Directiva NIS2 sobre ciberseguridad

Dir. (UE) 2022/2555 · RD-ley 7/2025

Refuerzo europeo de ciberseguridad. Amplía el alcance de NIS de ~400 a ~160.000 entidades en la UE. España transpuso parcialmente vía RD-ley 7/2025. Primeras auditorías 30/06/2026.

Estado en ÆGIS: activo. Flujo completo: evaluación guiada que detecta tus obligaciones, plantillas de documento listas para producir, y el agente razonando con citación literal verificada. Disponible desde el plan Pro.

Datos clave

A QUIÉN OBLIGA: Entidades esenciales e importantes en 18 sectores: energía, transporte, sanidad, finanzas, infraestructura digital, agua, residuos, espacio, AAPP, etc.
SANCIÓN MÁXIMA: 10 M€ o 2 % de la facturación (esenciales) · 7 M€ o 1,4 % (importantes)
EN VIGOR DESDE: 17/10/2024 (transposición)
AUTORIDAD: INCIBE-CERT · CCN-CERT
FUENTE OFICIAL: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Fechas clave

Transposición · 17/10/2024 (España: parcial)
Listado de entidades · 17/04/2025
Primeras auditorías · 30/06/2026

Obligaciones y artículos clave

El agente razona y cita literalmente sobre estos puntos. 12 referencias cargadas en el motor — muestra de 4.

NIS2 ES · Estado actual

Transposición parcial vía RDL 7/2025 + ley pendiente

España transpuso parcialmente NIS2 mediante el Real Decreto-ley 7/2025. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado por Consejo de Ministros en enero 2025, sometido a audiencia pública ene-feb 2025) sigue en tramitación parlamentaria sin publicación BOE a fecha actual. Prevé la constitución de un Centro Nacional de Ciberseguridad para coordinación y gobernanza nacional.

NIS2 ES · Infracción CE

Procedimiento de infracción de la Comisión Europea

La Comisión Europea inició en noviembre 2024 procedimiento de infracción contra 23 Estados miembros incluida España por no notificar la transposición plena de NIS2 en plazo (17 octubre 2024). El 7 de mayo de 2025 envió dictamen motivado a 19 Estados miembros incluida España. Próximo paso: elevación al TJUE si no completan la transposición.

NIS2 ES · Lista entidades 17/04/2025

Lista de entidades esenciales e importantes

Los Estados miembros debían elaborar antes del 17/04/2025 una lista de entidades esenciales e importantes (incluyendo las que prestan servicios de registro de nombres de dominio) y actualizarla al menos cada 2 años. La lista puede usar mecanismos nacionales de autorregistro. En España el mecanismo de identificación queda pendiente de la ley definitiva.

NIS2 ES · No exonera el retraso

Las obligaciones son exigibles pese al retraso

El retraso en la transposición plena no exonera a las empresas. Las obligaciones directamente aplicables (DORA para financieras, aspectos del RD 311/2022 ENS, gestión de riesgos del Art. 21 NIS2 interpretado por los reguladores) son exigibles desde su entrada en vigor. Los reguladores y los clientes europeos están aplicando criterios coherentes con la directiva sin esperar a la transposición plena.

Qué puedes hacer con este marco en ÆGIS

EVALUACIÓN INTERACTIVA

Árbol de decisión guiado

Un cuestionario adaptativo determina qué obligaciones de NIS2 aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

Iniciar evaluación →

DOCUMENTOS QUE GENERA · 6

Plantillas legales listas para producir

Política de Control de Accesos y Autenticación Multifactor
Carta de Ciberseguridad del Órgano de Dirección
Plan de Continuidad de Negocio
Política de Gestión de Riesgos de Ciberseguridad
Plan de Respuesta a Incidentes de Ciberseguridad
Política de Seguridad de la Cadena de Suministro

Cruces con otros marcos

Estos marcos comparten obligaciones convergentes con NIS2. El agente las razona como un sistema, no como silos.

RGPD + LOPDGDD

ENS

DORA

CRA

EUCC / EUCS

Empieza a usar este marco · Pro

29 €/mes · garantía 60 días · sin tarjeta para probar