NIS2: la redefinición de la ciberseguridad

La nueva Directiva europea de ciberseguridad NIS2 eleva el listón para garantizar el máximo nivel de protección digital en la industria. Esta normativa no solo refuerza la versión anterior, sino que amplía su alcance a gobiernos y a empresas de sectores considerados críticos: energía, transporte, salud, banca, administración pública, aeroespacial, alimentación, entre otros. Con requisitos más estrictos, plazos de notificación reducidos y sanciones relevantes, NIS2 redefine la forma en que las organizaciones deben gestionar la ciberseguridad. En el siguiente artículo, conversamos con expertos para entender qué implica esta regulación y cómo impactará en el mundo de la automatización y el control.

PREGUNTAS

1. ¿Para cuando tendremos la trasposición de esta directiva a la legislación española?

2. ¿Qué cuestiones debe responder cualquier organización, pública o privada, para determinar su clasificación y alcance dentro de la Directiva NIS2?

3. ¿Es imprescindible contar con una política formal de ciberseguridad aprobada por la alta dirección? ¿Qué responsabilidades concretas establece la norma para los órganos directivos?

4. ¿Debe realizarse un análisis de riesgos que derive en la implantación de medidas técnicas y organizativas para garantizar la protección de las infraestructuras críticas?

5. ¿Es obligatorio disponer de procedimientos documentados para la notificación de incidentes dentro de los plazos establecidos por NIS2?

6. ¿Qué servicios propone su compañía para asegurar el cumplimiento de estas obligaciones?

1. La trasposición de la Directiva NIS2 a la legislación española está vinculada al proceso europeo ya en curso y se materializará a través de una ley nacional, dentro de un plazo que a nivel comunitario ya ha vencido. Sin embargo, desde Palo Alto Networks subrayamos que para las organizaciones la cuestión clave no es tanto identificar una fecha concreta de publicación como entender que las obligaciones de la directiva deben guiar sus decisiones actuales y la preparación debe ser inmediata. NIS2 nace para corregir las limitaciones de NIS1, que dio lugar a una aplicación fragmentada y poco homogénea y cubría a un número relativamente limitado de entidades. Al ampliar de forma significativa el número de sectores incluidos y al introducir nuevas categorías de entidades, NIS2 incrementa de manera notable el número potencial de organizaciones afectadas, reforzando además los requisitos en materia de responsabilidad, sanciones y capacidad de demostrar el cumplimiento. Algunos análisis del sector, como las estimaciones publicadas por EY, sugieren que hasta 100.000 organizaciones en la UE podrían quedar dentro de su ámbito de aplicación. Por ello, la directiva debe abordarse como una oportunidad estratégica para anticipar inversiones en gestión del riesgo, resiliencia, seguridad de la cadena de suministro, formación y gobierno corporativo, sin esperar a la aprobación formal de la norma nacional, que tarde o temprano llegará.
 

2. Desde Palo Alto Networks recomendamos empezar por una evaluación inicial clara.

En primer lugar, determinar si la organización opera en la UE o presta servicios dentro de la UE, ya que NIS2 no se limita a empresas con sede europea, también alcanza a entidades no comunitarias que ofrecen servicios en la UE, obligándolas incluso a designar un representante, y extiende su impacto a través de la cadena de suministro.
 

En segundo lugar, identificar si pertenece a alguno de los sectores cubiertos, ya que NIS2 amplía su alcance de 7 a 18 sectores e introduce la clasificación de entidades ‘essential’ e ‘important’, con distintos niveles de supervisión y exigencia, que afectan directamente a las obligaciones de gestión del riesgo y reporting. Estas infraestructuras críticas incluyen, entre otros, sectores industriales como fabricación, químico, alimentación, gestión de residuos, espacio, servicios postales y, de forma muy relevante, proveedores de servicios gestionados y MSSP.
 

En tercer lugar, evaluar los criterios de tamaño, aplicando la regla general de la Comisión para medianas y grandes empresas, sin olvidar que los Estados miembros pueden incluir entidades más pequeñas si prestan servicios críticos o importantes. Con estas respuestas, la organización no solo delimita su alcance regulatorio, sino que puede anticipar el nivel de exigencia y las evidencias de cumplimiento que deberá demostrar, lo que permite iniciar cuanto antes un plan de preparación alineado con NIS2.

3. NIS2 eleva la ciberseguridad al nivel de gobierno corporativo, dejando claro que ya no se trata únicamente de implantar controles técnicos, sino de asumir responsabilidades al más alto nivel de la organización. La directiva exige que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas de gestión del riesgo, supervisen activamente su implantación y respondan en caso de incumplimiento, con posibles consecuencias que incluyen sanciones administrativas de hasta 10 millones de euros o el 2% del volumen de negocio anual global para las entidades esenciales, y de hasta 7 millones de euros o el 1,4% para las entidades importantes, así como, en determinados casos, la inhabilitación temporal de directivos.
 

Este enfoque implica que la responsabilidad no es delegable y que la alta dirección debe comprender el riesgo cibernético como un riesgo de negocio, comparable al financiero o al operativo. En la práctica, contar con una política formal de ciberseguridad, impulsada y aprobada por la dirección, se convierte en un elemento clave para demostrar control, definir prioridades, roles y formación, y gobernar de forma coherente la gestión del riesgo y la respuesta a incidentes bajo un modelo de rendición de cuentas más estricto y homogéneo en toda la UE.

4. Sí, y además de forma sostenida. La directiva NIS2 pivota sobre dos grandes bloques, gestión del riesgo y respuesta a incidentes, con el objetivo de reforzar la resiliencia digital y operativa a largo plazo. Esto exige realizar evaluaciones periódicas y exhaustivas para identificar vulnerabilidades y amenazas y, a partir de ellas, implantar medidas técnicas, operativas y organizativas adecuadas y proporcionales, con un enfoque de mejora continua que permita adaptarse a un entorno de amenazas cambiante.

Para infraestructuras críticas y sectores industriales, esto implica pasar de un enfoque basado en ‘cumplir un checklist’ a otro centrado en demostrar capacidades reales, que permitan priorizar inversiones, proteger funciones esenciales y asegurar la continuidad del servicio: gestionar el riesgo, protegerse, detectar incidentes y minimizar su impacto con planes y controles efectivos, incluyendo la seguridad de la cadena de suministro y prácticas de higiene cibernética como segmentación, identidad y accesos, actualización, configuración y concienciación.
 

5. NIS2 impone un modelo de reporting estructurado y exigente, que obliga a notificar los incidentes significativos sin demora indebida, con una alerta temprana en un plazo de 24 horas desde que se tiene conocimiento, una notificación en 72 horas y un informe final en el plazo de un mes. Sin embargo, el verdadero reto no está solo en cumplir los plazos, sino en contar con la capacidad real de detectar, evaluar y clasificar los incidentes.
 

La directiva define qué se considera un ‘incidente significativo’ por su impacto operativo, financiero o por el daño material o inmaterial a terceros, y exige capacidades de detección, monitorización, comunicación y aprendizaje posterior. Por ello, desde Palo Alto Networks defendemos que es imprescindible disponer de procedimientos documentados y probados en la práctica, que conecten de forma efectiva a los equipos de operaciones y seguridad, las funciones legales y de cumplimiento y la alta dirección, y que definan claramente qué se reporta, cómo se evalúa el impacto, cómo se preserva la evidencia y cómo se coordina la comunicación tanto con las autoridades como, cuando procede, con los usuarios de los servicios.
 

6. Desde Palo Alto Networks abordamos NIS2 como una oportunidad estratégica para elevar la madurez, la eficiencia operativa y la confianza, no como un simple ejercicio de cumplimiento normativo.
 

La directiva exige a las organizaciones gestionar el riesgo de forma continua, detectar y responder a incidentes con rapidez y, además, demostrar de manera consistente que esas capacidades existen y funcionan.
 

Para acompañar ese reto, combinamos tres pilares complementarios: por un lado, los servicios de Unit 42, que aportan respuesta a incidentes, asesoramiento e inteligencia de amenazas para ayudar a investigar, contener, recuperar y aprender de los incidentes; por otro, un enfoque de plataforma integrada y modular que unifica prevención, detección y respuesta y facilita la generación de evidencias de cumplimiento; y, finalmente, plataformas impulsadas por inteligencia artificial diseñadas para ofrecer resultados más autónomos y en tiempo real en ámbitos como Zero Trust Network Security, AI-Driven Security Operations y Real-Time Cloud Security. Todo ello está directamente alineado con los requisitos de NIS2 en gestión del riesgo, protección, detección, reporting y minimización del impacto, incluyendo capacidades clave como gestión de activos, vulnerabilidades, inteligencia y concienciación.

1. A comienzos de 2026, la trasposición de la Directiva NIS2 en España sigue siendo una asignatura pendiente, a pesar de que el plazo europeo venció en octubre de 2024. El Gobierno avanzó durante 2025 con el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, diseñado para renovar el marco normativo actual y adaptarlo a la nueva realidad digital e industrial del país. Sin embargo, el contexto político ha retrasado su aprobación definitiva.

Más allá del calendario legislativo, lo verdaderamente relevante es que NIS2 ya está actuando como un marco regulatorio de facto. Los reguladores, los operadores de infraestructuras críticas y los grandes referentes industriales están tomando decisiones basadas en sus principios, y la Comisión Europea ha dejado claro que no habrá una interpretación laxa del incumplimiento. Para la industria, esperar a la publicación en el BOE supone asumir un riesgo innecesario, por lo que NIS2 no es una norma futura, sino un estándar operativo que ya está influyendo en auditorías, inversiones y decisiones estratégicas.

2. NIS2 obliga a las organizaciones a hacerse preguntas que, en muchos casos, nunca se habían planteado desde una perspectiva regulatoria. No se trata solo de identificar el sector al que se pertenece o el tamaño de la empresa, sino de entender el papel real que se juega en el ecosistema industrial y económico. La directiva pone el foco en la criticidad funcional, es decir, en el impacto que tendría una disrupción sobre la sociedad, el mercado o la seguridad.

En el mundo de la automatización y el control, esto implica analizar hasta qué punto los sistemas industriales, las plantas productivas o los centros logísticos son nodos esenciales dentro de una cadena de valor más amplia. Muchas organizaciones que tradicionalmente no se consideraban ‘críticas’ descubren ahora que su dependencia tecnológica o su posición como proveedor estratégico las sitúa claramente dentro del alcance de NIS2. Esta toma de conciencia es uno de los grandes cambios que introduce la directiva.

3. NIS2 supone un punto de inflexión en la gobernanza de la ciberseguridad. Por primera vez, una directiva europea establece de forma tan explícita que la responsabilidad última recae en los órganos de dirección. La política de ciberseguridad deja de ser un documento técnico para convertirse en una declaración estratégica aprobada al máximo nivel, al mismo nivel que la política de seguridad industrial, la de calidad o la de prevención de riesgos laborales.

Para la alta dirección, esto implica asumir un rol activo: entender los riesgos, priorizarlos, asignar recursos y supervisar su gestión de forma continuada. En entornos industriales, donde un ciberincidente puede tener consecuencias físicas, operativas o medioambientales, esta responsabilidad adquiere una dimensión especialmente crítica. NIS2 envía un mensaje claro: la ciberseguridad industrial es una cuestión de liderazgo y de cultura organizativa, no solo de tecnología.
 

4. El análisis de riesgos exigido por NIS2 va mucho más allá de los enfoques tradicionales centrados exclusivamente en IT. La directiva obliga a integrar la visión de negocio, de operación y de seguridad física, algo especialmente relevante en el sector industrial. En la práctica, esto significa evaluar cómo un ciberataque puede afectar a la producción, a la seguridad de las personas, al cumplimiento regulatorio o incluso a la reputación de la marca.

A partir de ese análisis, las medidas a implantar deben ser realistas y compatibles con la operación industrial. NIS2 no busca paralizar las plantas con controles excesivos, sino fomentar una seguridad diseñada desde el conocimiento profundo de los procesos, los sistemas de control y las limitaciones operativas. Este enfoque basado en riesgo es una oportunidad para modernizar arquitecturas industriales y mejorar su resiliencia frente a un entorno de amenazas cada vez más sofisticado.

5. La gestión y notificación de incidentes es uno de los ámbitos donde NIS2 introduce cambios más disruptivos. Los plazos son exigentes y obligan a las organizaciones a pasar de un enfoque reactivo a uno claramente preparado y ensayado. En el entorno industrial, donde no siempre es inmediato distinguir entre un fallo técnico y un incidente de ciberseguridad, disponer de procedimientos claros y previamente probados es esencial.
 

La directiva impulsa, además, una mayor transparencia y coordinación con las autoridades, lo que obliga a las empresas a integrar la ciberseguridad dentro de sus planes de crisis. Aquellas organizaciones que ya han trabajado esta capacidad no solo estarán mejor posicionadas para cumplir con NIS2, sino que también responderán con mayor eficacia ante incidentes reales, reduciendo tiempos de recuperación y minimizando impactos.
 

6. En Accenture abordamos NIS2 como una palanca de transformación y no únicamente como un ejercicio de cumplimiento normativo. Nuestra propuesta combina una comprensión profunda del entorno industrial con capacidades avanzadas en ciberseguridad, riesgo y regulación. Acompañamos a las organizaciones desde la identificación de su rol y responsabilidades dentro de NIS2 hasta la implantación de modelos de gobierno, capacidades técnicas OT y procesos operativos plenamente alineados con la directiva.

Nuestra experiencia en automatización, control industrial y ciberseguridad nos permite diseñar soluciones que protegen los activos críticos sin comprometer la operación, integrando la seguridad desde el diseño y no como una capa añadida. El resultado es una industria más resiliente, más confiable y mejor preparada para un contexto en el que la ciberseguridad ya es un factor clave de competitividad y continuidad del negocio.

1. Aunque la Directiva NIS2 fijaba octubre de 2024 como fecha límite para su transposición, a comienzos de 2026 el proceso en España todavía no se ha completado. Este retraso no es exclusivo de nuestro país y se ha dado también en otros Estados miembros, debido a la complejidad del nuevo marco regulatorio.

En cualquier caso, el mensaje para las organizaciones es claro: NIS2 ya se está aplicando en la práctica. Reguladores, grandes operadores y cadenas de suministro están utilizando NIS2 como referencia, independientemente de que la norma nacional definitiva esté publicada.

Por tanto, esperar a la transposición formal ya no es una estrategia válida, especialmente en el ámbito industrial, donde el impacto de un incidente puede afectar directamente a la continuidad operativa, la seguridad y la reputación de la organización.
 

2. Desde la experiencia en proyectos reales, hay varias preguntas clave que toda organización debería plantearse:

• ¿Pertenezco a alguno de los sectores incluidos en NIS2, como energía, agua, transporte, industria manufacturera, alimentación, residuos o administración pública?
• ¿Cuál es mi tamaño y nivel de impacto, teniendo en cuenta no solo criterios económicos, sino también la criticidad del servicio?
• ¿Qué grado de dependencia tengo de sistemas digitales, industriales u OT para prestar mis servicios?
   

En muchos entornos industriales, las organizaciones no se consideran inicialmente “críticas” hasta que analizan en detalle su dependencia de sistemas de automatización, control e instrumentación. Este análisis es fundamental para determinar correctamente el alcance y evitar interpretaciones erróneas.

3. Sí, y este es uno de los cambios más significativos que introduce NIS2.

La Directiva sitúa la ciberseguridad como una responsabilidad directa del órgano de dirección, y no únicamente como un asunto técnico o del área de sistemas.
 

La alta dirección debe aprobar las políticas de ciberseguridad, supervisar su aplicación, garantizar que existen recursos adecuados y recibir formación específica en esta materia. Además, NIS2 contempla posibles responsabilidades en caso de incumplimientos graves.

Esto obliga a un cambio de enfoque muy relevante: la ciberseguridad industrial pasa a formar parte de la gestión del riesgo empresarial y de la continuidad del negocio.

4. Sin duda. NIS2 es una directiva claramente basada en riesgos.No se trata de implantar controles de forma genérica, sino de entender:

• Qué procesos industriales son críticos.
• Qué sistemas los soportan.
• Qué impacto tendría un incidente en términos de seguridad, producción, medioambiente o personas.
• Qué amenazas son más realistas en cada entorno.
   

A partir de este análisis, deben definirse medidas técnicas y organizativas proporcionadas, especialmente en entornos industriales, donde marcos como IEC 62443 resultan clave para estructurar la seguridad de los sistemas de control y automatización.
 

5. Sí. NIS2 refuerza de forma significativa los requisitos de notificación de incidentes, estableciendo plazos muy exigentes para las comunicaciones iniciales, intermedias y finales. Esto implica que las organizaciones deben contar con procedimientos claros, conocidos y ensayados, y no únicamente con documentación formal. En el ámbito industrial, donde los incidentes no siempre se detectan como en entornos IT tradicionales, este punto requiere una preparación específica y coordinada entre diferentes áreas.

6. Desde nuestra experiencia en ciberseguridad industrial, el enfoque debe ser práctico y adaptado a la realidad de cada organización. Habitualmente acompañamos a nuestros clientes en:

• Análisis de aplicabilidad y alcance de NIS2.
• Evaluaciones de riesgos en entornos IT y OT.
• Definición de modelos de gobierno, roles y responsabilidades.
• Desarrollo de políticas y procedimientos alineados con la Directiva.
• Diseño de arquitecturas seguras para entornos industriales.
• Preparación de procesos de gestión y notificación de incidentes.
• Acompañamiento en auditorías y procesos regulatorios.
   

El objetivo final no es únicamente cumplir con la normativa, sino mejorar de forma real la resiliencia y seguridad de las operaciones industriales.

1. España tenía de plazo hasta octubre de 2024, pero no se llegó a tiempo, y se ha puesto en marcha un anteproyecto de ley y ahora toca que el Parlamento lo apruebe, probablemente a inicios de 2026. Pero las empresas ya deberían estar actuando como si NIS2 ya estuviera aquí.
 

2. Aquí NIS2 es bastante directa. Cualquier organización, pública o privada, debe hacerse cuatro preguntas clave:

• ¿En qué sector opero? NIS2 define sectores esenciales e importantes: energía, agua, transporte, industria, proveedores tecnológicos, integradores, etc. Muchas empresas industriales descubren aquí que sí, están dentro, aunque no se consideren ‘infraestructura crítica clásica’.
• ¿Qué tamaño tengo? En general, si tienes más de 50 empleados o facturas más de 10 millones, entras en el radar. Incluso empresas más pequeñas pueden estar dentro si prestan servicios críticos o estratégicos.
• ¿Qué tipo de servicios presto y a quién? Si trabajas para operadores esenciales, administraciones públicas o infraestructuras críticas, te puede afectar por pertenecer a la cadena de suministro, aunque no seas operador final.
• ¿Mi operación depende de sistemas digitales u OT? Si un incidente puede parar producción, afectar a seguridad o a servicios básicos… NIS2 ya te está mirando.
   

3. Sí, es imprescindible. Muchas empresas ya hacen cosas de NIS2, pero no las tienen bien gobernadas. La norma deja claro algo importante: la ciberseguridad deja de ser solo cosa de IT y pasa a ser responsabilidad de la dirección. Concretamente, la norma exige que la alta dirección apruebe las políticas de ciberseguridad, que se implique en la gestión del riesgo, que reciba formación específica y responda si hay negligencias graves. Si hay un incidente serio y no había gobernanza, las responsabilidades suben al consejo o a la gerencia. No hace falta un documento de 200 páginas pero sí una política clara, entendible, alineada con el negocio y que trate procedimientos reales en planta, proyectos y operaciones.
 

4. Sí, y este es el corazón de NIS2. La norma no te dice ‘instala este firewall’ o ‘usa esta marca’ sino que te pide que conozcas riesgos y los protejas de forma proporcionada. Eso implica analizar riesgos IT y OT, entender qué activos son críticos (SCADA, PLCs, redes industriales, centros de control…) , ver qué pasa si fallan (impacto en producción, seguridad, medio ambiente, servicio).Y a partir de ahí aplicar medidas técnicas como segmentación, control de accesos, backups, monitorización, hardening…y medidas organizativas como roles claros, gestión de proveedores, formación, control de cambios.
 

5. Sí, y aquí NIS2 aprieta bastante. La directiva marca plazos muy concretos: 24 horas para una notificación inicial, 72 horas para una notificación más detallada y un informe final cuando el incidente esté cerrado. Esto no se puede improvisar el día del ataque. Hace falta tener claro qué es un incidente notificable, quién decide, quién comunica, a quién (CSIRT, autoridades, clientes si aplica) y cómo se documenta todo.
 

6. Nuestro enfoque es sencillo: ayudar a que NIS2 se cumpla sin que la industria deje de funcionar, y que además sirva para mejorar seguridad, continuidad y calidad de los proyectos.

Principalmente trabajamos en cuatro líneas:
 

1. Diagnóstico NIS2 aplicado a industria para saber si aplica o no, en qué categoría y dónde están los gaps reales (no teóricos).
2. Análisis de riesgos IT/OT orientado a plantas, sistemas de control y arquitecturas reales, no desde un despacho.
3. Definición de políticas y procedimientos operativos claros, utilizables y alineados con proyectos, mantenimiento y operación.
4. Implantación técnica y acompañamiento, desde segmentación y monitorización hasta planes de respuesta a incidentes, siempre cuidando que la producción no se vea afectada.

1. En los últimos años, la preocupación de las empresas con el riesgo cibernético no ha parado de crecer. En diciembre de 2022, en la UE se publicó la directiva NIS2, propuesta por la Comisión Europea como la continuación y la ampliación de la previa NIS1. La misma venía en respuesta a la expansión de la infraestructura digital en todos los sectores críticos y la necesidad de hacer frente a los nuevos retos para salvaguardar los intereses económicos y sociales.

Aunque la fecha límite para la trasposición de la normativa a la legislación nacional era el 17 de octubre de 2024, a día de hoy se ha avanzado poco. El principal avance ha sido el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que se aprobó por el Consejo de ministros en enero de 2025, pero todavía no se ha convertido en una ley publicada en el BOE.

Desgraciadamente, España no es el único Estado miembro que acumula retrasos en este proceso.

La directiva NIS2 amplía significativamente el alcance de la anterior NIS1, cubriendo un mayor número de sectores y entidades. Aumenta las obligaciones en términos de reporte de incidentes y refuerza las responsabilidades de los directivos en caso de incumplimiento. Además, NIS2 establece medidas más estrictas y homogéneas en toda la UE para asegurar la resiliencia de la infraestructura digital. El retraso en su trasposición a nivel nacional tiene diferentes consecuencias negativas, más allá de las posibles sanciones por parte de la UE, como son: la incertidumbre normativa y la dificultad para planificar las necesarias inversiones (algunas de las cuales han quedado directamente congeladas), el riesgo reputacional y la pérdida de competitividad, o los posibles sobrecostes en los que las empresas podrían incurrir en el caso de una adaptación de urgencia y en el último momento. Este retraso también reduce la eficacia de todo el enfoque coordinado de la UE en materia de ciberseguridad que persigue la norma, generando importantes vacíos operativos, por ejemplo, en los plazos y canales de notificación, lo que dificulta la colaboración en materia de ciberseguridad entre los diferentes países.
 

2. En primer lugar, las organizaciones industriales deben determinar si operan en sectores que la normativa considera críticos y si superan los umbrales de tamaño establecidos por la directiva. NIS2 diferencia entre entidades esenciales e importantes, y sus exigencias son aplicables a organizaciones con más de 50 empleados o más de 10 millones de euros de facturación, un perfil que por otro lado es muy habitual en manufactura, utilities y entornos industriales complejos.

Hay que tener en cuenta que la mayoría de los ciberataques se enfocan en los datos, para su uso indebido, para lucrarse económicamente vía rescates o dificultando el acceso a los mismos, lo que podría causar, desde una seria disrupción en la actividad de la organización o la exposición de datos confidenciales de sus usuarios y clientes, hasta un riesgo estratégico a nivel nacional o de la CE, en un escenario geopolítico cada vez más complejo. 

Por tanto, las empresas deben comenzar evaluando su infraestructura de TI y sus procesos de seguridad. Es fundamental realizar evaluaciones de riesgo, implementar controles de seguridad avanzados y gestionar de forma eficaz los incidentes de ciberseguridad. También es necesario garantizar que los empleados reciban formación continua en este ámbito. En este proceso, resulta fundamental identificar cuáles son exactamente los servicios, sistemas y datos que se podrían considerar críticos dentro de los entornos IT y OT, especialmente en los centros de datos industriales. Comprender dónde residen los datos, quién accede a ellos y qué riesgos existen es el punto de partida para definir el alcance real de NIS2 en este tipo de organizaciones.
 

Asimismo, bajo la directiva NIS2, las empresas son responsables de asegurar su infraestructura propia, pero también la de sus proveedores y socios. Esto implica evaluar los riesgos en toda la cadena de suministro, exigir a los proveedores el cumplimiento de normativas y colaborar con ellos para mitigar cualquier posible vulnerabilidad.
 

3. Sí, es un paso necesario. NIS2 refuerza de manera muy clara la responsabilidad directa de la alta dirección de las compañías en materia de ciberseguridad. Se trata de una normativa que busca garantizar que los órganos directivos de las organizaciones sujetas a la directiva se responsabilicen de su cumplimiento, incluyendo la aprobación de políticas, la aplicación de unos controles y procedimientos eficaces y la supervisión de la gestión de riesgos y de los incidentes que se puedan producir.

En sectores industriales, donde la convergencia IT/OT es crítica y los incidentes cibernéticos podrían afectar de manera importante a la continuidad operativa, esta implicación de la alta dirección es muy importante para asegurar que la ciberseguridad se integra como un elemento estratégico dentro del negocio negocio y no solo como una competencia de los departamentos de TI.
 

4. Sí. NIS2 exige que las organizaciones adopten medidas adecuadas de gestión de riesgos para proteger sus redes y sistemas de información, lo que implica realizar evaluaciones de riesgo, identificar vulnerabilidades en entornos IT y OT y desplegar medidas técnicas y organizativas que refuercen la resiliencia de las infraestructuras industriales. En sectores como el industrial, el energético o el de las utilities, este análisis es esencial para proteger datos, aplicaciones y sistemas críticos mediante capacidades de backup, replicación, recuperación y continuidad de negocio, minimizando el impacto de posibles ciberincidentes.

Desde NetApp servicios profesionales hemos desarrollado una auditoría específica, orientada a realizar un análisis completo del entorno de almacenamiento basado en NetApp. Esta auditoría 360º evalúa configuración, políticas, protección de datos, seguridad y operaciones, generando una serie de informes claros que detallan el nivel de cumplimiento con NIS2. A partir de este diagnóstico, es posible construir un plan de acción apoyado en toda la tecnología de NetApp en las áreas de protección, detección, respuesta y recuperación, asegurando que la capa de almacenamiento cumple plenamente con la regulación.

5. Sí. NIS2 refuerza las obligaciones de notificación de incidentes, exigiendo una identificación y comunicación sistemáticas de vulnerabilidades e incidentes a las autoridades competentes. Y las organizaciones deben contar con unos procedimientos claros y documentados que les permitan realizar estas notificaciones de forma oportuna. En entornos industriales, donde un incidente puede tener impacto operativo o incluso físico, estos procedimientos son fundamentales para coordinar la respuesta, restaurar servicios con rapidez y cumplir con los requisitos de cooperación y reporte que establece la directiva.
 

6. Como comentamos, gran parte de los ciberataques sufridos por las compañías estratégicas tienen como objetivo los datos de la organización, de sus clientes, proveedores etc. por lo que la seguridad a nivel del dato es esencial. Las soluciones de almacenamiento y gestión de datos de NetApp incorporan innovaciones muy importantes para la conformidad con NIS2, desde múltiples aspectos:
 

• Protección y recuperación de datos: ofrecemos soluciones de gestión de datos como NetApp ONTAP y SnapMirror ofrecen funcionalidades sólidas como backup, replicación y recuperación, que garantizan la disponibilidad y resiliencia de los sistemas y datos críticos.
• Almacenamiento seguro: nuestras soluciones protegen los datos tanto en reposo como en tránsito. El cifrado, los controles de acceso y los protocolos seguros ayudan a evitar el acceso no autorizado y las brechas de datos, alineados con el enfoque de NIS 2.
• Supervisión del cumplimiento de normativas: las plataformas NetApp Data Infrastructure Insights y Active IQ ofrecen herramientas de supervisión y generación de informes que pueden ayudar a las organizaciones a realizar un seguimiento de su estado de cumplimiento, identificar posibles vulnerabilidades y tomar medidas proactivas.
• Respuesta ante incidentes: gracias a tecnologías como SnapLock Compliance y el almacenamiento WORM, nuestras soluciones garantizan copias de seguridad inmutables e indelebles, asegurando que la última línea de defensa ante un ataque siempre permanezca protegida. Esto permite un acceso rápido a instantáneas y backups validados, acelerando la restauración de servicios y datos tras un incidente de ciberseguridad.
• Automatización y orquestación: las herramientas de automatización y orquestación de NetApp ayudan a agilizar los procesos de movimiento de datos críticos ante un evento de desastre o ataque cibernético a la compañía.
• Integración con herramientas de seguridad: nuestras soluciones se integran con herramientas y plataformas de seguridad de terceros, lo que permite un enfoque integral y por capas.

1. La Directiva NIS2 fijó como fecha límite de transposición el 17 de octubre de 2024, pero España, como otros Estados miembros, no ha llegado a tiempo. A día de hoy, la transposición está en curso y todo apunta a que se materializará a lo largo del primer semestre de 2026.
 

Lo relevante no es tanto la fecha exacta como el hecho de que la Directiva ya es una referencia clara para reguladores, organizaciones y grandes operadores. En la práctica, muchas organizaciones industriales ya están siendo evaluadas ‘como si NIS2 estuviera en vigor’, especialmente en cadena de suministro, auditorías de clientes y contratos.

2. Antes de pensar en medidas, NIS2 obliga a responder bien al contexto. Hay cinco preguntas clave que cualquier organización debería hacerse:

• ¿Pertenezco a un sector esencial o importante según NIS2 (energía, agua, transporte, salud, alimentación, manufactura crítica, digital, etc.)?
• ¿Cuál es mi tamaño real según la Directiva (empleados, facturación, balance), y si existo como excepción por criticidad aunque sea pyme?
• ¿Qué papel juego en la cadena de valor: operador, integrador, proveedor tecnológico, servicio gestionado?
• ¿Qué procesos, activos y servicios presto que podrían generar impacto sistémico si fallan?
• ¿Dependen terceros críticos de mí, aunque yo no me considere “infraestructura crítica”?

NIS2 amplía el foco, ya no solo importa quién eres, sino a que entidad esencial o importante sostienes.
 

3. Sí, es imprescindible. NIS2 eleva la ciberseguridad a nivel de gobierno corporativo. No basta con medidas técnicas ni con delegarlo en IT u OT.

La alta dirección debe:

• Aprobar explícitamente la política de ciberseguridad y asumirla como parte del gobierno de la organización.
• Supervisar la gestión de riesgos de ciberseguridad.
• Garantizar que existen recursos, competencias y responsabilidades claras.
• Formarse en NIS2. Se introduce la obligación de que los órganos directivos tengan conocimiento suficiente en ciberseguridad para poder tomar decisiones adecuadas.
• Asumir responsabilidad, porque en caso de incumplimiento grave, puede haber sanciones económicas y consecuencias personales.
   

Esto marca un antes y un después, la ciberseguridad deja de ser solo técnica y pasa a ser una responsabilidad directiva.

4. No solo debe hacerse, sino que es el núcleo de NIS2. La Directiva no exige ‘cumplir un checklist’, sino demostrar que se conocen los riesgos reales del negocio y de la operación industrial. El análisis de riesgos debe:

• Tener en cuenta impacto operativo, seguridad física, continuidad de servicio y efectos en terceros.
• Reflejar escenarios realistas (paradas de planta, manipulación de proceso, pérdida de control y dependencia de proveedores/terceros).
• Derivar en medidas técnicas y organizativas proporcionadas: arquitectura, segmentación, control de accesos, detección, respuesta, formación, continuidad.
   

En entornos industriales, esto implica unir ciberseguridad, seguridad funcional y continuidad de negocio, no tratarlas por separado.
 

5 Sí. NIS2 establece plazos y exige procedimientos claros, conocidos y ensayados. Las organizaciones deben poder:

• Detectar y evaluar incidentes relevantes.
• Notificar un aviso temprano en 24 horas.
• Realizar una notificación formal en 72 horas.
• Emitir un informe final cuando el incidente esté cerrado.

No basta con ‘saber que hay que notificar’. Es necesario tener procedimientos documentados, responsables asignados y mecanismos de coordinación técnica, legal y de comunicación. En la industria, esto es especialmente crítico porque muchos incidentes empiezan como fallos operativos, no como ciberataques evidentes.

6. Desde el Centro de Ciberseguridad Industrial abordamos NIS2 de forma realista y adaptada al mundo industrial. Nuestros servicios se centran en cinco ejes:

• Análisis del contexto al cumplir con NIS2: ayudamos a las organizaciones a determinar su clasificación, alcance y responsabilidades reales, incluyendo cadena de suministro.
• Gobierno y gestión: diseño e implantación del Sistema de Gobierno y Gestión de la Ciberseguridad Industrial (SG2CI), alineado con NIS2, IEC 62443 e ISO 27001.
• Análisis de riesgos y escenarios de alto impacto: especialmente en sectores como energía, agua, transporte y alimentación. Las plataformas RECIN y ESCIM permiten trabajar en evaluar riesgos y caracterizar escenarios de alto impacto para el negocio.
• Preparación operativa: procedimientos de notificación, gestión de incidentes, simulacros y ejercicios adaptados a entornos OT con ESCIM.
• Acompañamiento al ICSO (Responsable de ciberseguridad industrial) y a la dirección: formación, comunidad, herramientas y criterio para tomar decisiones proporcionadas, no sobredimensionadas.

Nuestro enfoque es ayudar a construir ciberresiliencia industrial sostenible y compartida.

----

Este artítulo aparece publicado en el nº 567 de Automática e Instrumentación págs 64 a 72.