🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

Directiva NIS2: la guía completa (2026)

La certificación ISO 27001 es un distintivo de prestigio que demuestra el compromiso de su organización con la gestión de la información confidencial. Sin embargo, no es, ni mucho menos, el único marco normativo que requerirá atención en 2026.

La Directiva NIS2 (también conocida como NIS-2 o NIS 2.0) exige a las organizaciones de 18 sectores que apliquen medidas sólidas de ciberseguridad, incluida la formación en materia de concienciación sobre seguridad para todos los empleados.

Sin embargo, comprender exactamente qué exige la NIS2 y cómo la Cyberbeveiligingswet (Cwb) neerlandesa la transpone al ordenamiento jurídico nacional puede resultar abrumador.

En esta guía, te explicamos todo lo que necesitas saber: qué es la NIS2, a quién se aplica, la lista de verificación completa de la NIS2 para 2026 y cómo preparar a tu organización para la auditoría.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) es el marco actualizado de la Unión Europea en materia de seguridad de las redes y la información. Sustituyó a la Directiva NIS original (NIS1) de 2016, que fue la primera normativa de la UE en materia de ciberseguridad.

La NIS2 entró en vigor el 16 de enero de 2023, y los Estados miembros de la UE debían incorporarla a su legislación nacional antes del 17 de octubre de 2024. Sin embargo, la mayoría de los Estados miembros, incluidos los Países Bajos, no cumplieron este plazo.

La directiva tiene por objeto alcanzar un alto nivel común de ciberseguridad en toda la UE, exigiendo a las organizaciones de los sectores críticos que:

  • Aplicar medidas de ciberseguridad basadas en el riesgo
  • Notifique los incidentes graves a las autoridades dentro de los plazos establecidos
  • Garantizar que los órganos de gestión reciban formación y rindan cuentas
  • Impartir formación periódica de sensibilización a todos los empleados
  • Gestionar los riesgos de seguridad de la cadena de suministro

Se calcula que unas 160 000 entidades de toda la UE entran dentro del ámbito de aplicación de la Directiva NIS 2. Esto supone un aumento de diez veces con respecto a la Directiva NIS 1.

NIS2 frente a NIS1: ¿qué ha cambiado?

La Directiva NIS original constituía un buen punto de partida, pero presentaba importantes lagunas. La NIS2 las aborda de manera integral. A continuación se ofrece un breve resumen de los cambios más importantes:

Aspecto NIS1 NIS2
Sectores abarcados 7 sectores 18 sectores
Entidades incluidas en el ámbito de aplicación ~15,000 ~160,000
Notificación de incidentes No hay un plazo concreto 24 horas / 72 horas / 1 mes
Sanciones Se determina por cada Estado miembro Hasta 10 millones de euros o el 2 % de la facturación
Responsabilidad civil de los directivos Sin tratar Responsabilidad civil por negligencia grave
Cadena de suministro No es un requisito explícito Gestión obligatoria de riesgos
Formación en gestión No es necesario Obligatorio para el consejo de administración y la alta dirección

¿Quieres profundizar en las diferencias? Lee nuestra comparación completa: ¿Cuál es la diferencia entre NIS1 y NIS2?

La normativa NIS2 en Europa

La NIS2 es una directiva de la UE, lo que significa que no se aplica directamente a las organizaciones. Cada Estado miembro debe transponerla a su legislación nacional. Esta es la situación actual en 2026.

Situación de la aplicación en toda la UE

El avance en la aplicación varía considerablemente. Países como Bélgica, Croacia e Italia fueron de los primeros en adoptar legislación nacional. Otros, como los Países Bajos y Alemania, tardaron más tiempo.

La Comisión Europea inició procedimientos de infracción contra 23 Estados miembros por no haber cumplido el plazo de transposición fijado para octubre de 2024. En mayo de 2025, 19 Estados miembros habían recibido advertencias legales formales (dictámenes motivados). A principios de 2026, unos 16 países habían transpuesto íntegramente la Directiva NIS2 a su legislación nacional.

El paquete de medidas de ciberseguridad de la UE de enero de 2026

El 20 de enero de 2026, la Comisión Europea publicó una propuesta para modificar la Directiva NIS2 como parte de un paquete más amplio de medidas de ciberseguridad. Los principales cambios incluyen:

  • Normas jurisdiccionales simplificadas para las organizaciones que operan en varios países de la UE
  • Vías de cumplimiento basadas en certificaciones, que permiten a las organizaciones demostrar su cumplimiento mediante certificaciones reconocidas
  • Informes mejorados sobre ransomware con requisitos de datos sobre incidentes más detallados
  • Ampliación del ámbito de aplicación para incluir a los proveedores de carteras de identidad digital europeas y de infraestructura submarina de datos
  • Reclasificación de unas 22 500 entidades para reducir la carga administrativa de las organizaciones más pequeñas
  • Un papel más destacado para la ENISA en la coordinación de la supervisión transfronteriza

Se prevé que estas modificaciones se negocien a lo largo de 2026, con un plazo de transposición de 12 meses tras su adopción.

NIS2 en los Países Bajos: la Ley de Ciberseguridad (Cwb)

En los Países Bajos, la Directiva NIS2 se está incorporando a la Ley de Ciberseguridad (Cwb). Esta ley sustituye a la actual Wbni (Ley de Seguridad de los Sistemas de Redes e Información).

Situación actual (marzo de 2026)

  • El proyecto de ley se presentó ante la Tweede Kamer el 4 de junio de 2025
  • Se programó un debate en sesión plenaria para el 23 de marzo de 2026
  • Tras su aprobación en la Cámara Baja, el proyecto de ley aún debe ser aprobado por la Cámara Alta
  • El Gobierno tiene previsto que la ley entre en vigor en el segundo trimestre de 2026

Tres componentes normativos

La implementación neerlandesa consta de tres niveles:

  1. La Ley de Seguridad Cibernética, que es la principal ley de aplicación de la Directiva NIS2
  2. La Cyberbeveiligingsbesluit (AMvB), una orden administrativa general que establece obligaciones específicas
  3. Normativas ministeriales específicas para cada sector, con requisitos adaptados a cada uno de ellos

Principales obligaciones de los Países Bajos

Las organizaciones sujetas a la Ley de Seguridad Cibernética deben cumplir cuatro obligaciones fundamentales:

  • Deber de diligencia: aplicar las medidas técnicas y organizativas adecuadas para gestionar los riesgos de ciberseguridad
  • Obligación de registro: inscríbase en la autoridad de control competente para su sector
  • Obligación de formación para los directivos: los miembros del consejo de administración y la dirección deben realizar cursos de formación en ciberseguridad
  • Obligación de notificación de incidentes: notificar los incidentes significativos al NCSC dentro de los plazos establecidos

Autoridades de supervisión

El NCSC (Nationaal Cyber Security Centrum) actúa como principal organismo coordinador. Las autoridades de supervisión específicas de cada sector se designan mediante reglamentos ministeriales.

Para las organizaciones del sector sanitario, el panorama normativo es especialmente complejo, ya que combina los requisitos de la NIS2 con la normativa específica del sector sanitario vigente en materia de protección de datos de los pacientes.

¿A quién se aplica la NIS2?

La NIS2 se aplica a las organizaciones en función de dos criterios: el sector y el tamaño.

Entidades esenciales (sectores de vital importancia)

  • Energía (electricidad, petróleo, gas, hidrógeno, calefacción urbana)
  • Transporte (aéreo, ferroviario, marítimo, por carretera)
  • Infraestructuras bancarias y de los mercados financieros
  • Sector sanitario (hospitales, laboratorios, fabricantes de productos sanitarios, farmacias)
  • Agua potable y aguas residuales
  • Infraestructura digital (DNS, registros de TLD, proveedores de servicios en la nube, centros de datos, CDN)
  • Gestión de servicios de TIC (proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados)
  • Administración pública
  • Espacio

Entidades importantes (otros sectores críticos)

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación (dispositivos médicos, productos electrónicos, maquinaria, vehículos de motor)
  • Producción, transformación y distribución de alimentos
  • Producción y distribución de productos químicos
  • Proveedores digitales (mercados en línea, motores de búsqueda, plataformas de redes sociales)
  • Organizaciones de investigación

Límites de tamaño

Las organizaciones de estos sectores entran dentro del ámbito de aplicación si cumplen los siguientes criterios de tamaño:

  • Empresas medianas: más de 50 empleados o una facturación anual superior a 10 millones de euros
  • Grandes empresas: más de 250 empleados o una facturación anual superior a 50 millones de euros

Algunas entidades entran en el ámbito de aplicación independientemente de su tamaño, entre ellas los proveedores de DNS, los registros de TLD y (según las modificaciones propuestas para 2026) los proveedores de carteras de identidad digital europeas.

La diferencia en la supervisión

Las entidades esenciales están sujetas a una supervisión proactiva, lo que implica auditorías e inspecciones periódicas, junto con sanciones más severas. Las entidades importantes se someten a una supervisión reactiva: las investigaciones solo se llevan a cabo tras producirse incidentes o recibir denuncias de incumplimiento, y las sanciones son menos severas.

Lista de verificación de NIS2 (2026)

Utilice esta completa lista de verificación para comprobar que su organización cumple todos los requisitos de la NIS2. Va más allá de la simple formación en materia de concienciación y abarca todo el abanico de obligaciones de la NIS2 para ayudarle a prepararse para el cumplimiento normativo y las auditorías.

1. Gobernanza y responsabilidad de la dirección

  • El órgano de dirección ha aprobado formalmente las medidas de gestión de riesgos de ciberseguridad de la organización
  • Los miembros del consejo de administración y la alta dirección han completado la formación en ciberseguridad
  • Una persona o equipo designado se encarga del cumplimiento de la NIS2 (por ejemplo, el responsable de seguridad de la información o el responsable de cumplimiento)
  • La ciberseguridad es un tema permanente en el orden del día de las reuniones del consejo de administración y de la dirección
  • La dirección es consciente de su responsabilidad personal en caso de incumplimiento
  • Se ha destinado un presupuesto a medidas de ciberseguridad y a formación
  • La estructura de gobernanza de la ciberseguridad está documentada y se ha dado a conocer

2. Gestión de riesgos y medidas de seguridad

El artículo 21 de la NIS2 exige a las organizaciones que apliquen medidas adecuadas y proporcionadas. Su lista de verificación debe incluir:

  • Se ha llevado a cabo una evaluación formal de riesgos, que se revisa periódicamente
  • Las políticas de gestión de riesgos se documentan, aprueban y comunican
  • Se han implementado medidas técnicas: cortafuegos, sistemas de detección de intrusiones, cifrado y controles de acceso
  • Se han establecido medidas organizativas: políticas, procedimientos, funciones y responsabilidades
  • Existen planes de continuidad del negocio y de recuperación ante desastres, y se someten a pruebas
  • Los procedimientos de copia de seguridad y restauración están documentados y se comprueban periódicamente
  • La segmentación de la red se aplica cuando es necesario
  • La autenticación multifactorial (MFA) se aplica a los sistemas críticos y al acceso remoto
  • Se ha implantado un programa de gestión de vulnerabilidades (análisis periódicos, aplicación de parches)
  • Para el software desarrollado internamente se siguen prácticas de desarrollo seguro

3. Notificación y respuesta ante incidentes

  • Se ha documentado y probado un plan de respuesta ante incidentes
  • Se definen los criterios de clasificación de incidentes (qué constituye un «incidente significativo»)
  • Se ha establecido el procedimiento de alerta temprana de 24 horas y el personal sabe cómo activarlo
  • El procedimiento de notificación de incidentes en un plazo de 72 horas está documentado
  • Ya se han establecido la plantilla y el proceso para el informe final mensual
  • Los datos de contacto del CSIRT nacional (por ejemplo, el NCSC en los Países Bajos) están fácilmente disponibles
  • Se asignan las funciones de respuesta ante incidentes y se forma a los miembros del equipo
  • Se llevan a cabo análisis posteriores a los incidentes y se documentan las lecciones aprendidas
  • La respuesta ante incidentes se pone a prueba mediante simulacros al menos una vez al año

4. Seguridad de la cadena de suministro

  • Existe un inventario de proveedores y prestadores de servicios esenciales
  • Los requisitos de ciberseguridad se incluyen en los contratos con los proveedores
  • Se evalúa el nivel de ciberseguridad de los proveedores (diligencia debida)
  • Se identifican y mitigan los riesgos derivados de las dependencias de terceros
  • Existe un proceso para supervisar y revisar la seguridad de los proveedores a lo largo del tiempo
  • Las cláusulas de notificación de incidentes se incluyen en los contratos con los proveedores
  • Se supervisa y controla el acceso de los proveedores clave a sus sistemas

5. Formación en concienciación sobre seguridad

  • Todos los empleados reciben formación periódica en materia de seguridad
  • Los directivos y los miembros del consejo de administración reciben formación específica en ciberseguridad
  • La formación es un proceso continuo, no una actividad puntual (se recomienda realizarla mensualmente o semanalmente)
  • El contenido de la formación abarca el phishing, la ingeniería social, la seguridad de las contraseñas, el tratamiento de datos y la notificación de incidentes
  • La formación aborda las amenazas específicas del sector que afectan a su industria
  • Los nuevos empleados reciben formación en materia de sensibilización durante el proceso de incorporación
  • Los contratistas y el personal externo con acceso reciben la formación adecuada
  • Periódicamente se llevan a cabo simulacros de phishing para comprobar el nivel de preparación de los empleados
  • Se realiza un seguimiento de las tasas de finalización de la formación y de las puntuaciones obtenidas en las evaluaciones
  • El contenido de la formación se actualiza en función de la información más reciente sobre amenazas
  • Los certificados de finalización de la formación se conservan para las auditorías de cumplimiento

6. Registro y notificación

  • Su organización ha determinado si cumple los requisitos para ser considerada una entidad esencial o importante
  • Se ha completado el registro ante la autoridad de control competente (o está previsto hacerlo cuando entre en vigor la ley)
  • Los datos de contacto para la notificación de incidentes (CSIRT/autoridad supervisora) están actualizados
  • Los procedimientos de notificación están documentados y asignados a funciones específicas
  • Se mantiene la documentación sobre el alcance de NIS2 de su organización (qué sistemas, servicios y procesos están incluidos)

7. Políticas y documentación sobre seguridad de la información

  • La política de seguridad de la información está documentada y ha sido aprobada por la dirección
  • Se ha establecido una política de uso aceptable y se ha comunicado a todos los empleados
  • La política de control de acceso define quién tiene acceso a qué sistemas y datos
  • Los procedimientos de clasificación y tratamiento de datos están documentados
  • La política de contraseñas cumple con las mejores prácticas actuales (complejidad, autenticación multifactorial, prohibición de reutilización)
  • Se han implantado políticas de teletrabajo y de «trae tu propio dispositivo» (BYOD)
  • Las medidas de seguridad física de las instalaciones que albergan sistemas críticos están documentadas
  • Los controles criptográficos y las políticas de cifrado están documentados
  • Todas las políticas se revisan y actualizan al menos una vez al año

8. Seguimiento, auditoría y mejora continua

  • Se han implementado medidas de supervisión de la seguridad (gestión de registros, SIEM, alertas)
  • Se llevan a cabo auditorías o evaluaciones de seguridad periódicas (internas o externas)
  • Las pruebas de penetración se realizan al menos una vez al año
  • Se definen los indicadores clave de rendimiento (KPI) en materia de ciberseguridad y se comunican a la dirección
  • Los resultados de las auditorías y los incidentes dan lugar a medidas correctivas documentadas
  • El programa de ciberseguridad se revisa y mejora cada año
  • La información sobre amenazas se supervisa y se integra en las medidas de seguridad
  • El cumplimiento de los requisitos de la Directiva NIS 2 se revisa antes de cada ciclo de auditoría

El único requisito de NIS2 que puedes tachar de la lista esta semana

La formación en concienciación es donde la mayoría de los planes se estancan. Guardey la convierte en retos breves y lúdicos, con la generación de informes integrada. Pruébalo gratis durante 14 días, sin necesidad de facilitar datos de pago.

Comience su prueba gratuita

Certificación NIS2

Una pregunta habitual: ¿existe una certificación oficial de NIS2? La respuesta breve es no, todavía no.

A diferencia de la norma ISO 27001, que cuenta con un proceso de certificación bien establecido, la NIS2 es un requisito legal que se aplica a través de las autoridades nacionales de supervisión. No existe una única «certificación NIS2» que se pueda obtener.

Sin embargo, se han producido avances importantes.

Cumplimiento basado en la certificación (propuesto para 2026)

El paquete de medidas sobre ciberseguridad de la Comisión Europea de enero de 2026 propone vías de cumplimiento basadas en la certificación. Esto significa que las organizaciones que cuenten con determinadas certificaciones reconocidas podrán demostrar el cumplimiento de la Directiva NIS2, o al menos un cumplimiento parcial, a través de dichas certificaciones.

La norma ISO 27001 como base

La norma ISO 27001 está ampliamente reconocida como la norma vigente más cercana a los requisitos de la NIS2. Las organizaciones que cuenten con la certificación ISO 27001 comprobarán que ya cumplen muchos de los requisitos de la NIS2. Sin embargo, la NIS2 incluye requisitos adicionales que van más allá de la ISO 27001, entre los que se incluyen:

  • Plazos específicos para la notificación de incidentes (24 horas, 72 horas, 1 mes)
  • Responsabilidad civil de los directivos y formación obligatoria para los miembros del consejo de administración
  • Evaluaciones de seguridad de la cadena de suministro
  • Requisitos específicos del sector

Marcas de calidad NIS2 y evaluaciones de preparación

Varias organizaciones externas ofrecen evaluaciones de preparación para la NIS2, análisis de madurez o sellos de calidad. Aunque no se trata de certificaciones oficiales, pueden ayudar a las organizaciones a comparar su nivel de cumplimiento y a demostrar su compromiso ante las partes interesadas.

NIS2 y formación en concienciación sobre seguridad

La formación en materia de concienciación sobre seguridad es uno de los requisitos más explícitos de la Directiva NIS2. El artículo 20 establece que los órganos de dirección deben recibir formación y que las organizaciones deben ofrecer formación similar a sus empleados de forma periódica.

Por qué la NIS2 hace hincapié en la formación en materia de concienciación

Las cifras lo dejan claro. Según el informe «ENISA Threat Landscape 2025»:

  • El phishing representa el 60 % de todos los puntos de acceso a intrusiones
  • Más del 80 % de los ataques de ingeniería social utilizan actualmente contenido generado por IA
  • El 53,7 % de los incidentes cibernéticos tuvieron como objetivo organizaciones clasificadas como entidades esenciales en virtud de la Directiva NIS2
  • Solo la administración pública representó el 38,2 % de los ataques dirigidos

El factor humano sigue siendo la principal vulnerabilidad. Sin empleados capacitados que puedan detectar y notificar las amenazas, incluso las defensas técnicas más sofisticadas pueden ser eludidas.

Lo que espera la NIS2 de tu programa de formación en sensibilización

  • Formación periódica, no solo una vez al año. Se espera una formación continua y periódica.
  • Participación de la dirección. Los miembros del consejo de administración y los altos directivos deben participar.
  • Pertinencia. La formación debe abarcar las amenazas actuales y emergentes, incluidos los ataques basados en la inteligencia artificial.
  • Pruebas. Debes poder demostrar que la formación se está impartiendo y que es eficaz.
  • Ámbito de aplicación. Todos los empleados con acceso a los sistemas y a los datos, incluidos los contratistas.

Cómo te ayuda Guardey a cumplir los requisitos de sensibilización de la NIS2

Con Guardey, tus empleados se enfrentan a retos semanales de ciberseguridad que no llevan más de tres minutos completar. Los temas incluyen el reconocimiento del phishing, la seguridad de las contraseñas, el manejo de datos, la ingeniería social y mucho más, todo ello en consonancia con los requisitos de la NIS2.

El enfoque basado en la gamificación garantiza unos altos índices de participación y finalización. Además, a través del panel de informes de Guardey, podrá demostrar su cumplimiento ante los auditores con pruebas de:

  • Índices de finalización de la formación por empleado y departamento
  • Resultados de las evaluaciones y tendencias en los conocimientos
  • Resultados de la simulación de phishing y evolución a lo largo del tiempo
  • Temas tratados de acuerdo con los requisitos de NIS2

Errores habituales en el cumplimiento de la NIS2

Muchas organizaciones subestiman el esfuerzo que requiere el cumplimiento de la NIS2. Estos son los errores más comunes que observamos.

1. Esperar a que se apruebe la ley antes de actuar

La Directiva NIS2 está en vigor desde enero de 2023. Aunque la Ley de Ciberseguridad neerlandesa aún se encuentra en fase de tramitación legislativa, los requisitos son claros. Las organizaciones que esperen a que la ley entre oficialmente en vigor se verán obligadas a actuar con prisas para cumplirla. Empiece ya.

2. Considerar el NIS2 como un problema exclusivamente informático

La NIS2 exige expresamente la responsabilidad de la dirección. No se trata de algo que se pueda delegar por completo en el departamento de TI. Los miembros del consejo de administración deben recibir formación, deben aprobar las medidas de ciberseguridad y pueden ser considerados personalmente responsables.

3. Ignorar los requisitos de la cadena de suministro

Muchas organizaciones se centran en su propia seguridad, pero pasan por alto a sus proveedores. La NIS2 exige que se evalúen y gestionen los riesgos de ciberseguridad en toda la cadena de suministro.

4. Solo formación anual de sensibilización

Una sola sesión de formación al año no cumple con el requisito de formación «periódica». Los auditores esperan ver un compromiso constante: microaprendizajes mensuales, simulaciones periódicas de phishing y evaluaciones continuas.

5. No saber si la NIS2 se aplica a su caso

Sorprendentemente, muchas organizaciones ni siquiera han evaluado si entran dentro del ámbito de aplicación de la NIS2. No des por sentado que estás excluido. Comprueba con atención los criterios relativos al sector y al tamaño.

6. No se han realizado pruebas de respuesta ante incidentes

No basta con tener un plan de respuesta ante incidentes sobre el papel. La NIS2 exige que lo pongas a prueba. Realiza simulacros, simula incidentes y asegúrate de que tu equipo pueda cumplir el plazo de 24 horas para la notificación temprana.

7. Incumplimiento del requisito de inscripción

En virtud de la Ley de Seguridad Cibernética, las organizaciones deben registrarse ante la autoridad de control que les corresponda. Es un requisito fácil de pasar por alto, pero obligatorio.

NIS2, ISO 27001 y DORA: ¿en qué se diferencian?

Muchas organizaciones deben cumplir con múltiples marcos normativos. A continuación se compara la NIS2 con la norma ISO 27001 y la DORA (Ley de Resiliencia Operativa Digital).

Requisito NIS2 ISO 27001 DORA
Tipo Directiva de la UE (requisito legal) Norma internacional (de carácter voluntario) Reglamento de la UE (requisito legal)
Ámbito de aplicación 18 sectores, entidades esenciales e importantes Cualquier organización (por elección propia) Solo sector financiero
¿Es obligatoria la formación en sensibilización? Sí (artículo 20) Sí (cláusula 7.3, A.6.3) Sí (artículo 13)
¿Se requiere formación en gestión? Sí (obligatorio, a nivel del consejo de administración) Obligatorio (cláusula 5.1) Sí (obligatorio, a nivel del consejo de administración)
Plazo para la notificación de incidentes 24 horas / 72 horas / 1 mes No especificado (defínelo usted mismo) 4 horas / 72 horas (incidentes graves de TIC)
Seguridad de la cadena de suministro Obligatorio A.5.19-A.5.22 (controles de proveedores) Obligatorio (riesgo de terceros en materia de TIC)
Sanciones Hasta 10 millones de euros o el 2 % de la facturación Pérdida de la certificación Hasta 10 millones de euros o el 2 % de la facturación
¿Hay alguna certificación disponible? Todavía no (previsto para 2026) Sí (organismos de certificación acreditados) Todavía no
¿Responsabilidad personal de los directivos? No

La buena noticia es que las organizaciones con la certificación ISO 27001 cuentan con una gran ventaja a la hora de cumplir con la NIS2. El enfoque de gestión de riesgos, los requisitos de documentación y las obligaciones en materia de formación y sensibilización coinciden en gran medida.

Preguntas frecuentes sobre la Directiva NIS2

¿Qué significa NIS2?

NIS2 son las siglas de la Directiva sobre seguridad de las redes y la información 2. También se suele escribir como NIS-2 o NIS 2.0. Se trata de la segunda versión de la directiva de ciberseguridad de la UE, que sustituye a la directiva NIS original de 2016.

¿Cuándo entrará en vigor la NIS2 en los Países Bajos?

Se prevé que la transposición neerlandesa de la Directiva NIS2, la Cyberbeveiligingswet, entre en vigor en el segundo trimestre de 2026. El proyecto de ley se presentó ante la Tweede Kamer el 4 de junio de 2025 y actualmente se encuentra en trámite parlamentario.

¿Es obligatoria la formación en materia de concienciación sobre seguridad según la Directiva NIS 2?

Sí. El artículo 20 de la Directiva NIS2 exige explícitamente que los órganos de dirección reciban formación en ciberseguridad y que ofrezcan formación similar a los empleados de forma periódica. Esto convierte la formación en materia de sensibilización en una obligación legal, no en algo opcional.

¿Se aplica la NIS2 a las pymes?

Sí, puede. Quedan incluidas las organizaciones con 50 o más empleados o con una facturación anual de 10 millones de euros o más que operen en uno de los 18 sectores contemplados. Algunas entidades se incluyen independientemente de su tamaño (por ejemplo, los proveedores de DNS o los registros de TLD).

¿Cuáles son las sanciones por incumplir la NIS2?

Las entidades de importancia crítica se enfrentan a multas de hasta 10 millones de euros o el 2 % de su volumen de negocios anual a nivel mundial. Las entidades importantes se enfrentan a multas de hasta 7 millones de euros o el 1,4 % de su volumen de negocios a nivel mundial. Además, los directivos pueden ser considerados responsables a título personal.

¿Puedo obtener la certificación NIS2?

Por el momento, no. No existe una certificación oficial de la Directiva NIS 2. Sin embargo, el paquete de medidas de ciberseguridad de la Comisión Europea para 2026 propone vías de cumplimiento basadas en la certificación. La certificación ISO 27001 cubre muchos de los requisitos de la Directiva NIS 2 y es reconocida por los auditores como una base sólida.

¿En qué se diferencia la NIS2 del RGPD?

El RGPD se centra en la protección de los datos personales. La Directiva NIS2 se centra, en términos más generales, en la seguridad de las redes y los sistemas de información. Ambas normativas son complementarias: las medidas de la Directiva NIS2 contribuyen a proteger los sistemas que tratan datos personales, lo que a su vez favorece el cumplimiento del RGPD.

¿Cuál es la relación entre la NIS2 y la Ley de Seguridad Cibernética?

La Ley de Seguridad Cibernética es la ley nacional neerlandesa que transpone la Directiva NIS2 de la UE. Esta ley traduce los requisitos de la directiva en legislación neerlandesa de obligado cumplimiento, sustituyendo a la anterior Wbni (Ley de Seguridad de los Sistemas de Redes e Información).

Empieza hoy mismo a prepararte para el cumplimiento de la NIS2

La NIS2 no es una preocupación para el futuro. La directiva ya está en vigor, los requisitos son claros y su aplicación está a punto de comenzar. Las organizaciones que empiecen a prepararse ahora estarán en la mejor posición cuando los auditores llamen a su puerta.

Con la formación en concienciación sobre seguridad de Guardey, sus empleados reciben cada semana microaprendizajes de 3 minutos sobre phishing, gestión de datos, notificación de incidentes y mucho más. Todo ello se ajusta a los requisitos de la NIS2 y cuenta con informes completos para las auditorías de cumplimiento.

Cumple con los requisitos de formación de la NIS2 y demuéstralo

Guardey forma a cada empleado en tan solo unos minutos a la semana y lo documenta automáticamente, para que siempre tengas la documentación a mano. Descúbrelo en directo en una demostración.

Programe una demostración
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada