El contexto regulatorio: España ante la presión europea

La Directiva NIS2 (Directiva UE 2022/2555) se adoptó formalmente en diciembre de 2022, entró en vigor en enero de 2023 y exigía a los Estados miembros su transposición antes del 17 de octubre de 2024. España ha incumplido ese plazo: en noviembre de 2024, la Comisión Europea inició procedimientos de infracción contra España y otros 22 países por no haber completado la transposición, lo que obligó al Gobierno a aprobar en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que se encuentra actualmente en tramitación parlamentaria.

En este escenario de incertidumbre jurídica, las organizaciones españolas afectadas —entidades esenciales e importantes de sectores críticos— necesitan actuar ya. Y la respuesta más sólida, eficiente y reconocida institucionalmente está en su propio marco normativo nacional: el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022.

¿Por qué el ENS es la mejor palanca para cumplir NIS2?

1. Reconocimiento explícito en el propio Anteproyecto de Ley

Este es el argumento más poderoso y definitivo: conforme al Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el Perfil de Cumplimiento Específico del ENS se configura como un mecanismo válido para acreditar el cumplimiento de las medidas de gestión de riesgos de ciberseguridad exigidas por NIS2. Para las entidades esenciales e importantes sujetas al RD 311/2022, la aplicación de dicho perfil será suficiente para demostrar la adecuación a los requisitos de ciberseguridad de la futura ley de transposición. Esta posibilidad se extiende incluso a entidades no obligadas por el ENS, siempre que opten voluntariamente por certificarse en la categoría alta.

En términos prácticos: cumplir el ENS equivale a cumplir NIS2 en España.

2. La guía CCN-STIC 892: el puente técnico oficial entre ENS y NIS2

El Centro Criptológico Nacional (CCN) no ha dejado nada al azar. El CCN ha publicado la guía CCN-STIC 892 «Perfil de Cumplimiento Específico para organizaciones en el ámbito de aplicación de la Directiva NIS2» (PCE-NIS2), cuyo objeto es mostrar el perfil desarrollado para dar respuesta a las disposiciones de la directiva europea por parte de las organizaciones en el ámbito de aplicación del ENS. El documento incluye en su Anexo I el mapeo completo entre la Directiva NIS2 y el ENS.

Las 10 medidas generales para la gestión de riesgos del artículo 21 de la Directiva NIS2 se mapean en esta guía con las 73 medidas del ENS, estableciendo una Declaración de Aplicabilidad diferenciada para entidades esenciales y para entidades importantes.

3. Cobertura técnica directa del artículo 21 de NIS2

El artículo 21 es el corazón técnico de NIS2: obliga a implantar medidas proporcionales al riesgo en diez áreas clave. El ENS las cubre sistemáticamente:

4. Un marco certificable con auditoría periódica

Una de las diferencias fundamentales del ENS frente a otros enfoques es que es norma jurídica certificable. Las entidades de certificación acreditadas por ENAC y los órganos de auditoría técnica de la Administración certifican el cumplimiento del perfil. La auditoría interna se realiza anualmente y la certificación de conformidad se renueva cada dos años. Esto proporciona evidencia documental sólida frente a cualquier requerimiento regulatorio, tanto nacional como europeo.

5. Crecimiento exponencial: España lidera en implantación

Los datos avalan la madurez del sistema. A comienzos de 2026, hay ya un total de 3.455 organizaciones certificadas en España bajo el RD 311/2022. Solo durante 2025 se certificaron 1.119 nuevas organizaciones, un hito histórico en la adopción del esquema. Este ecosistema de organizaciones certificadas dispone ya de la infraestructura de seguridad, los procedimientos y la cultura organizativa necesarios para acreditar el cumplimiento NIS2 con un coste marginal adicional mínimo.

¿A qué organizaciones afecta NIS2 en España?

La Directiva NIS2 considera entidades esenciales a: la Administración pública central, las grandes empresas en sectores de alta criticidad, los prestadores cualificados de servicios de confianza, los registros de nombres de dominio de primer nivel y los proveedores de servicios DNS, así como las entidades identificadas como críticas conforme a la Directiva CER (UE) 2022/2557.

Los sectores de alta criticidad (Anexo I) incluyen: energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, Administración pública e industria espacial. Los otros sectores críticos (Anexo II) amplían el alcance a: servicios postales, gestión de residuos, fabricación, producción y distribución de productos químicos, alimentación, industria manufacturera, proveedores digitales e investigación.

El camino práctico: cómo usar el ENS para cumplir NIS2

Paso 1 – Diagnóstico de alcance: Determinar si la organización es entidad esencial o importante conforme a los Anexos I y II de la Directiva.

Paso 2 – Análisis de riesgos: Aplicar la metodología MAGERIT o equivalente conforme al marco.org del ENS, que satisface directamente el requisito de gestión de riesgos del art. 21 NIS2.

Paso 3 – Categorización ENS: Determinar la categoría del sistema (Básica, Media o Alta) según el impacto en las dimensiones ACID (Autenticidad, Confidencialidad, Integridad, Disponibilidad, Trazabilidad). Para entidades esenciales NIS2, la referencia es categoría Alta.

Paso 4 – Aplicación del PCE-NIS2 (CCN-STIC 892): Usar la Declaración de Aplicabilidad del perfil específico para mapear medidas ENS con los requisitos del art. 21 NIS2.

Paso 5 – Certificación: Obtener la Certificación de Conformidad ENS a través de una Entidad de Certificación acreditada por ENAC o un Órgano de Auditoría Técnica reconocido por el CCN.

Paso 6 – Notificación de incidentes: Integrar los procedimientos de notificación con el CCN-CERT, que ejerce como CSIRT de referencia para el sector público y las entidades bajo su ámbito.

Ventaja estratégica: un marco, dos cumplimientos

La integración del ENS y NIS2 en un enfoque estratégico unificado elimina la duplicidad de auditorías, reduce costes de mantenimiento y garantiza el cumplimiento legal simultáneo. Esta consolidación metodológica permite a las entidades satisfacer las demandas de distintos auditores gubernamentales utilizando exactamente el mismo conjunto de evidencias documentales y controles.

Adicionalmente, el ENS ya incorpora la alineación con ISO/IEC 27001:2022: el PCE-NIS2 permite compatibilizar NIS2 con dos certificaciones simultáneas —ENS e ISO 27001— contrastando las medidas de seguridad del primero con los controles de la segunda. Esto significa que una organización que trabaje con estas tres referencias opera en el nivel máximo de madurez regulatoria exigible en Europa.

Conclusión

España tiene en el ENS (RD 311/2022) un activo regulatorio de primer nivel que ningún otro Estado miembro de la UE posee de forma equivalente. Es la herramienta más completa, técnicamente rigurosa y jurídicamente reconocida para que las organizaciones españolas —públicas y privadas— acrediten su cumplimiento con la Directiva NIS2. No aprovecharla sería perder una ventaja competitiva única y asumir innecesariamente los riesgos de la incertidumbre normativa.

🔑 Referencias normativas: RD 311/2022 · Directiva (UE) 2022/2555 · CCN-STIC 892 (PCE-NIS2) · Anteproyecto Ley Coordinación y Gobernanza de la Ciberseguridad (enero 2025) · Reglamento de Ejecución (UE) 2024/2690.

Diez nuevos vídeos de concienciación accesibles a todos los usuarios llegan al portal de formación del Centro Criptológico Nacional justo cuando la obligación de formación en ciberseguridad se convierte en requisito legal bajo NIS2.

El Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI) y máxima autoridad técnica en materia de ciberseguridad para el sector público español, acaba de ampliar la plataforma ÁNGELES con diez nuevos vídeos de concienciación disponibles para todos los usuarios, sin necesidad de registro. La actualización se publicó el 8 de abril de 2026 en el portal del CCN-CERT.

La noticia, aparentemente técnica, cobra una dimensión estratégica de primer orden en el contexto normativo actual: tanto el Esquema Nacional de Seguridad (ENS) como la Directiva NIS2 establecen la formación y concienciación del personal como un requisito obligatorio, no una recomendación.

«La formación es la medida de seguridad con mejor relación coste-beneficio. Un empleado concienciado es un cortafuegos humano que ningún appliance puede replicar. Y ahora, además, es una obligación legal.»

ÁNGELES es el portal de formación en ciberseguridad del CCN, diseñado para mejorar el nivel de competencia digital de los empleados de las Administraciones Públicas y de cualquier organización que desee fortalecer su cultura de seguridad. Sus contenidos están alineados con los requisitos del Esquema Nacional de Seguridad (RD 311/2022) y son de acceso gratuito.

Los nuevos contenidos audiovisuales se suman a un catálogo que ya cuenta con más de 200 guías CCN-STIC disponibles en el portal del CCN-CERT. Esta ampliación responde directamente a la creciente presión normativa que España afronta de cara a la transposición definitiva de NIS2.

La formación, obligación legal bajo NIS2

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad —el texto que transpondrá la Directiva NIS2 al ordenamiento jurídico español, actualmente en tramitación parlamentaria— incluye entre sus obligaciones expresas la formación de empleados y, muy especialmente, de los órganos de dirección de las entidades afectadas.

El impacto es doble y debe ser bien comprendido por las organizaciones:

• Formación del personal técnico: los empleados con acceso a sistemas críticos deben recibir formación periódica en ciberseguridad. Los registros de formación serán evidencia auditada.
• Formación de la alta dirección: los directivos que no acrediten haber recibido formación en ciberseguridad verán agravada su responsabilidad individual en caso de incidente. NIS2 convierte la ignorancia en agravante.
• Concienciación continua: no basta con una formación puntual. NIS2 exige programas de concienciación continuos, que incluyan simulacros de phishing, actualizaciones ante nuevas amenazas y protocolos de respuesta a incidentes.
• Cadena de suministro incluida: la obligación se extiende a los proveedores con acceso a sistemas críticos. Los contratos TIC deben reflejarlo.

ENS y NIS2: la formación como punto de convergencia

El Esquema Nacional de Seguridad (RD 311/2022) ya recoge en su Anexo II la concienciación y formación del personal como medida de seguridad de aplicación en todos los niveles (bajo, medio y alto). La plataforma ÁNGELES es, desde este punto de vista, una herramienta de cumplimiento directo del ENS, no solo un recurso formativo voluntario.

Esta convergencia tiene implicaciones prácticas inmediatas para las organizaciones del sector público y sus proveedores: el uso acreditado de ÁNGELES puede ser presentado como evidencia de cumplimiento de la medida de concienciación en auditorías ENS, y anticipará el cumplimiento de los requisitos formativos que establecerá la futura Ley de Ciberseguridad española.

Con más de tres décadas en proyectos de adecuación ENS e implantación de ISO 27001 en Administraciones Públicas, municipios inteligentes e industria, puedo afirmar que la formación sigue siendo el gap más persistente en cualquier diagnóstico de madurez. Las organizaciones invierten en tecnología y descuidan al factor humano. NIS2 y el ENS nos obligan, por fin, a equilibrar esa balanza.

— Equipo de consultoría · amio.es · Telecomunicaciones e Ingeniería de Sistemas.

Recomendaciones prácticas para organizaciones y AAPP

Desde amio.es recomendamos las siguientes acciones inmediatas para aprovechar este recurso y avanzar en el cumplimiento normativo:

• Incorporar ÁNGELES al plan de concienciación anual de la organización y registrar la participación de empleados como evidencia documental.
• Diseñar un itinerario formativo diferenciado para perfiles técnicos, personal de gestión y alta dirección, con contenidos adaptados a cada audiencia.
• Complementar los vídeos de ÁNGELES con simulacros de phishing y ejercicios de respuesta a incidentes para completar el ciclo de concienciación activa.
• Para entidades locales y Smart Cities: utilizar la guía CCN-STIC 882 (análisis de riesgos para entidades locales) como complemento al plan formativo.
• Exigir a los proveedores TIC que acrediten planes de concienciación equivalentes: la cadena de suministro es responsabilidad de la entidad contratante bajo NIS2.

¿Necesita asesoramiento en cumplimiento ENS o NIS2?

Más de 20 años acompañando a AAPP y Sector Privado en sus proyectos de seguridad de la información.

CONTACTE CON AMIO INGENIEROS

EL ANTEPROYECTO DE LEY DE COORDINACIÓN Y GOBERNANZA DE LA CIBERSEGURIDAD PERMANECE EN SEDE PARLAMENTARIA BAJO PRESIÓN EUROPEA.

La Directiva (UE) 2022/2555 está en vigor a nivel europeo desde enero de 2023, pero España aún no ha completado su transposición al derecho nacional. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025 y a fecha de febrero de 2026 sigue pendiente de debate parlamentario en las Cortes Generales. La Comisión Europea ya ha enviado un dictamen motivado a España (mayo 2025) por el retraso, lo que podría derivar en una demanda ante el TJUE con multas coercitivas al Estado.

El Anteproyecto, cuando se apruebe, creará el Centro Nacional de Ciberseguridad (CNC), adscrito a la Secretaría General de la Presidencia del Gobierno, con funciones de coordinación nacional y punto de contacto único ante la UE. El artículo 35 del Anteproyecto indica que los miembros del órgano de dirección de las entidades responderán solidariamente por las infracciones que éstas cometan. Esto implica que CEOs y consejos de administración no pueden delegar esta responsabilidad.

Respecto a la contratación pública, NIS2 suele traducirse en requisitos de seguridad por diseño, gestión de proveedores, trazabilidad y evidencia documental; el mercado evoluciona a un modelo donde los proveedores TIC compiten no solo por precio, sino por su capacidad de demostrar cumplimiento: metodologías, reporting, procesos y equipos.

💡 RELEVANCIA PRÁCTICA:

⚠️ A pesar del retraso legislativo, las obligaciones NIS2 son exigibles desde octubre de 2024 a nivel europeo. Las organizaciones del ámbito de aplicación deben actuar ya, ya que el proceso de adecuación (análisis de riesgos, implementación de controles, documentación auditable) requiere entre 6 y 18 meses. Además, el Tribunal Supremo español ya ha utilizado la NIS2 como referencia interpretativa (sentencia 136/2025, de 19 de febrero).

🏭 IMPACTO SECTORIAL:

Afecta a todas las AAPP (estatal, autonómica y local), operadores de sectores críticos (energía, transporte, salud, agua, infraestructuras digitales, TIC, sector postal, gestión de residuos, industria química y alimentaria, investigación) y sus proveedores de servicios TIC.

Fuentes:

• Digitalperito
• Regula
• Computing

La nueva regulación europea acelera la necesidad de cumplir con el ENS en España

España está avanzando en la transposición de la Directiva NIS2, y el mensaje es claro:

la ciberseguridad deja de ser un requisito técnico para convertirse en una obligación estratégica al máximo nivel empresarial.

Aunque el desarrollo normativo sigue en curso en el BOE, las líneas clave ya están definidas por la Comisión Europea y ENISA:

👉 Más exigencia regulatoria
👉 Mayor supervisión
👉 Sanciones relevantes
👉 Responsabilidad directa de la dirección

¿Qué significa esto para tu organización?

Muy sencillo:

El ENS ya no es solo para la Administración. Es la base real para cumplir NIS2 en España.

El Esquema Nacional de Seguridad se está consolidando como el marco de referencia práctico para:

✔️ Gestión de riesgos
✔️ Controles de seguridad
✔️ Auditorías y cumplimiento
✔️ Evidencias ante reguladores

La oportunidad (y el riesgo)

Las organizaciones que se anticipen ahora:

✅ Reducirán el impacto de NIS2
✅ Evitarán sanciones futuras
✅ Mejorarán su posicionamiento en licitaciones
✅ Generarán confianza en clientes y partners

Las que no…

⚠️ Tendrán que adaptarse con urgencia, mayor coste y presión regulatoria.

Cómo podemos ayudarte

En AMIO INGENIEROS Te acompañamos en todo el proceso de adecuación al ENS:

🔎 Diagnóstico inicial y GAP Analysis
🛠️ Implantación de controles ENS (RD 311/2022)
📊 Gestión de riesgos y cumplimiento
📑 Preparación para auditoría y certificación
🔐 Alineamiento ENS + NIS2

Nuestro cliente, Ayuntamiento de Santa Cruz de Bezana – Cantabria, ha superado con éxito la auditoria de certificación respecto de las medidas del Anexo II del RD 311/2022 – Esquema Nacional de Seguridad.

Amio Ingenieros fue la empresa consultora especializada a la que el Ayuntamiento de Bezana encargo el proyecto de Asesoría Técnica especializada para la implementación de las medidas de seguridad del Anexo II del RD 311/2022.

Queremos agradecer al Equipo de Gobierno del Ayuntamiento, así como al Resp. Sistemas, la confianza depositada en el equipo profesional de Amio Ingenieros.

Nuestro cliente, VIALINE GESTIÓN, S.L., empresa especializada en el desarrollo de soluciones para la administración pública y servicios para la ciudadanía, ha superado con éxito la auditoria de certificación respecto de las medidas del Anexo II del RD 311/2022 – Esquema Nacional de Seguridad.

Este hito supone que se ha verificado la conformidad de las medidas de seguridad implementadas en el Sistema de Información de VIALINE GESTIÓN con lo establecido en el RD 311/2022, que regula el Esquema Nacional de Seguridad, en categoría MEDIA.

AMIO INGENIEROS ha sido la empresa a la que VIALINE GESTIÓN encargó el proyecto, como expertos en ciberseguridad empresarial y entornos normativos relacionados con la Seguridad de la Información.

Aprovechamos para felicitar a todo el equipo de VIALINE GESTIÓN por este logro tan importante.