicios, sistemas o productos TIC críticos específicos.

En la práctica, esto significa que las organizaciones deben:

Mantener un inventario de proveedores críticos.
Clasificarlos por criticidad y nivel de acceso a los sistemas.
Incluir cláusulas de seguridad en los contratos (SLA de notificación, derecho de auditoría, requisitos de cifrado).
Monitorizar la postura de seguridad de los proveedores de forma continua.
Tener planes de contingencia si un proveedor crítico sufre un incidente.

Transposición nacional: estado en la UE

NIS2 es una directiva, no un reglamento. Eso significa que cada Estado miembro debe transponerla a su legislación nacional. La fecha límite fue el 17 de octubre de 2024, pero el panorama real es heterogéneo.

Estado de transposición (junio 2026)

Estado	Situación
Bélgica	Ley adoptada (abril 2024), una de las primeras
Croacia	Ley adoptada (julio 2024)
Hungría	Ley adoptada (mayo 2024)
Italia	Decreto legislativo adoptado (agosto 2024)
Letonia	Ley adoptada (septiembre 2024)
Alemania	NIS2UmsuCG aprobado en 2025, tras retrasos políticos
Francia	Transposición aprobada en 2025
Países Bajos	Transposición aprobada en 2025
España	Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado por el Consejo de Ministros. Tramitación parlamentaria completada en 2025
Otros	Varios Estados completaron la transposición con retraso durante 2025

España: transposición y contexto

La transposición española se articula a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad, que complementa al marco ya existente del Esquema Nacional de Seguridad (ENS). Los puntos clave del contexto español:

El CCN-CERT (Centro Criptológico Nacional) actúa como CSIRT de referencia para la Administración Pública.
El INCIBE-CERT es el CSIRT de referencia para ciudadanos y empresas.
El Mando Conjunto del Ciberespacio (MCCE) cubre el ámbito de Defensa.
El ENS ya imponía obligaciones significativas al sector público. NIS2 amplía esas obligaciones al sector privado en los 18 sectores cubiertos.
Las entidades que ya cumplen ENS Alto tienen gran parte del camino recorrido, pero deben verificar las obligaciones adicionales de NIS2 (notificación en 24h, cadena de suministro, responsabilidad de la dirección).

NIS2 vs ENS: complementariedad

Para las organizaciones españolas, NIS2 y ENS no son alternativas: son complementarias. El ENS establece requisitos técnicos detallados para la seguridad de la información en el sector público y sus proveedores. NIS2 establece un marco de gobernanza y obligaciones a nivel europeo que aplica a sectores públicos y privados.

Aspecto	ENS	NIS2
Naturaleza	Real Decreto nacional	Directiva europea (transpuesta a ley)
Ámbito	Sector público y proveedores de la Administración	18 sectores (público y privado)
Niveles	Bajo, Medio, Alto	Esencial, Importante
Medidas técnicas	75 medidas detalladas en 3 marcos (org, op, protección)	10 medidas de alto nivel (Artículo 21)
Notificación	A CCN-CERT, sin plazos estrictos	24h/72h/1 mes al CSIRT designado
Sanciones	Responsabilidad administrativa	Multas de hasta 10M EUR / 2% facturación
Certificación	Certificación ENS obligatoria	No incluye certificación propia (puede referenciarse a ISO 27001)
Cadena de suministro	Requisitos para proveedores de la Administración	Requisitos generales para todos los proveedores
Responsabilidad dirección	No explícita	Explícita y personal

Conclusión práctica: una organización que cumple ENS Alto tiene una base sólida para NIS2, pero necesita verificar la gobernanza (responsabilidad de la dirección), los plazos de notificación (más estrictos), la gestión de la cadena de suministro y el régimen sancionador.

NIS2 vs DORA: diferencias de ámbito

DORA (Digital Operational Resilience Act, Reglamento 2022/2554) y NIS2 se aprobaron simultáneamente, pero tienen alcances diferentes. Para entidades del sector financiero, DORA es lex specialis (ley especial que prevalece sobre la general).

Aspecto	NIS2	DORA
Naturaleza jurídica	Directiva (requiere transposición)	Reglamento (aplicación directa)
Ámbito	18 sectores	Solo sector financiero (bancos, aseguradoras, gestoras, infraestructuras de mercado, proveedores TIC críticos del sector)
Relación	Lex generalis	Lex specialis (prevalece sobre NIS2 para entidades financieras)
Notificación de incidentes	24h / 72h / 1 mes	Similar, con adaptaciones al sector financiero
Testing	Evaluaciones de eficacia	TLPT (Threat-Led Penetration Testing) obligatorio para entidades significativas
Cadena de suministro	Requisitos generales	Registro de proveedores TIC críticos a nivel UE, supervisión directa de la ESA
Fecha de aplicación	17 octubre 2024 (transposición)	17 enero 2025 (aplicación directa)

En la práctica: si una entidad financiera está sujeta a DORA, las disposiciones de DORA sobre gestión de riesgos TIC y notificación de incidentes prevalecen sobre NIS2. Pero NIS2 sigue aplicando en todo lo no cubierto por DORA.

Guía de implementación: de la teoría a la práctica

Fase 1: Evaluación (meses 1-2)

Gap analysis. Determinar el punto de partida:

Clasificación. Confirmar si la organización es entidad esencial o importante. Revisar sector, tamaño y excepciones.
Mapeo de obligaciones. Listar las 10 medidas del Artículo 21 y evaluar el estado actual de cada una.
Inventario de activos. Identificar todos los sistemas y servicios de red e información que soportan las operaciones cubiertas por NIS2.
Evaluación de proveedores. Inventariar proveedores críticos, su nivel de acceso y los contratos vigentes.
Análisis de gaps. Documentar las brechas entre el estado actual y los requisitos de NIS2.

Fase 2: Planificación (meses 2-3)

Roadmap de implementación:

Priorización de gaps. Ordenar por riesgo e impacto, no por facilidad de implementación.
Gobernanza. Definir roles y responsabilidades. Asegurar la implicación formal de la alta dirección.
Presupuesto. Estimar inversión necesaria. Las organizaciones que ya cumplen ISO 27001 o ENS tienen ventaja.
Formación. Planificar formación para la alta dirección y para el personal general.
Proveedores. Iniciar la revisión de contratos con cláusulas de seguridad.

Fase 3: Implementación (meses 3-9)

Ejecución por bloques:

Bloque 1: Gobernanza y riesgos. Política de seguridad aprobada por la dirección, análisis de riesgos, roles RACI.
Bloque 2: Capacidades técnicas. MFA, cifrado, segmentación de red, gestión de vulnerabilidades, backups verificados.
Bloque 3: Gestión de incidentes. Procedimientos de detección, contención y notificación alineados con los plazos de NIS2. Simulacro de notificación al CSIRT.
Bloque 4: Cadena de suministro. Contratos actualizados, evaluación de proveedores, monitorización continua.
Bloque 5: Continuidad de negocio. BCP y DRP actualizados y probados.

Fase 4: Verificación y mejora continua (mes 9 en adelante)

Auditoría interna. Verificar la implementación contra las 10 medidas del Artículo 21.
Ejercicios de respuesta. Tabletop exercises y simulacros de incidentes con notificación.
Métricas. Definir KPIs de ciberseguridad y reportarlos a la dirección.
Revisión periódica. Actualizar el análisis de riesgos al menos anualmente o tras cambios significativos.

Recursos y referencias

Texto legal y guías oficiales

Directiva (UE) 2022/2555 (NIS2): texto completo publicado en el Diario Oficial de la UE.
ENISA: NIS2 Directive: página de referencia de ENISA con guías de implementación.
ENISA: NIS Investment Report: análisis de inversiones en ciberseguridad bajo NIS.
CCN-CERT: guías de cumplimiento y herramientas para el contexto español.
INCIBE: recursos para empresas españolas sobre NIS2.

Frameworks complementarios

ISO 27001:2022: sistema de gestión de seguridad de la información. Cubre gran parte de las medidas del Artículo 21.
NIST Cybersecurity Framework 2.0: referencia técnica complementaria, especialmente para análisis de riesgos y respuesta a incidentes.
ENS (Esquema Nacional de Seguridad): marco nacional español. Las entidades que cumplen ENS Alto tienen una base sólida para NIS2.
IEC 62443: para entidades en sectores industriales (energía, fabricación) con sistemas OT/ICS.

Mapping NIS2 a otros frameworks

Medida NIS2 (Art. 21)	ISO 27001:2022	ENS	NIST CSF 2.0
Análisis de riesgos	A.5.1, 6.1.2	op.pl.1, op.pl.2	GV.RM, ID.RA
Gestión de incidentes	A.5.24-A.5.28	op.exp.7	RS.MA, RS.AN
Continuidad de negocio	A.5.29-A.5.30	op.cont.1-3	RC.RP
Cadena de suministro	A.5.19-A.5.23	op.ext.1-2	GV.SC
Adquisición y desarrollo	A.8.25-A.8.31	mp.sw.1-2	PR.DS
Evaluación de eficacia	9.1, 9.2, 9.3	op.mon.1-2	GV.AS
Ciberhigiene y formación	A.6.3	mp.per.3-4	PR.AT
Criptografía	A.8.24	mp.com.2, mp.info.3	PR.DS
Control de acceso	A.5.15-A.5.18, A.8.2-A.8.5	op.acc.1-6	PR.AA
MFA	A.8.5	op.acc.5	PR.AA

NIS2 es la nueva línea base de ciberseguridad en la UE. Las organizaciones que la tratan como un ejercicio de compliance burocrático pierden la oportunidad de usarla como catalizador para mejorar su postura de seguridad real. Las que la integran en su gobernanza, operaciones y cultura no solo evitan sanciones: se protegen mejor.