La Directiva (UE) 2022/2555 (NIS2) sustituye a NIS1 y eleva el listón de ciberseguridad para entidades esenciales e importantes en la UE. España transpuso parcialmente con plazo de aplicación desde octubre de 2024. Si la IA forma parte de un servicio esencial o importante, las obligaciones de la entidad cubren el sistema de IA igual que cualquier otro componente TIC [1].
NIS2 amplía sustancialmente el alcance respecto a NIS1. Cubre dieciocho sectores agrupados en entidades esenciales (energía, transporte, banca, infraestructuras de mercados financieros, salud, agua, infraestructuras digitales, administración pública, espacio) y entidades importantes (servicios postales, gestión de residuos, fabricación, alimentación, productos químicos, proveedores digitales y otros).
Si la IA forma parte de un proceso operativo de la entidad, hereda todas las obligaciones. Esto incluye sistemas de detección de anomalías, modelos de scoring crediticio, asistentes conversacionales que procesan datos de clientes y plataformas de gestión predictiva de mantenimiento. La directiva no distingue entre "sistemas IA" y "no IA" en sus obligaciones.
El artículo 21 enumera diez familias de medidas mínimas. Política de seguridad de la información. Gestión de incidentes. Continuidad de negocio y recuperación. Seguridad de la cadena de suministro. Seguridad en adquisición, desarrollo y mantenimiento. Políticas y procedimientos para evaluar la eficacia. Higiene cibernética básica y formación. Criptografía y cifrado. Seguridad de recursos humanos, control de acceso y gestión de activos. Autenticación multifactor y comunicaciones seguras.
Para sistemas de IA, la traducción operativa cubre cinco bloques. Modelo de amenazas con vectores específicos (inyección de prompt, exfiltración por modelo). Procedimientos de despliegue con puerta de seguridad. Monitorización integrada con SIEM. Gestión de subprocesadores con seguridad de la cadena de suministro. Pruebas adversarias trimestrales como parte de la evaluación de eficacia.
NIS2 fija plazos cortos. Aviso temprano al CSIRT nacional o autoridad competente en 24 horas desde el conocimiento de un incidente significativo. Notificación inicial detallada en 72 horas. Informe de progreso a petición. Informe final en un mes. Para España, el INCIBE-CERT actúa como CSIRT de referencia para sectores privados; el CCN-CERT para administración pública.
Un incidente "significativo" es el que ha causado o puede causar perturbación operativa grave, pérdidas financieras significativas o daño material a otras personas. Para sistemas de IA, esto incluye degradación severa de calidad que afecte a decisiones críticas, fugas de datos por el modelo y caídas que paralicen un servicio esencial.
Las autoridades competentes (en España, autoridades sectoriales coordinadas por el INCIBE) realizan auditorías y pueden imponer medidas correctivas. Las multas alcanzan los 10 millones EUR o el 2% de la facturación mundial para entidades esenciales, y 7 millones EUR o 1,4% para entidades importantes. La responsabilidad personal del órgano de dirección está expresamente reconocida en el artículo 20.
La práctica de cumplimiento integra NIS2 con DORA cuando la entidad es financiera (DORA prevalece como lex specialis para varios aspectos), con la Ley de IA cuando el sistema es de alto riesgo, y con el RGPD cuando hay datos personales. Una sola política de seguridad bien construida cubre las tres.
Ready to scope your project? Submit a short brief and we reply within one business day.
Cuéntanos qué quieres construir. Respondemos en un día hábil.