{"id":15603,"date":"2026-02-11T12:40:32","date_gmt":"2026-02-11T11:40:32","guid":{"rendered":"https:\/\/osapiens.com\/es\/?p=15603"},"modified":"2026-02-11T12:40:35","modified_gmt":"2026-02-11T11:40:35","slug":"nis2-requisitos-gobernanza-del-riesgo-cibernetico","status":"publish","type":"post","link":"https:\/\/osapiens.com\/es\/blog\/nis2-requisitos-gobernanza-del-riesgo-cibernetico\/","title":{"rendered":"NIS2: Por qu\u00e9 el riesgo cibern\u00e9tico se ha convertido en una prioridad m\u00e1xima para la alta direcci\u00f3n en toda la UE"},"content":{"rendered":"\n

En Espa\u00f1a, el panorama de amenazas tambi\u00e9n se ha intensificado de forma clara. INCIBE<\/a> gestion\u00f3 97.348 incidentes de ciberseguridad en 2024, un +16,6% vs. 2023. De ellos, 31.540 afectaron a empresas (pymes, micropymes y aut\u00f3nomos) y 65.808 a la ciudadan\u00eda. Entre los incidentes m\u00e1s frecuentes destacaron malware (42.136 casos) y fraude online (m\u00e1s de 38.000 incidentes), con phishing como principal vector dentro del fraude (21.571 casos).<\/p>\n\n\n\n

Estos datos dejan algo bastante obvio: el riesgo cibern\u00e9tico ya no es solo un tema de IT; es un riesgo de negocio.<\/strong> Los atacantes explotan puntos ciegos organizativos, dependencias con terceros y estructuras de gobernanza inconsistentes. La profesionalizaci\u00f3n del delito (y el uso de automatizaci\u00f3n y herramientas potenciadas por IA) hace que la escala y la velocidad del ataque jueguen en contra de las organizaciones.<\/p>\n\n\n\n

En este contexto, la Directiva NIS2<\/a> Espa\u00f1a eleva la gobernanza del riesgo cibern\u00e9tico al nivel ejecutivo. Exige que las organizaciones implanten gesti\u00f3n estructurada del riesgo, mecanismos claros de responsabilidad y procesos de decisi\u00f3n transparentes<\/strong>. Para las empresas que operan en la UE, cumplir NIS2 no es \u201cmarcar casillas\u201d regulatorias: es una base para construir resiliencia organizativa a largo plazo.<\/p>\n\n\n\n

Qu\u00e9 exige espec\u00edficamente NIS2 y por qu\u00e9 la gesti\u00f3n del riesgo est\u00e1 en el centro<\/h2>\n\n\n\n

La Directiva NIS2 no es un programa de \u201cseguridad inform\u00e1tica\u201d, sino un marco regulatorio que trata los riesgos ciber como riesgos de negocio<\/strong> (enterprise-level). Obliga a las entidades afectadas en la UE a implementar medidas de ciberseguridad y gesti\u00f3n de riesgos estructuradas y a nivel de toda la organizaci\u00f3n, alineadas con los est\u00e1ndares m\u00ednimos armonizados<\/strong> definidos por la Directiva y su normativa asociada (Reglamento de Ejecuci\u00f3n (UE) 2024\/2690)<\/a>. Los requisitos concretos pueden variar por pa\u00eds seg\u00fan la transposici\u00f3n nacional. El objetivo no es revisar controles aislados, sino construir un sistema verificable de gesti\u00f3n del riesgo, gobernanza y reporting.<\/strong><\/p>\n\n\n\n

a auditabilidad es clave para el cumplimiento NIS2: las organizaciones deben poder demostrar que los riesgos ciber se identifican, priorizan, tratan y monitorizan de forma continua, y que las responsabilidades y decisiones quedan claramente documentadas. Esto implica que el liderazgo ejecutivo est\u00e1 expl\u00edcitamente sometido a rendici\u00f3n de cuentas bajo NIS2. La direcci\u00f3n debe garantizar que la ciberseguridad es una parte integral de las operaciones del negocio y de la gesti\u00f3n del riesgo corporativo. Esto incluye el requisito de formaci\u00f3n obligatoria<\/strong> para los l\u00edderes ejecutivos.<\/p>\n\n\n\n

En la pr\u00e1ctica, gobernanza, gesti\u00f3n del riesgo, gesti\u00f3n de incidentes, supervisi\u00f3n de terceros y documentaci\u00f3n tienen que funcionar como un sistema coherente de extremo a extremo<\/strong>. IT y seguridad ejecutan la parte t\u00e9cnica, pero la organizaci\u00f3n debe definir qui\u00e9n decide, c\u00f3mo se fijan prioridades y c\u00f3mo se aceptan o rechazan los riesgos residuales.<\/p>\n\n\n\n

Tres resultados verificables de la gesti\u00f3n de riesgos bajo NIS2<\/h2>\n\n\n\n

Para que NIS2 no se quede en teor\u00eda, conviene mirar qu\u00e9 van a esperar ver en la pr\u00e1ctica auditores y autoridades supervisoras. El cumplimiento real de NIS2 se apoya en tres resultados demostrables:<\/p>\n\n\n\n

    \n
  1. Un registro de ciberriesgos con alcance claro y ownership definido<\/strong>
    Debe mapear procesos cr\u00edticos, sistemas relevantes y dependencias, asignando cada riesgo a un responsable. La evaluaci\u00f3n del riesgo sigue un enfoque \u201ctodo riesgo\u201d<\/strong>: no solo ciberataques, tambi\u00e9n ca\u00eddas, configuraciones err\u00f3neas, error humano y amenazas f\u00edsicas o ambientales.<\/li>\n\n\n\n
  2. Un plan priorizado de tratamiento del riesgo<\/strong>
    El plan se impulsa por tolerancias y umbrales de riesgo<\/strong> definidos a nivel directivo. Traduce riesgos identificados en medidas con responsables, plazos y estados. Los riesgos residuales no pueden quedar impl\u00edcitos: deben documentarse<\/strong> de forma consciente, incluyendo justificaci\u00f3n, aprobaci\u00f3n y periodo de validez.<\/li>\n\n\n\n
  3. Un paquete de reporting y evidencias que permita supervisi\u00f3n ejecutiva<\/strong>
    NIS2 exige mantener un marco estructurado de reporting y documentaci\u00f3n que permita a la direcci\u00f3n ver decisiones de ciberriesgo. Esto incluye an\u00e1lisis de riesgos versionados y planes de tratamiento, evidencias de tests y ejercicios, y aprobaciones y decisiones documentadas. Tambi\u00e9n debe existir un flujo funcional de respuesta y notificaci\u00f3n de incidentes, incluyendo clasificaci\u00f3n y escalado.<\/li>\n<\/ol>\n\n\n\n

    Cronograma NIS2 e implementaci\u00f3n en la UE (adaptado a Espa\u00f1a)<\/h2>\n\n\n\n

    NIS2 entr\u00f3 en vigor como Directiva de la UE en enero de 2023<\/strong>. La fecha l\u00edmite para que los Estados miembros transpusieran la Directiva a su derecho nacional<\/strong> fue octubre de 2024<\/strong>. En ese mismo periodo, entr\u00f3 en vigor el Reglamento de Ejecuci\u00f3n<\/strong> de la Comisi\u00f3n, que detalla requisitos para partes del sector digital (por ejemplo, umbrales para incidentes significativos y medidas espec\u00edficas de seguridad y gesti\u00f3n del riesgo).<\/p>\n\n\n\n

    Implementaci\u00f3n nacional en los Estados miembros de la UE<\/strong><\/h3>\n\n\n\n

    Como NIS2 es una Directiva<\/strong>, cada Estado miembro<\/strong> debe transponerla a su legislaci\u00f3n nacional, definiendo:<\/p>\n\n\n\n

    Como NIS2 es una Directiva<\/strong>, cada Estado miembro<\/strong> debe transponerla a su legislaci\u00f3n nacional, definiendo:<\/p>\n\n\n\n