NIS2 para Compliance - Apéndice al ciclo NIS2 para Compliance - Dos claves para interpretar NIS2: gobernanza frente a técnica y diligencia debida en escenarios de transposición incompleta

 

NIS2 para Compliance - Apéndice al ciclo NIS2 para Compliance

Dos claves para interpretar NIS2: gobernanza frente a técnica y diligencia debida en escenarios de transposición incompleta

La Directiva NIS2 introduce un cambio profundo en la forma en que las organizaciones deben entender la ciberseguridad. Más allá de las obligaciones específicas, existen dos ideas transversales que ayudan a interpretar correctamente el marco regulatorio:

1.    la diferencia entre medidas técnicas y obligaciones de gobernanza, y

2.    la forma de documentar la diligencia debida cuando la transposición nacional aún no está completa.

Este apéndice desarrolla ambos conceptos con un enfoque práctico y orientado al Compliance.

1. Medidas técnicas vs. obligaciones de gobernanza

Uno de los errores más frecuentes al interpretar NIS2 es asumir que se trata de una norma técnica. No lo es. La Directiva no prescribe tecnologías concretas ni exige configuraciones específicas. Lo que exige es gobernanza.

1.1. Qué son las medidas técnicas

Son los controles que implementan los equipos de seguridad:

• firewalls,
• segmentación de redes,
• autenticación multifactor,
• cifrado,
• monitorización,
• copias de seguridad,
• pruebas de penetración, etc.

Estas medidas pueden variar según el sector, la madurez tecnológica y la infraestructura de cada organización.

1.2. Qué son las obligaciones de gobernanza

Son las responsabilidades que recaen sobre el órgano de dirección y el sistema de Compliance:

• aprobar políticas,
• supervisar su ejecución,
• recibir formación,
• exigir evidencia,
• evaluar riesgos,
• controlar proveedores,
• garantizar la continuidad,
• documentar decisiones.

La gobernanza no sustituye a la técnica, pero la ordena, la prioriza y la hace demostrable.

1.3. Por qué esta distinción es esencial

Porque NIS2 no sanciona la ausencia de una tecnología concreta, sino la ausencia de:

• supervisión,
• diligencia,
• trazabilidad,
• evidencia,
• decisiones informadas.

La Directiva no exige “tener un firewall”, sino poder demostrar que la organización ha evaluado sus riesgos y ha adoptado medidas adecuadas y proporcionadas.

2. Cómo documentar la diligencia debida en escenarios de transposición incompleta

España aún no ha completado la transposición de NIS2. Este vacío normativo parcial genera incertidumbre, pero no exime de responsabilidad. La clave es documentar la diligencia debida.

2.1. Qué significa diligencia debida en este contexto

Significa demostrar que la organización:

• conoce sus obligaciones europeas,
• ha evaluado su impacto,
• ha iniciado acciones razonables,
• y puede justificar sus decisiones.

La diligencia no es perfección: es actuación responsable y proporcionada.

2.2. Qué debe documentarse

Un expediente de diligencia debida debería incluir:

• análisis de si la entidad es esencial o importante,
• actualización del mapa de riesgos,
• políticas revisadas o en proceso de revisión,
• evidencias de formación del órgano de dirección,
• revisión de contratos con proveedores críticos,
• borrador del protocolo de notificación,
• alineación progresiva con el ENS,
• actas o informes internos que acrediten supervisión.

2.3. Cómo justificar decisiones en ausencia de ley nacional completa

La organización debe poder demostrar que ha actuado conforme a:

• el texto de la Directiva,
• las guías de ENISA,
• el ENS como referencia técnica,
• las recomendaciones de INCIBE y CCN,
• el principio europeo de proporcionalidad del riesgo.

Esto es especialmente importante para órganos de dirección, que deben poder acreditar que han actuado con prudencia.

2.4. Por qué este expediente es clave

Porque cuando la ley española entre en vigor:

• la supervisión será inmediata,
• las sanciones serán significativas,
• y la carga de la prueba recaerá en la organización.

Un expediente de diligencia debida bien construido es la mejor defensa posible.

3. Conclusión

NIS2 no exige solo tecnología: exige gobernanza, evidencia y responsabilidad. Y en escenarios de transposición incompleta, la diligencia debida no es una recomendación: es una obligación práctica.

Este apéndice complementa el ciclo ofreciendo dos claves interpretativas que ayudan a entender la Directiva desde la óptica del Compliance y a preparar a las organizaciones para un marco regulatorio exigente y en evolución.