🔒 NIS2

CyberSeguridad Directiva NIS2

Qué exige la Directiva NIS2, a quién afecta, qué plazos y sanciones impone y por qué cumplir es, sobre todo, una cuestión de procesos documentables y auditables.

Ciberseguridad 16 Sep 2024 · Actualizado 5 Jun 2026 · 7 min lectura · Equipo Dokuflex
Portada del blog de Dokuflex sobre CyberSeguridad Directiva NIS2, enfocada en Ciberseguridad y automatizacion de procesos.
Portada editorial de Dokuflex orientada a entender el impacto, las acciones y el siguiente paso hacia demo.

NIS2 es la Directiva (UE) 2022/2555, cuyo plazo de transposición nacional venció el 17 de octubre de 2024. Eleva el listón de la ciberseguridad para muchas organizaciones europeas: ya no basta con medidas técnicas aisladas, sino que exige gobernanza, gestión de riesgos, responsabilidad de la dirección y una capacidad de respuesta a incidentes con plazos estrictos.

España llegó tarde a la transposición: el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad —que incorpora NIS2 a nuestro ordenamiento— se aprobó en Consejo de Ministros en enero de 2025 y siguió su tramitación parlamentaria. Pero las obligaciones de fondo de la directiva ya marcan el estándar exigible a entidades esenciales e importantes. Por eso importa en 2026: este artículo, actualizado a junio de 2026, resume qué exige NIS2, con qué plazos y sanciones, y cómo prepararse tratándolo como lo que es —un conjunto de procesos documentables y auditables.

Qué exige NIS2

NIS2 aplica a entidades «esenciales» e «importantes» de 18 sectores —energía, transporte, banca, salud, agua, infraestructura digital, administraciones públicas, espacio, fabricación crítica, etc.— y, en general, a las medianas y grandes empresas de esos sectores. Sobre ellas recaen obligaciones concretas:

  • Medidas de gestión de riesgos. Análisis de riesgos, continuidad de negocio, cifrado, autenticación multifactor (MFA) y seguridad de la cadena de suministro, entre otras.
  • Responsabilidad directa de la dirección. Los órganos de dirección deben aprobar y supervisar las medidas, recibir formación obligatoria en ciberseguridad y responden por el incumplimiento de la entidad.
  • Notificación de incidentes significativos. Con plazos escalonados: alerta temprana en 24 horas, notificación en 72 horas e informe final en un mes.
  • Control de la cadena de suministro. La seguridad de proveedores y terceros pasa a ser responsabilidad de la entidad sujeta, lo que arrastra a muchos proveedores que no están directamente regulados.

Plazos y sanciones

Dos relojes marcan el cumplimiento de NIS2: el de la notificación de cada incidente y el de las consecuencias económicas de no cumplir.

  • Alerta temprana: 24 horas desde que se tiene conocimiento del incidente significativo.
  • Notificación: 72 horas, con una evaluación inicial del incidente (gravedad, impacto e indicadores de compromiso).
  • Informe final: 1 mes desde la notificación, con la descripción detallada, causa raíz y medidas aplicadas.
  • Sanciones. Hasta 10 M€ o el 2% de la facturación global anual para entidades esenciales; hasta 7 M€ o el 1,4% para entidades importantes (la cifra que sea mayor).

Cómo prepararse: NIS2 como proceso

Cumplir NIS2 no es comprar una herramienta: es asegurar que las obligaciones —incidentes, evidencias, formación, proveedores— viven en procesos definidos, con responsables, plazos y trazabilidad, y no en correos y hojas de cálculo dispersas.

  • Define el proceso de registro y escalado de incidentes con los plazos de 24h/72h/1 mes ya incorporados como hitos, no como tarea manual a recordar.
  • Documenta las medidas de gestión de riesgos y la formación de la dirección dejando evidencia recuperable ante una auditoría.
  • Convierte el control de proveedores en un proceso con expediente: alta, evaluación de seguridad, renovación y evidencias por cada tercero.
  • Asegura que toda revisión, decisión y acción correctiva queda trazada: quién, cuándo, con qué evidencia y qué plan se activó.

Dónde encaja Dokuflex

Los procesos que NIS2 exige son procesos documentables y auditables — exactamente el terreno de un BPM documental. Dokuflex te permite orquestarlos sin desarrollos a medida:

  • El registro de incidentes se modela como workflow con SLAs y escalados que vigilan los plazos de 24h, 72h y un mes, y dejan rastro de cada paso.
  • La evidencia documental de medidas, formación de la dirección y planes de acción se conserva en gestión documental con trazabilidad apta para auditoría.
  • El control de proveedores (cadena de suministro) se gestiona como proceso con expediente por cada tercero, integrado con tus sistemas vía integraciones.
  • El acceso se refuerza con autenticación corporativa: consulta cómo encajan SSO con Active Directory, OAuth, SAML y 2FA, alineado con las medidas de MFA que NIS2 exige.
Siguiente paso

Convierte esta necesidad en un proceso medible

Dokuflex combina BPM Low-Code, documental, firma digital, integraciones e IA para ayudarte a automatizar procesos con control, trazabilidad y capacidad de evolucion.

Solicitar demo Volver al blog

Preguntas frecuentes

¿Qué es NIS2?

Es la Directiva (UE) 2022/2555, cuyo plazo de transposición nacional venció el 17 de octubre de 2024. Eleva el nivel de exigencia en ciberseguridad para entidades esenciales e importantes de 18 sectores, con medidas de gestión de riesgos, responsabilidad de la dirección y notificación de incidentes.

¿Afecta a mi empresa?

NIS2 aplica a entidades esenciales e importantes de 18 sectores (energía, transporte, banca, salud, agua, infraestructura digital, AAPP, espacio, fabricación crítica, etc.), normalmente medianas y grandes empresas de esos sectores. También puede alcanzarte de forma indirecta como proveedor de una entidad sujeta, por las obligaciones de seguridad de la cadena de suministro.

¿Qué plazos de notificación impone?

Ante un incidente significativo: alerta temprana en 24 horas, notificación en 72 horas e informe final en un mes. Cumplir esos plazos exige tener el proceso de registro y escalado de incidentes definido de antemano.

¿Qué responsabilidad tiene la dirección?

Los órganos de dirección responden directamente: deben aprobar y supervisar las medidas de gestión de riesgos, recibir formación obligatoria en ciberseguridad y responden por el incumplimiento de la entidad.

¿Qué sanciones hay?

Para entidades esenciales, hasta 10 M€ o el 2% de la facturación global anual (la cifra que sea mayor). Para entidades importantes, hasta 7 M€ o el 1,4% de la facturación global.

Articulos relacionados

Ver todos
Portada del blog de Dokuflex sobre Como implementar BPM Low-Code con IA en tu empresa sin complicar la operacion, enfocada en BPM y automatizacion de procesos.
BPM

Cómo implementar BPM Low-Code con IA en tu empresa sin complicar la operación

Guia practica para arrancar un proyecto BPM Low-Code con IA con foco, alcance realista y resultados medibles desde la primera fase.

6 Mar 2026 · 8 min
Portada del blog de Dokuflex sobre 7 ventajas del BPM Low-Code con IA para empresas que quieren automatizar mejor, enfocada en BPM y automatizacion de procesos.
BPM

7 ventajas del BPM Low-Code con IA para empresas que quieren automatizar mejor

Resumen de los beneficios mas tangibles del BPM Low-Code con IA cuando la empresa busca automatizar con mas rapidez, control y capacidad de adaptacion.

6 Mar 2026 · 7 min
Portada del blog de Dokuflex sobre VERI*FACTU vs SII diferencias clave, enfocada en VERI*FACTU y automatizacion de procesos.
VERI*FACTU

VERI*FACTU vs SII: diferencias clave

Comparativa clara entre VERI*FACTU y SII para entender alcance, obligaciones y que necesita cada empresa para cumplir sin duplicidades.

6 Mar 2026 · 6 min