NIS2 para Compliance (Entrada 4) Qué deberían estar haciendo ya las empresas españolas: un plan operativo de cumplimiento anticipado


 

NIS2 para Compliance (Entrada 4)

Qué deberían estar haciendo ya las empresas españolas: un plan operativo de cumplimiento anticipado

España aún no ha completado la transposición de la Directiva NIS2, pero las obligaciones esenciales ya son exigibles por efecto directo y por el principio de diligencia debida. En este escenario híbrido —norma europea plenamente vigente, marco español incompleto— las organizaciones no pueden permitirse la inacción.

Esta entrada ofrece un plan operativo realista, diseñado para que cualquier entidad esencial o importante pueda anticiparse al marco definitivo y demostrar que ha actuado con responsabilidad.

1. Primer paso: determinar si la organización es “esencial” o “importante”

La clasificación no es un detalle administrativo: determina el nivel de supervisión, las obligaciones y el régimen sancionador.

1.1. Entidades esenciales

Sectores como:

  • energía,
  • transporte,
  • salud,
  • agua potable y residual,
  • infraestructuras digitales,
  • banca y mercados financieros,
  • administraciones públicas,
  • espacio.

1.2. Entidades importantes

Sectores como:

  • servicios postales,
  • residuos,
  • alimentación,
  • industria manufacturera crítica,
  • proveedores digitales,
  • investigación.

La organización debe documentar su análisis y justificar su clasificación. No hacerlo es, en sí mismo, un incumplimiento.

2. Integrar NIS2 en el sistema de Compliance

NIS2 no es un apéndice técnico: es un componente estructural del sistema de cumplimiento.

2.1. Actualizar el mapa de riesgos

Debe incluir:

  • riesgos de ciberseguridad,
  • riesgos de continuidad,
  • riesgos de cadena de suministro,
  • riesgos de notificación tardía,
  • riesgos de responsabilidad del órgano de dirección.

2.2. Revisar el modelo de gobernanza

El órgano de dirección debe:

  • aprobar políticas,
  • supervisar su ejecución,
  • recibir formación,
  • recibir reportes periódicos.

2.3. Integrar NIS2 en el sistema de control interno

Esto implica:

  • controles,
  • indicadores,
  • auditorías,
  • evidencia documental.

3. Establecer un protocolo de notificación en 24h/72h/1 mes

La notificación de incidentes es uno de los pilares de NIS2. Las organizaciones deben tener un protocolo interno que permita cumplir los plazos:

3.1. 24 horas: notificación temprana

Debe incluir:

  • indicios del incidente,
  • impacto potencial,
  • medidas iniciales.

3.2. 72 horas: informe detallado

Debe incluir:

  • análisis preliminar,
  • alcance,
  • impacto probable,
  • medidas de contención.

3.3. 1 mes: informe final

Debe incluir:

  • análisis completo,
  • causas raíz,
  • impacto final,
  • medidas correctivas.

El protocolo debe estar ensayado, no solo escrito.

4. Revisar y reforzar la cadena de suministro

NIS2 exige un control activo sobre proveedores críticos. Esto implica:

4.1. Clasificar proveedores

Según:

  • acceso a sistemas,
  • acceso a datos,
  • impacto en la continuidad,
  • criticidad del servicio.

4.2. Revisar contratos

Los contratos deben incluir:

  • obligaciones de seguridad,
  • niveles de servicio,
  • notificación de incidentes,
  • derechos de auditoría,
  • medidas de continuidad.

4.3. Verificar y supervisar

No basta con exigir: hay que comprobar.

  • cuestionarios,
  • auditorías,
  • certificaciones,
  • revisiones periódicas.

4.4. Documentar la supervisión

La evidencia es esencial para demostrar diligencia.

5. Alinear controles con el Esquema Nacional de Seguridad (ENS)

El ENS es, de facto, la referencia técnica para cumplir NIS2 en España. Las organizaciones deben:

  • identificar el nivel de cumplimiento actual,
  • cerrar brechas,
  • documentar controles,
  • preparar auditorías.

El ENS no sustituye a NIS2, pero es la base técnica más sólida disponible.

6. Preparar evidencia documental

NIS2 exige demostrar cumplimiento. Esto implica:

  • políticas aprobadas,
  • actas del órgano de dirección,
  • análisis de riesgos,
  • auditorías,
  • informes de incidentes,
  • supervisión de proveedores,
  • formación impartida.

La evidencia es el lenguaje del Compliance. Sin evidencia, no hay cumplimiento.

7. Formar al órgano de dirección y a los empleados

La formación no es un complemento: es una obligación.

7.1. Formación del órgano de dirección

Debe cubrir:

  • obligaciones de NIS2,
  • responsabilidad personal,
  • supervisión,
  • toma de decisiones informada.

7.2. Formación del personal

Debe incluir:

  • concienciación,
  • gestión de incidentes,
  • buenas prácticas,
  • riesgos de ingeniería social.

8. Prepararse para la supervisión

Aunque la ley española no está completa, la supervisión llegará. Las organizaciones deben estar listas para:

  • requerimientos de información,
  • auditorías,
  • inspecciones,
  • medidas correctivas.

La mejor defensa es la anticipación.

9. Conclusión: actuar ahora es la única forma de cumplir después

NIS2 exige un cambio cultural y estructural. Esperar a la ley española es un error estratégico. Las organizaciones deben actuar ya, con un enfoque de diligencia debida, evidencia y gobernanza.

El Compliance tiene aquí un papel decisivo:

  • ordenar,
  • priorizar,
  • documentar,
  • y liderar la transición hacia un modelo de resiliencia corporativa.

En la próxima entrada analizaremos cómo encaja NIS2 con ENS, GDPR, DORA y el ecosistema regulatorio español, para evitar duplicidades y construir un sistema eficiente.

Comentarios

Publicar un comentario