La ciberseguridad ya no es un tema técnico que se pueda delegar sin más. Hoy afecta directamente a la continuidad del negocio, a la confianza de clientes y reguladores y a la responsabilidad legal de la dirección. La Directiva NIS2 formaliza este cambio: no basta con tener controles implantados, ahora es obligatorio saber qué riesgo existe, cómo se gestiona y quién responde por él.
Desde la experiencia de Sopra Steria trabajando con organizaciones públicas y privadas en Europa, se observa un patrón recurrente: el mayor reto de NIS2 no está en la tecnología, sino en ordenar la organización, alinear áreas y convertir la ciberseguridad en un asunto de gobierno y toma de decisiones. NIS2 solo no añade requisitos, obliga a trabajar de otra manera.
NIS2: qué cambia de verdad y qué obliga a hacer
Esta normativa amplía el alcance sectorial y endurece las exigencias en aspectos que tienen impacto directo en cómo funciona la organización:
- Gestión formal y continua del riesgo. Ya no vale con evaluaciones puntuales. Hay que identificar servicios críticos, analizar riesgos de forma periódica, decidir qué se mitiga y qué se acepta y dejar evidencia de esas decisiones.
- Notificación de incidentes en plazos estrictos. En la práctica obliga a tener procesos claros, roles definidos y capacidad de decidir rápido si un incidente es significativo.
- Responsabilidad directa de la alta dirección. Los más altos niveles deben estar informados, formado y participar en la supervisión del riesgo cibernético.
- Control de la cadena de suministro. Proveedores y terceros pasan a estar dentro del perímetro de riesgo y deben gestionarse como tal.
- Supervisión real y régimen sancionador. El regulador puede pedir evidencias, revisar decisiones y sancionar no solo la falta de controles, sino la mala gestión.
Conviene tener en cuenta que la Directiva NIS2 se encuentra pendiente de transposición al ordenamiento jurídico español. La fecha límite para transposición para los estados miembros era el 17 de octubre de 2024. España no cumplió con los plazos, pero pronto terminará de concretar los últimos aspectos de aplicación práctica, supervisión y régimen sancionador. Por eso, anticiparse ahora facilitará una adaptación ordenada cuando el marco nacional quede definitivamente establecido. Esto obliga a romper silos internos. Cumplir NIS2 significa coordinar legal, compliance, IT, ciberseguridad y negocio bajo un mismo modelo.
Cómo se aborda el cumplimiento de NIS2 de manera práctica
El primer paso necesario, y a menudo infravalorado, es entender con claridad en qué lugar se encuentra la organización. Antes de implantar medidas o lanzar proyectos, es imprescindible determinar si se está dentro del ámbito de NIS2, en qué categoría y con qué servicios concretos.
Este ejercicio no es trivial. Requiere analizar el modelo de negocio, los servicios prestados, las dependencias tecnológicas y la criticidad operativa. A partir de ahí, se evalúa la situación real frente a los requisitos de NIS2 y marcos de referencia consolidados como ISO 27001, NIST o las guías de ENISA.
El objetivo no es generar un informe extenso, sino disponer de una visión honesta y accionable: qué se hace bien, dónde hay carencias y qué riesgos existen si no se actúa. Esta fotografía es fundamental para poder explicarle a la dirección, con argumentos claros, por dónde empezar y por qué.
Por otro lado, uno de los puntos más exigentes de NIS2 es la necesidad de integrar la ciberseguridad en el gobierno de la organización. Esto implica dejar atrás enfoques informativos y dar paso a un modelo basado en la decisión y la supervisión.
En la práctica, significa incorporar las amenazas cibernéticas al mapa global de riesgos, definir cómo se reporta a la alta dirección y establecer métricas que tengan sentido para negocio: impacto en los servicios, dependencia de terceros, riesgo regulatorio o capacidad de recuperación.
También es clave clarificar roles y responsabilidades. NIS2 no solo pregunta qué controles existen, sino quién decide, quién ejecuta y quién supervisa. Esta claridad resulta determinante, tanto en caso de incidente, como ante una inspección.
No se trata de imponer una lista cerrada de soluciones técnicas. Al contario, lo que se exige es que las medidas adoptadas sean adecuadas al riesgo. Esto obliga a priorizar y a evitar enfoques basados únicamente en cumplimiento formal.
El trabajo se centra en proteger los servicios y activos verdaderamente críticos, reforzar la gestión de identidades y accesos, asegurar capacidades de detección y respuesta y, especialmente, garantizar que la organización puede recuperarse de un incidente relevante.
La resiliencia operativa cobra aquí un papel central. Los planes de continuidad y recuperación dejan de ser documentos estáticos y pasan a ser capacidades que deben probarse y mejorarse de forma periódica.
Visibilidad en toda la cadena de suministro
Muchos de los incumplimientos de NIS2 no vendrán por la existencia de un incidente, sino por cómo se gestione. Los plazos de notificación son exigentes y requieren procesos maduros.
Esto implica definir con claridad cómo se detectan los incidentes, quién los clasifica, cuándo se escalan y cómo se decide si son significativos. Además, es imprescindible coordinar tecnología, legal, comunicación y dirección bajo un mismo esquema de actuación.
Los simulacros y ejercicios de crisis son especialmente relevantes en este punto, ya que permiten detectar debilidades antes de que se produzca un incidente real.
NIS2 refuerza de forma explícita la responsabilidad sobre proveedores críticos. En la práctica, esto obliga a identificarlos, evaluarlos desde el punto de vista de la ciberseguridad y establecer mecanismos de seguimiento continuado.
No se trata de eliminar el riesgo, sino de conocerlo y controlarlo. La incorporación de requisitos claros en contratos y la revisión periódica de los proveedores permite reducir uno de los factores de riesgo más frecuentes en la actualidad.
Personas y cultura como elemento transversal
Aunque no siempre se percibe así, el factor humano sigue siendo el punto más vulnerable en la actualidad. NIS2 exige formación de la alta dirección, pero su impacto real está en mejorar la calidad de las decisiones.
La formación de las altas capas directivas, la concienciación del personal y la capacitación técnica en áreas clave contribuyen de forma directa a reducir incidentes y a mejorar la gestión cuando estos se producen.
Abordada con una visión estructurada, NIS2 no debería verse como una carga regulatoria. Al contrario, bien aplicada, ayudará a ordenar la gestión del riesgo, a mejorar la coordinación interna y a reforzar la resiliencia operativa.
Las organizaciones que utilicen NIS2 como palanca de mejora saldrán mejor preparadas para un entorno digital cada vez más exigente y regulado.
Sopra Steria trabaja con organizaciones públicas y privadas en Europa, acompañándolas para convertir los requisitos de NIS2 en decisiones prácticas. Combina conocimiento regulatorio, visión de negocio y capacidades técnicas, lo que permite ayudar a las organizaciones a identificar riesgos, priorizar actuaciones y definir un modelo de gobierno eficaz. Así, el cumplimiento de NIS2 puede convertirse en una capacidad real y sostenible que refuerce la resiliencia y la toma de decisiones frente a los riesgos digitales.