Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento16 min de lectura

NIS2: obligaciones de verificación documental para entidades críticas 2026

Guía NIS2 2026: verificación de proveedores, documentación de personal y notificación de incidentes. Obligaciones, sanciones e implementación para entidades esenciales en España.

El equipo CheckFile
El equipo CheckFile·
Illustration for NIS2: obligaciones de verificación documental para entidades críticas 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

La transposición de la Directiva NIS2 en los Estados miembros ha convertido la verificación documental en un eje central del cumplimiento de ciberseguridad. Para las entidades esenciales e importantes en España, la gestión de la documentación de seguridad ya no es una cuestión técnica periférica: afecta directamente a la responsabilidad de los órganos de dirección y puede derivar en sanciones de hasta diez millones de euros.

¿Qué es la directiva NIS2 y qué entidades están obligadas en España?

La Directiva (UE) 2022/2555, conocida como NIS2, es el marco europeo de ciberseguridad para redes y sistemas de información que derogó y sustituyó a la Directiva NIS1 con efectos desde el 18 de octubre de 2024. En España, la normativa preexistente —el Real Decreto-ley 12/2018 y el Real Decreto 43/2021— transpuso NIS1 y estableció las bases del esquema de seguridad de operadores de servicios esenciales. La transposición específica de NIS2 está en curso, correspondiendo a la Secretaría de Estado de Digitalización e Inteligencia Artificial la coordinación del proceso.

NIS2 amplía sustancialmente el ámbito de aplicación respecto a su predecesora. Distingue dos categorías:

  • Entidades esenciales: operadores en sectores de alta criticidad como energía (supervisados por la CNMC), banca (Banco de España / CNMV), infraestructuras de mercados financieros, sanidad (Sistema Nacional de Salud), agua potable, aguas residuales, infraestructuras digitales, gestión de servicios de TIC, espacio y administración pública.
  • Entidades importantes: sectores críticos adicionales como servicios postales, gestión de residuos, fabricación de productos críticos, química, alimentación y proveedores de servicios digitales de menor escala.

El umbral general de aplicación son organizaciones con más de 50 empleados o más de 10 millones de euros de facturación anual. Con independencia del tamaño, determinadas entidades quedan incluidas automáticamente por razón de su actividad: proveedores de redes públicas de comunicaciones electrónicas, registros de nombres de dominio de primer nivel o prestadores de servicios de confianza cualificados.

En España, la autoridad nacional competente en materia de ciberseguridad es el CCN-CERT (Centro Criptológico Nacional), adscrito al Centro Nacional de Inteligencia. El INCIBE-CERT, gestionado por el Instituto Nacional de Ciberseguridad, se ocupa de los incidentes para operadores privados y ciudadanos. Ambos organismos son las referencias institucionales para la notificación y gestión de incidentes bajo NIS2.

Artículo 21: requisitos documentales de gestión de riesgos

El artículo 21 de NIS2 enumera las medidas de gestión de riesgos de ciberseguridad que toda entidad esencial e importante debe adoptar. La obligación no se agota en implementar controles técnicos: exige documentar su existencia, su funcionamiento y su revisión periódica.

Las áreas que requieren documentación específica bajo el artículo 21(2) son:

  • Políticas de análisis de riesgos y seguridad de los sistemas de información [art. 21(2)(a)]: la entidad debe mantener documentación actualizada de su metodología de evaluación de riesgos y los resultados de sus análisis.
  • Gestión de incidentes [art. 21(2)(b)]: procedimientos escritos para la detección, clasificación, notificación y respuesta a incidentes, con registros de cada evento gestionado.
  • Continuidad de negocio y gestión de crisis [art. 21(2)(c)]: planes documentados de recuperación, copias de seguridad y gestión de crisis sometidos a revisión periódica.
  • Seguridad de la cadena de suministro [art. 21(2)(d)]: documentación sobre la seguridad de los proveedores directos e intermediarios de servicios de TIC.
  • Seguridad en la adquisición, desarrollo y mantenimiento de sistemas [art. 21(2)(e)]: especificaciones documentadas y registros de auditoría de cambios.
  • Evaluación de la eficacia de las medidas de gestión de riesgos [art. 21(2)(f)]: evidencias de pruebas, auditorías y revisiones de los controles implementados.
  • Higiene informática básica y formación [art. 21(2)(g)]: registros de formación del personal con acreditación de las competencias adquiridas.
  • Cifrado y criptografía [art. 21(2)(h)]: políticas documentadas sobre el uso de cifrado y gestión de claves.
  • Seguridad de los recursos humanos y control de accesos [art. 21(2)(i)]: procedimientos documentados de verificación de identidad y gestión de credenciales.
  • Autenticación multifactor y comunicaciones seguras [art. 21(2)(j)]: políticas de acceso y registros de su aplicación.

El artículo 21 convierte la documentación en evidencia jurídica: sin registros verificables de cada control, la entidad no puede demostrar su cumplimiento ante el CCN-CERT ni ante los tribunales en caso de sanción. El Esquema Nacional de Seguridad (ENS) proporciona el marco de referencia español con el que los controles NIS2 deben ser coherentes para las entidades del sector público.

Seguridad de la cadena de suministro: verificar la documentación de proveedores

El artículo 21(2)(d) de NIS2 es uno de los que mayor impacto operativo tiene para las entidades afectadas. Obliga a establecer medidas para gestionar los riesgos de ciberseguridad en la cadena de suministro, lo que incluye la verificación de la documentación de seguridad de los proveedores directos de servicios de TIC.

En la práctica, esto significa que una entidad esencial no puede limitarse a incluir cláusulas de seguridad en sus contratos con proveedores: debe obtener, revisar y archivar evidencias documentales de que esos proveedores cumplen con los requisitos de seguridad acordados. Los documentos típicos que deben verificarse en este contexto incluyen:

  • Certificaciones de seguridad vigentes (ISO/IEC 27001, SOC 2 Type II, ENS en sus distintos niveles).
  • Políticas de seguridad de la información del proveedor.
  • Informes de auditoría de terceros o pen-test recientes.
  • Registros de incidentes y comunicaciones de notificación.
  • Documentación de subcontratistas relevantes en la cadena.

La gestión documental de proveedores bajo NIS2 se solapa con los marcos de gestión de riesgos de terceros (TPRM), que exigen un proceso estructurado de diligencia debida continua, no solo en el momento de la contratación. La revisión periódica de la documentación de proveedores —al menos anual para proveedores críticos— debe quedar acreditada mediante registros fechados y firmados.

Para sectores como banca o energía, donde los reguladores sectoriales (Banco de España, CNMC) realizan sus propias inspecciones, la documentación de la cadena de suministro puede ser requerida con plazos muy cortos, lo que hace inviable un proceso manual. La automatización de la recogida y verificación documental reduce ese riesgo operativo de forma sustancial.

Puede profundizar en cómo estructurar este proceso en nuestra guía para construir un programa de cumplimiento documental.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Documentación de personal acreditado y control de accesos

El artículo 21(2)(i) de NIS2 exige que las entidades cuenten con procedimientos documentados de seguridad de recursos humanos que incluyan la verificación de antecedentes y la gestión del acceso a sistemas de información sensibles. Esta obligación tiene dos dimensiones documentales diferenciadas.

Verificación de identidad y antecedentes del personal: antes de conceder acceso a sistemas críticos, la entidad debe acreditar que ha verificado la identidad del empleado o colaborador y, en función del nivel de sensibilidad del puesto, completado una comprobación de antecedentes conforme a la legislación aplicable. Esta acreditación debe archivarse y estar disponible para inspección. La verificación debe extenderse a contratistas, consultores externos y cualquier persona con acceso privilegiado a infraestructuras críticas.

Gestión documental del control de accesos: los procedimientos de concesión, modificación y revocación de accesos deben estar formalizados por escrito. Cada cambio en los privilegios de acceso debe quedar registrado con fecha, responsable y justificación. La documentación de accesos forma parte de la evidencia que las autoridades competentes pueden requerir tras un incidente.

En sectores regulados como la banca, estas obligaciones se articulan con los requisitos del Banco de España y del Mecanismo Único de Supervisión (MUS) sobre la idoneidad del personal con funciones críticas. La plataforma CheckFile para verificación KYC bancaria integra la verificación de identidad con el archivo documental requerido en estos contextos.

La falta de documentación actualizada de accesos es uno de los hallazgos más frecuentes en las inspecciones de ciberseguridad: cuando un incidente involucra a una cuenta con privilegios excesivos, la ausencia de registros de revisión de accesos agrava directamente la responsabilidad de la entidad.

Notificación de incidentes: plazos y formato (artículo 23)

El artículo 23 de NIS2 establece un régimen de notificación de incidentes significativos que exige una gestión documental precisa y ajustada a plazos estrictos. Un incidente es significativo cuando causa o puede causar perturbaciones operativas graves o pérdidas financieras para la entidad, o cuando afecta a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables.

El esquema de notificación es de tres fases:

  1. Alerta temprana — 24 horas: desde el momento en que la entidad tiene conocimiento del incidente, debe enviar al CCN-CERT (para entidades públicas) o al INCIBE-CERT (para entidades privadas) una alerta inicial que indique si el incidente parece tener origen malicioso o podría tener impacto transfronterizo. No se exige en esta fase un análisis exhaustivo, pero sí consta por escrito.

  2. Notificación del incidente — 72 horas: informe más detallado con una evaluación inicial de la gravedad, el impacto observado y los indicadores de compromiso disponibles. Este documento constituye la base del expediente administrativo del incidente.

  3. Informe final — 1 mes: análisis completo del incidente, causa raíz identificada, impacto definitivo, medidas correctoras adoptadas y lecciones aprendidas. Este informe cierra el expediente y puede ser utilizado en procedimientos sancionadores si la gestión del incidente ha sido deficiente.

La documentación de cada fase debe conservarse como mínimo durante el plazo que establezca la normativa nacional de transposición, previsiblemente alineado con los cinco años del ENS para sistemas de categoría alta. La trazabilidad documental entre las tres fases —coherencia de los hechos narrados, fechas y firmantes— es un elemento crítico en caso de litigio o inspección.

Puede consultar los detalles del proceso de notificación al CCN-CERT en la guía de gestión de ciberincidentes publicada por el organismo. El INCIBE también mantiene documentación actualizada sobre el procedimiento en su portal especializado.

NIS1 vs NIS2: comparativa de requisitos documentales

La ampliación del ámbito de aplicación y la intensificación de los requisitos documentales son los cambios más significativos de NIS2 respecto a su predecesora. La siguiente tabla resume las diferencias principales relevantes para los equipos de cumplimiento en España:

Aspecto NIS1 (RDL 12/2018 / RD 43/2021) NIS2 (Directiva 2022/2555)
Ámbito de aplicación Operadores de servicios esenciales designados por autoridad competente Todas las entidades que superen los umbrales de tamaño en sectores listados (automatismo)
Número estimado de entidades afectadas en España Centenares Miles
Documentación de proveedores Recomendada, sin obligación explícita de verificación Obligatoria (art. 21(2)(d)); verificación documentada de proveedores directos
Responsabilidad de la dirección Indirecta (responsabilidad organizativa) Directa y personal (art. 20); los órganos de dirección responden personalmente
Plazos de notificación de incidentes Sin plazos europeos armonizados 24h (alerta), 72h (notificación), 1 mes (informe final)
Sanciones máximas Según derecho administrativo nacional Hasta 10 M€ o 2% facturación mundial (esenciales); 7 M€ o 1,4% (importantes)
Formación y higiene informática No regulada como obligación documental Obligación de documentar formación del personal (art. 21(2)(g))
Referencia española de seguridad ENS aplicable solo al sector público ENS como referencia coherente también para privados bajo NIS2

La estrategia europea de ciberseguridad de la Comisión Europea sitúa NIS2 en el centro del ecosistema regulatorio digital, junto al Reglamento DORA para el sector financiero y la Ley de Ciberresiliencia para productos conectados.

Sanciones y responsabilidad de los órganos de dirección

NIS2 introduce un régimen sancionador que supera con creces al previsto en NIS1 y que incluye una novedad institucional de gran calado: la responsabilidad personal de los órganos de dirección.

El artículo 20 de la directiva establece que los Estados miembros deben garantizar que los órganos de dirección de las entidades esenciales e importantes sean personalmente responsables del incumplimiento de las obligaciones de gestión de riesgos de ciberseguridad. Esta responsabilidad incluye la posibilidad de que los directivos sean inhabilitados temporalmente para ejercer funciones de dirección en caso de infracciones graves reiteradas.

El régimen de sanciones económicas se estructura en dos niveles:

  • Entidades esenciales: multas de hasta 10.000.000 euros o el 2% del volumen de negocio anual mundial total de la empresa, si esta cantidad fuera mayor.
  • Entidades importantes: multas de hasta 7.000.000 euros o el 1,4% del volumen de negocio anual mundial total, si esta cantidad fuera mayor.

Estas sanciones son máximos; la cuantía efectiva depende de factores como la intencionalidad, la reiteración, el daño causado y las medidas adoptadas para mitigar el impacto. La existencia de documentación actualizada y verificable de los controles implementados es el principal argumento de defensa ante un procedimiento sancionador: demuestra que la entidad actuó con la diligencia debida aunque el incidente se produjera.

En España, la Agencia Española de Protección de Datos (AEPD) y el CCN-CERT son los organismos con capacidad para iniciar procedimientos sancionadores en sus respectivos ámbitos. La coordinación entre la dimensión de ciberseguridad (NIS2) y la de protección de datos (RGPD) es relevante porque un mismo incidente puede generar obligaciones de notificación paralelas ante autoridades distintas.

Nuestra guía completa de conformidad documental desarrolla el marco de obligaciones cruzadas RGPD-NIS2 y proporciona una referencia consolidada para los equipos legales y de cumplimiento.

Cómo CheckFile automatiza el cumplimiento documental NIS2

La carga documental derivada de NIS2 —verificación de proveedores, acreditación de personal, registros de formación, expedientes de incidentes— es difícilmente sostenible con procesos manuales para organizaciones de cierto tamaño. Las entidades esenciales en sectores como banca, energía o sanidad pueden gestionar cientos o miles de documentos de seguridad al año.

CheckFile es una plataforma de verificación documental que permite automatizar los procesos de comprobación, archivo y trazabilidad que exige NIS2. La plataforma soporta más de 3.200 tipos de documentos en 32 jurisdicciones, lo que permite gestionar tanto la documentación de proveedores extranjeros como la emitida por organismos españoles como el CCN-CERT, la CNMC o la AEPD.

Las funcionalidades específicamente relevantes para el cumplimiento NIS2 incluyen:

  • Verificación automatizada de certificaciones de proveedores: detección de documentos caducados, modificados o incoherentes con los parámetros declarados.
  • Archivo con cadena de custodia digital: cada documento verificado genera un registro inmutable con fecha, versión y resultado de la verificación, aportando la trazabilidad exigida por el artículo 21.
  • Flujos de renovación y alerta: cuando una certificación de un proveedor crítico está próxima a caducar, el sistema genera alertas automáticas, evitando lagunas de cobertura documental.
  • Integración API para sistemas de gestión de incidentes: los registros de los expedientes de incidentes pueden alimentarse directamente desde los sistemas de ticketing o SIEM de la entidad.

Puede consultar los detalles técnicos de nuestra plataforma en la sección de seguridad y arquitectura y revisar las opciones de licencia disponibles en nuestra página de precios.

Una entidad que no puede demostrar documentalmente sus controles de seguridad se enfrenta a sanciones, inhabilitación de directivos y pérdida de contratos con operadores del sector público: la inversión en automatización documental tiene un retorno medible en reducción de riesgo regulatorio.

Aviso legal: este artículo tiene carácter informativo y no constituye asesoramiento jurídico ni de cumplimiento normativo. La Directiva NIS2 (2022/2555) está en proceso de transposición en España; las obligaciones específicas pueden variar en función de la legislación nacional que se apruebe. Las entidades afectadas deben consultar con asesores jurídicos especializados para determinar sus obligaciones concretas.

Preguntas frecuentes

¿Cuándo entra en vigor NIS2 en España y qué plazo tiene la transposición?

La Directiva NIS2 debía haber sido transpuesta por los Estados miembros antes del 17 de octubre de 2024. España tenía como normativa previa el Real Decreto-ley 12/2018 y el Real Decreto 43/2021, que transpusieron NIS1. La transposición específica de NIS2 está en proceso de elaboración bajo coordinación de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Las entidades afectadas deben prepararse para el cumplimiento con independencia del estado formal de la transposición, dado que la directiva produce efectos directos en determinadas circunstancias y la Comisión Europea puede iniciar procedimientos de infracción contra España.

¿Qué documentos concretos debe verificar una entidad esencial sobre sus proveedores de TIC?

El artículo 21(2)(d) de NIS2 no establece un listado cerrado de documentos. La práctica estándar incluye la verificación de: (1) certificaciones de seguridad vigentes como ISO/IEC 27001 o ENS, con comprobación de que no han caducado ni sido suspendidas por el organismo certificador; (2) políticas de seguridad de la información del proveedor, actualizadas en el último año; (3) informes de auditoría o pen-test recientes realizados por terceros independientes; y (4) declaraciones sobre subcontratistas relevantes que tengan acceso a los sistemas de la entidad contratante. La frecuencia mínima de revisión recomendada para proveedores críticos es anual, con verificaciones adicionales tras cualquier incidente significativo en el proveedor.

¿Quién es responsable personalmente en caso de incumplimiento de NIS2?

El artículo 20 de NIS2 responsabiliza directamente a los órganos de dirección de la entidad. En España, esto incluye al consejo de administración, al comité ejecutivo y a los directivos con funciones específicas de supervisión de ciberseguridad (típicamente el CISO cuando tiene rango directivo). La responsabilidad personal puede materializarse en inhabilitación temporal para ejercer cargos directivos en entidades del sector afectado. La acreditación de que la dirección aprobó, supervisó y financió adecuadamente los programas de seguridad —mediante actas de consejo, informes de seguimiento y aprobaciones documentadas de presupuesto— es la principal línea de defensa individual.

¿Cuál es la diferencia entre CCN-CERT e INCIBE-CERT en el contexto de NIS2?

Ambos organismos actúan como CSIRT (Equipos de Respuesta ante Incidentes de Seguridad Informática) nacionales bajo NIS2, pero con ámbitos distintos. El CCN-CERT, adscrito al Centro Nacional de Inteligencia, es competente para las administraciones públicas, las entidades del sector público y los operadores de infraestructuras críticas de los sectores con mayor sensibilidad de seguridad nacional. El INCIBE-CERT gestiona los incidentes de las empresas privadas, pymes, ciudadanos y sectores privados no asignados al CCN-CERT. En caso de incidente, la entidad debe notificar al organismo que le corresponde según su naturaleza. Hay sectores donde la competencia puede ser compartida o coordinada entre ambos organismos.

¿Cómo se relaciona NIS2 con el RGPD en materia de notificación de incidentes?

Cuando un incidente de ciberseguridad implica una violación de datos personales, pueden activarse simultáneamente las obligaciones de notificación del RGPD (artículo 33, plazo de 72 horas a la AEPD) y las de NIS2 (artículo 23, plazo de 24 horas al CSIRT para la alerta temprana). Los plazos y destinatarios son distintos, pero los hechos narrados deben ser coherentes. La Comisión Europea ha indicado que la coordinación entre autoridades de ciberseguridad y de protección de datos debe evitar la doble carga administrativa, si bien en la práctica las entidades deben gestionar dos expedientes paralelos con sus respectivos documentos hasta que la normativa nacional de transposición aclare los mecanismos de coordinación.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento8 min

Travel Rule GAFI para VASPs cripto: cumplimiento KYC 2026

Travel Rule del GAFI (Recomendación 16) y Reglamento (UE) 2023/1113: obligaciones KYC de los proveedores de servicios cripto, documentación, umbrales y carteras no custodiadas en 2026.

Leer
Cumplimiento8 min

Países de alto riesgo GAFI 2026: obligaciones de diligencia reforzada

Listas negra y gris del GAFI actualizadas en febrero 2026: qué países están incluidos, qué obligaciones de diligencia debida reforzada aplican y cómo deben adaptarse los sujetos obligados españoles.

Leer
Cumplimiento14 min

CARF y DAC8: cumplimiento cripto y declaraciones 2026

CARF y DAC8 obligan a plataformas cripto a declarar datos KYC a la AEAT desde 2026. Guía completa para PSCA: entidades, plazos, sanciones y automatización.

Leer