La Directiva NIS2 y tus documentos: lo que las empresas de la UE deben saber
La NIS2 es la mayor expansión de la regulación de ciberseguridad de la UE en una década. Afecta a más de 160.000 entidades en 18 sectores, y la mayor parte de lo que exige es documentación. Registros de riesgos, actas de incidentes, aprobaciones de políticas, evaluaciones de proveedores y registros de formación. Esto es lo que realmente tienes que hacer.
Última actualización: abril de 2026
La respuesta corta
- → La NIS2 es principalmente un desafío de documentación y gobernanza, no tecnológico. Siete de las diez medidas de seguridad obligatorias según el Artículo 21 se basan fundamentalmente en procesos documentados, políticas aprobadas y pruebas auditables.
- → Si tu organización opera en uno de los 18 sectores cubiertos y tiene 50 o más empleados (o supera los 10 millones de euros de facturación anual), es muy probable que estés dentro del alcance, ya sea como entidad esencial o importante.
- En resumen: Un sistema de gestión documental no te hace cumplir la NIS2 por sí solo. Pero una mala gestión documental —falta de políticas, sin historial de versiones ni pistas de aprobación— garantiza que fallarás en una auditoría.
¿Qué es la NIS2 y por qué es importante?
La Directiva sobre Seguridad de las Redes y de la Información 2 (NIS2) es la Directiva (UE) 2022/2555, adoptada en diciembre de 2022 y en vigor desde enero de 2023. Sustituye a la directiva NIS original de 2016. El salto en el alcance es enorme: la NIS1 cubría aproximadamente 15.000 entidades en 7 sectores. La NIS2 cubre más de 160.000 entidades en 18 sectores. Es una expansión de diez veces.
Los Estados miembros debían transponer la NIS2 a la legislación nacional antes del 17 de octubre de 2024. A fecha de abril de 2026, 21 de los 27 Estados miembros lo han hecho. La Comisión Europea envió dictámenes motivados a 19 Estados miembros en mayo de 2025 por no notificar la transposición completa. Alemania completó su transposición en diciembre de 2025. Se espera que Francia finalice su Loi Résilience a mediados de 2026. La aplicación de la ley ya ha comenzado.
| Aspecto | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Entidades afectadas | ~15.000 | ~160.000+ |
| Sectores cubiertos | 7 | 18 |
| Multa máxima | Variaba según el Estado miembro | 10 M€ o 2% de la facturación global |
| Responsabilidad de la dirección | Ninguna | Responsabilidad personal (Art. 20) |
| Notificación de incidentes | "Sin demora indebida" | 24h / 72h / 1 mes (Art. 23) |
| Requisitos de la cadena de suministro | Ninguno | Obligatorio (Art. 21(2)(d)) |
Y sin embargo, según una encuesta de CyberSmart a 670 líderes empresariales en ocho países de la UE publicada en abril de 2026, solo el 16% de las empresas afectadas cumplen plenamente con la NIS2. Las principales barreras son las limitaciones presupuestarias y la falta de orientación sobre cómo implementar las medidas. Esta guía aborda el segundo problema.
¿Estás dentro del alcance?
La NIS2 se aplica a las entidades que operan en uno de los 18 sectores designados Y cumplen el umbral de tamaño. Hay dos clasificaciones de entidades: esenciales (mayores obligaciones, supervisión proactiva) e importantes (supervisión más ligera, pero se aplican las mismas medidas de seguridad principales).
El umbral de tamaño general es el de mediana empresa o superior: 50 o más empleados, O una facturación anual superior a 10 millones de euros, O un balance anual superior a 10 millones de euros. Algunas entidades califican independientemente de su tamaño, incluidos los proveedores de DNS, registros de TLD, proveedores de servicios de confianza y proveedores públicos de comunicaciones electrónicas.
Los 18 sectores se dividen en dos anexos. Ambos conllevan los mismos requisitos de seguridad del Artículo 21. La diferencia radica en cómo interactúan contigo las autoridades de supervisión:
| Clasificación | Sectores (Anexo) | Supervisión |
|---|---|---|
| Esencial (Anexo I) | Energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC (B2B), administración pública, espacio | Proactiva: las autoridades pueden auditar, inspeccionar y solicitar pruebas en cualquier momento |
| Importante (Anexo II) | Servicios postales, gestión de residuos, productos químicos, producción y distribución de alimentos, fabricación (productos sanitarios, electrónica, maquinaria, vehículos), proveedores digitales (mercados, motores de búsqueda, redes sociales), investigación | Reactiva: las autoridades investigan tras un incidente o cuando surgen indicios de incumplimiento |
Nota: la propuesta de enmienda de la Comisión de enero de 2026 introduce una nueva categoría de "pequeña empresa de mediana capitalización" para entidades con menos de 750 empleados y una facturación inferior a 150 millones de €. Según esta propuesta, estas empresas se clasificarían como importantes en lugar de esenciales, incluso si operan en sectores del Anexo I. Esto aún se encuentra en negociaciones legislativas y no está en vigor.
Las 10 medidas de seguridad obligatorias (Artículo 21)
El artículo 21, apartado 2, enumera diez medidas de seguridad mínimas que toda entidad dentro del ámbito de aplicación debe implementar. No son sugerencias: son requisitos legales, detallados más a fondo en el Reglamento de Ejecución (UE) 2024/2690 de la Comisión.
La clave: fíjate en la columna "Documento requerido". Siete de las diez medidas consisten fundamentalmente en disponer de políticas o procedimientos documentados, aprobados y auditables. Aquí es donde la gestión documental cobra relevancia directa.
| N.º | Requisito | Qué significa | Documento requerido |
|---|---|---|---|
| (a) | Análisis de riesgos y políticas de seguridad de la información | Identifica tus riesgos, evalúalos y documenta cómo los gestionas | Registro de riesgos, metodología de evaluación de riesgos, política de seguridad |
| (b) | Gestión de incidentes | Detecta, responde y aprende de los incidentes de seguridad | Plan de respuesta a incidentes, matriz de escalada, plantilla de revisión post-incidente |
| (c) | Continuidad del negocio y gestión de crisis | Gestión de copias de seguridad, recuperación ante desastres y respuesta a crisis | Plan de continuidad del negocio, plan de recuperación ante desastres, política de copias de seguridad |
| (d) | Seguridad de la cadena de suministro | Evalúa y gestiona los riesgos de ciberseguridad de tus proveedores | Política de seguridad de proveedores, registros de evaluación de proveedores |
| (e) | Seguridad en la adquisición, desarrollo y mantenimiento | Gestión de vulnerabilidades y prácticas de desarrollo seguro | Procedimiento de gestión de parches, política de divulgación de vulnerabilidades |
| (f) | Pruebas de eficacia | Evalúa si tus medidas de seguridad funcionan realmente | Calendario de auditorías internas, informes de pruebas, panel de KPI |
| (g) | Higiene cibernética básica y formación | Forma al personal y establece prácticas de seguridad rutinarias | Plan de formación, registros de asistencia, materiales de concienciación |
| (h) | Criptografía y cifrado | Políticas para el cifrado de datos en reposo y en tránsito | Política de criptografía, procedimiento de gestión de claves |
| (i) | Seguridad de los recursos humanos y control de acceso | Gestiona quién tiene acceso a qué, desde la contratación hasta la baja | Política de control de acceso, procedimiento de altas/bajas/cambios |
| (j) | Autenticación de doble factor y comunicaciones seguras | MFA en sistemas críticos, voz/vídeo/texto asegurados | Política de obligatoriedad de MFA, estándares de comunicaciones seguras |
La NIS2 es un problema de documentación
Aquí es donde fallan la mayoría de las guías sobre NIS2. Explican las 10 medidas, enumeran los sectores y pasan a otra cosa. Pero el verdadero reto de cumplimiento no es instalar un firewall o activar el MFA (la mayoría de las medianas empresas ya lo hacen). El reto es demostrarlo.
Los auditores no revisan las reglas de tu firewall. Revisan tu documentación. Quieren ver que las políticas existen, están actualizadas (revisadas en los últimos 12 meses), cuentan con la aprobación documentada de la dirección y tienen un historial de versiones. Bajo la NIS2, la evidencia es el cumplimiento.
El Reglamento de Ejecución (UE) 2024/2690 traduce el artículo 21 en aproximadamente 30 documentos específicos que las entidades deben producir y mantener. No son opcionales: son lo que las autoridades de supervisión solicitarán durante una auditoría o tras un incidente.
| Tipo de evidencia | Qué revisan los auditores | Cómo ayuda un DMS |
|---|---|---|
| Documentos de política | Versión actual, firma de la dirección, fecha de revisión, historial de versiones | Control de versiones, flujos de aprobación, rastro de auditoría en cada cambio |
| Registro de riesgos | Mapeo de activo-riesgo-control, responsables asignados, estado del tratamiento, registros de revisión | Almacenamiento estructurado con metadatos, búsqueda por responsable o estado |
| Registros de incidentes | Cronología, clasificación, acciones de respuesta, revisión post-incidente, retención mínima de 5 años | Registros de auditoría inmutables, políticas de retención, búsqueda de texto completo |
| Evaluaciones de proveedores | Cuestionarios de proveedores completados, cláusulas de seguridad en contratos, revisiones periódicas | Almacenamiento de contratos, etiquetado por proveedor, recordatorios de renovación |
| Registros de formación | Registros de asistencia, fechas de finalización, prueba de formación de la dirección | Archivado de documentos, búsqueda por fecha, organizado por categorías |
| Decisiones de la dirección | Actas de reuniones que muestren debates sobre ciberseguridad, firma de aceptación de riesgos | Flujos de aprobación con marcas de tiempo y aprobadores identificados |
El tema recurrente es la trazabilidad. Cada documento debe responder a: quién lo creó, cuándo, quién lo aprobó, cuándo se revisó por última vez y qué cambió respecto a la versión anterior. Una carpeta en una unidad compartida no ofrece esto. Un DMS con historial de versiones y flujos de aprobación, sí.
Notificación de incidentes: la regla 24-72-1
El artículo 23 establece un proceso de notificación de incidentes en tres etapas para incidentes significativos. Incumplir estos plazos es, en sí mismo, una infracción. Cada etapa requiere evidencia documentada, lo que significa que la calidad de tus registros de incidentes está directamente ligada a tu exposición regulatoria.
Alerta temprana
Notifica a tu CSIRT nacional en las 24 horas siguientes a tener conocimiento de un incidente significativo. Es una alerta preliminar, no un análisis completo.
Notificación de incidente
Envía una evaluación inicial del incidente: gravedad, impacto, indicadores de compromiso y efectos transfronterizos.
Informe final
Entrega un informe exhaustivo: análisis de la causa raíz, medidas correctivas tomadas e impacto transfronterizo. Si el incidente sigue en curso, envía un informe de progreso.
En la práctica, las organizaciones que carecen de una gestión documental estructurada sufren para reunir evidencias de incidentes bajo presión. Aquellas que mantienen registros organizados (con marcas de tiempo, historial de versiones y archivos indexados) pueden producir lo que los reguladores necesitan en horas, no en semanas.
¿Cuál es la situación en tu país?
La NIS2 debería haber sido transpuesta a la legislación nacional antes del 17 de octubre de 2024. En realidad, la implementación ha sido lenta. A fecha de abril de 2026, 21 de los 27 Estados miembros han completado la transposición según el rastreador de la ECSO. La Comisión Europea envió dictámenes motivados a 19 estados en mayo de 2025, dándoles dos meses para finalizarla o enfrentarse al Tribunal de Justicia.
Este es el estado de las seis mayores economías de la UE:
| País | Estado | Detalles |
|---|---|---|
| Alemania | Transpuesta | Ley BSI adoptada el 6 de diciembre de 2025. En vigor sin periodo transitorio. Primera sanción emitida: 850.000 € contra un proveedor de nube (febrero de 2026). |
| Francia | En proceso | Loi Résilience aprobada en primera lectura en la Asamblea Nacional. Adopción final prevista para el primer o segundo trimestre de 2026. La ANSSI ha abierto investigaciones a 14 entidades. |
| Italia | Transpuesta | Decreto Legislativo 138/2024 en vigor desde octubre de 2024. La ACN informa de más de 4.800 entidades registradas; unas 2.000 aún sin registrar. |
| España | Estancada | No se esperan avances legislativos a corto plazo. |
| Países Bajos | En proceso | Ley de Ciberseguridad (Cbw) en preparación. Fecha límite de autoevaluación para entidades fijada para junio de 2026. |
| Polonia | En proceso | Enmienda a la Ley del Sistema Nacional de Ciberseguridad en fase final. |
Aunque tu país aún no haya transpuesto la NIS2, la directiva es aplicable.
La NIS2 está en vigor como ley de la UE desde el 18 de octubre de 2024. Las autoridades nacionales aplicarán los requisitos de forma retroactiva una vez finalizada la transposición. Empezar a cumplir ahora, en lugar de esperar a la legislación nacional, es la única postura defendible.
Las sanciones son reales
La NIS2 introduce dos niveles de multas administrativas, siguiendo el modelo del GDPR. Los Estados miembros pueden fijar máximos por encima de estos mínimos, pero no por debajo.
| Tipo de entidad | Multa máxima | Alternativa por facturación | Poderes adicionales |
|---|---|---|---|
| Esencial | 10.000.000 € | o el 2% de la facturación anual global (lo que sea mayor) | Instrucciones vinculantes, auditorías de seguridad a cargo de la entidad, inhabilitaciones temporales de directivos |
| Importante | 7.000.000 € | o el 1,4% de la facturación anual global (lo que sea mayor) | Instrucciones vinculantes, auditorías de seguridad a cargo de la entidad |
El artículo 20 añade la responsabilidad personal: los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación. Los miembros de la dirección pueden ser considerados responsables personalmente por el incumplimiento. En algunos Estados miembros, como Alemania, esto incluye la prohibición temporal de ejercer cargos directivos.
La aplicación de la ley sigue el patrón inicial del GDPR. El BSI de Alemania emitió 47 notificaciones formales en el cuarto trimestre de 2025 y su primera sanción económica (850.000 € contra un proveedor de servicios en la nube) en febrero de 2026. La ANSSI francesa ha abierto 14 investigaciones. La ACN italiana se ha centrado en el cumplimiento del registro. Se espera que las sanciones económicas significativas aumenten a lo largo de 2026-2027 a medida que madure la aplicación nacional.
La propuesta de simplificación de enero de 2026
El 20 de enero de 2026, la Comisión Europea publicó una propuesta de enmiendas específicas a la NIS2 como parte de un paquete de ciberseguridad más amplio. El objetivo declarado es simplificar el cumplimiento, aumentar la seguridad jurídica y armonizar la implementación. La propuesta seguirá el procedimiento legislativo ordinario, con un objetivo de acuerdo político para principios de 2027.
Esto es lo que podría cambiar y lo que no:
NO cambiará
- ×Las 10 medidas de seguridad obligatorias (Artículo 21)
- ×Requisitos de documentación y evidencia
- ×Plazos de notificación de incidentes (24h/72h/1 mes)
- ×Estructura de sanciones y responsabilidad de la dirección
Podría cambiar (fase de propuesta)
- ✓Nueva categoría de "pequeña empresa de mediana capitalización" (<750 empleados, <150 M€ facturación): reclasificada como importante en lugar de esencial
- ✓Vía de cumplimiento basada en certificaciones a través del Marco Europeo de Certificación de la Ciberseguridad
- ✓Microempresas y pequeños proveedores de DNS excluidos del ámbito de aplicación
- ✓Máxima armonización para los actos de ejecución: menos divergencias nacionales
La dirección es clara: la NIS2 será más sencilla de cumplir, pero no más débil. Las obligaciones principales permanecen. Si retrasas el cumplimiento esperando que las enmiendas te eximan, estás asumiendo un riesgo legal. La propuesta reduce el ámbito en los márgenes, pero no rebaja los requisitos para las entidades que siguen dentro.
Lista de verificación práctica para PYMES
Si estás leyendo esto porque tu responsable de cumplimiento dijo "podríamos estar dentro del ámbito", este es el camino mínimo viable. No es un plan integral de implementación de la NIS2, sino el conjunto de acciones que te llevarán de cero a estar listo para una auditoría de documentación.
Determina si estás dentro del ámbito
Comprueba tu sector en los Anexos I y II. Aplica el umbral de tamaño (más de 50 empleados o más de 10 M€ de facturación). Si tienes dudas, consulta el registro de tu autoridad nacional; varios Estados miembros han publicado listas de entidades o herramientas de autoevaluación.
Clasifícate como esencial o importante
Los sectores del Anexo I suelen ser esenciales; los del Anexo II, importantes. La distinción afecta a la intensidad de la supervisión, pero no a los requisitos principales del artículo 21. Documenta el razonamiento de tu clasificación.
Realiza una evaluación de deficiencias (gap assessment)
Para cada una de las 10 medidas del artículo 21, responde: ¿tenemos una política documentada? ¿Está aprobada por la dirección? ¿Se ha revisado en los últimos 12 meses? ¿Tenemos pruebas de su aplicación? Anota las carencias.
Crea tu paquete de evidencias
Empieza por los tres registros principales: riesgos, incidentes y proveedores. Añade una política de seguridad de la información, un plan de continuidad del negocio y un registro de formación. Cada documento necesita un responsable, una fecha de revisión, control de versiones y aprobación de la dirección.
Establece la gestión del ciclo de vida documental
Cada documento de política de la NIS2 necesita una fecha de creación, registro de aprobación, calendario de revisión e historial de versiones. Si gestionas esto en una carpeta compartida, perderás el control en meses. Un DMS con flujos de aprobación y rastros de auditoría lo hace sostenible.
Programa revisiones de la dirección y formación
El artículo 20 exige que los órganos de dirección aprueben las medidas de ciberseguridad y reciban formación. Programa revisiones trimestrales, documenta la asistencia y guarda registro de las decisiones. Esta es la evidencia que los auditores revisan primero.
Cómo ayuda Veluvanto con la documentación de la NIS2
Veluvanto no es una plataforma GRC. No sustituye tu metodología de evaluación de riesgos ni tus procedimientos de respuesta a incidentes. Lo que hace es proporcionar la capa de gestión documental que hace que la evidencia de la NIS2 sea sostenible, la parte con la que más sufren las empresas tras el impulso inicial de cumplimiento.
- ✓Almacenamiento de documentos con control de versiones: cada edición se registra con marca de tiempo, usuario y versión anterior. Puedes reconstruir el estado de cualquier documento en cualquier momento, exactamente lo que exigen los auditores.
- ✓Flujos de aprobación: canaliza los documentos de política para que la dirección los firme con un estado rastreable. La cadena de aprobación crea el rastro de evidencia que exige el artículo 20.
- ✓Rastro de auditoría completo: se registra cada acción sobre el documento (subida, visualización, edición, aprobación, archivado). No requiere seguimiento manual; la evidencia de cumplimiento se genera automáticamente.
- ✓Búsqueda y organización con IA: encuentra cualquier documento en segundos mediante consultas en lenguaje natural. Cuando un auditor pida las evaluaciones de seguridad de proveedores del tercer trimestre, podrás recuperarlas de inmediato en lugar de buscar por carpetas.
- ✓Residencia de datos en la UE y cifrado: los documentos se almacenan en la UE con cifrado AES-256 en reposo y en tránsito. Ningún dato sale de la frontera de datos de la UE, a diferencia de ciertas herramientas de IA que desvían el procesamiento a centros de datos en EE. UU. durante picos de demanda.
- ✓Cumplimiento del GDPR por diseño: aislamiento por cliente, cifrado SSE-C y gestión del ciclo de vida de los datos. La NIS2 y el GDPR coinciden significativamente en sus requisitos de documentación; un sistema que satisface uno te adelanta gran parte del camino para el otro.
La parte más difícil del cumplimiento de la NIS2 no es la configuración inicial, sino mantener la evidencia a lo largo del tiempo. Las políticas caducan, las revisiones se olvidan, los registros de formación desaparecen. Un DMS que impone el control de versiones, rastrea las aprobaciones y registra cada acción convierte el cumplimiento de un caos trimestral en un proceso de fondo.
Fuentes y lecturas adicionales
Esta guía se basa en las siguientes fuentes primarias. Las fechas entre paréntesis indican la publicación o última actualización de cada fuente.
- Directiva (UE) 2022/2555 (Directiva NIS2) — Texto completo en EUR-Lex (diciembre de 2022)
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión — Medidas técnicas para el cumplimiento de la NIS2 (octubre de 2024)
- COM(2026) 13 — Propuesta de enmiendas específicas a la NIS2 y alineación con la Ley de Ciberseguridad (enero de 2026)
- Rastreador de transposición NIS2 de la ECSO — 21/27 Estados miembros transpuestos a fecha de abril de 2026
- Comisión Europea, Dictamen motivado a 19 Estados miembros sobre la transposición de la NIS2 (mayo de 2025)
- CyberSmart, "Solo el 16% de las empresas cumplen plenamente con la NIS2" — Encuesta a 670 líderes empresariales (abril de 2026)
- ENISA, Guía de implementación técnica de la NIS2 (2025)
- BSI de Alemania — Primera sanción NIS2: 850.000 € contra proveedor de servicios en la nube (febrero de 2026)
- Evaluación de impacto de la Comisión Europea — Alcance de la NIS2: ~160.000 entidades en 18 sectores
Guías relacionadas
Gestión documental del GDPR
Cómo almacenar, organizar y proteger datos personales en tu DMS: la NIS2 y el GDPR comparten un solapamiento documental importante
Ley de IA de la UE y gestión documental
El otro gran plazo de cumplimiento de la UE en 2026: obligaciones de transparencia para las funciones de IA en tu DMS
Flujos de aprobación de documentos
Cómo configurar cadenas de aprobación para documentos de política: la base de la evidencia de gobernanza de la NIS2