What is the NIS2 Directive?

NIS2 (Directive 2022/2555) is the EU's updated cybersecurity regulation. It replaces the original NIS Directive and significantly expands the scope of organisations that must comply with cybersecurity requirements. It covers essential and important entities across 18 sectors.

When is the NIS2 deadline?

NIS2 entered into force on January 16, 2023. Member states had until October 17, 2024 to transpose it into national law. Many countries missed this deadline — Germany's NIS2UmsuCG entered into force on December 6, 2025. Affected entities must comply from the date their national law takes effect.

Who is affected by NIS2?

NIS2 applies to essential entities (energy, transport, banking, health, water, digital infrastructure, ICT service management, public administration, space) and important entities (postal services, waste management, chemicals, food, manufacturing, digital providers, research). Generally: organisations with 50+ employees or €10M+ annual turnover in these sectors.

What are the penalties for NIS2 non-compliance?

Essential entities face fines up to €10 million or 2% of global annual turnover (whichever is higher). Important entities face fines up to €7 million or 1.4% of global annual turnover. Management can be held personally liable.

What does NIS2 require for websites and digital services?

NIS2 Art. 21 requires risk-based security measures including: encryption in transit (HTTPS/TLS), access control, incident detection and reporting (24h early warning, 72h notification), supply chain security, business continuity, and regular security assessments. SiteGuardian monitors these technical requirements continuously.

Directiva UE 2022/2555

Cumplimiento NIS2.
Monitorización continua, evidencias documentadas.

La directiva NIS2 obliga a las organizaciones de 18 sectores a implementar medidas de ciberseguridad — bajo pena de multas de hasta 10 M€. Las leyes nacionales están entrando en vigor en toda la UE.

Directiva UE

En vigor

Desde el 16 de enero de 2023

Transposición nacional

En curso

Plazo: 17 de octubre de 2024

Alemania (NIS2UmsuCG)

En vigor

Desde el 6 de diciembre de 2025

Las entidades afectadas deben cumplir desde la fecha en que entre en vigor su ley nacional. Consulte el estado de transposición de su país.

Escanee su sitio ahora Compruebe qué normas se aplican

¿Se aplica NIS2 a usted?

NIS2 se aplica a entidades esenciales e importantes en 18 sectores. Si su organización tiene más de 50 empleados o una facturación superior a 10 M€ en uno de estos sectores, probablemente está dentro del alcance.

Energía

Esencial

Transporte

Esencial

Banca

Esencial

Salud

Esencial

Infraestructura digital

Esencial

Servicios TIC

Esencial

Química

Importante

Manufactura

Importante

Servicios postales

Importante

Cloud / SaaS

Importante

Alimentación

Importante

Investigación

Importante

El costo del incumplimiento

Entidades esenciales

€10M

o el 2 % de la facturación anual global

el que sea más alto

Entidades importantes

€7M

o el 1,4 % de la facturación anual global

el que sea más alto

La dirección puede ser considerada personalmente responsable según el Art. 20 de NIS2.

Lo que NIS2 exige — y lo que SiteGuardian monitorea

El Art. 21 de NIS2 define 10 medidas de gestión de riesgos de ciberseguridad. SiteGuardian monitorea continuamente las técnicas.

Art. 21(2)(a)

Análisis de riesgos y políticas de seguridad

Monitorizado

SiteGuardian proporciona puntuación continua de la postura de seguridad, validación DNSSEC, verificación de divulgación de vulnerabilidades (security.txt), ocultación de versión del servidor y una pista de auditoría inmutable con detección de manipulación mediante cadena de hash.

Art. 21(2)(b)

Gestión de incidentes

Monitorizado

SiteGuardian detecta incidentes en tiempo real, soporta flujos de notificación conformes con NIS2 (alerta temprana 24h, notificación 72h, informe final 30 días) y genera informes de incidentes prerrellenados para su CSIRT nacional.

Art. 21(2)(c)

Continuidad del negocio

SiteGuardian monitoriza la disponibilidad desde múltiples regiones y alerta ante caídas. La gestión de copias de seguridad, los planes de recuperación ante desastres y la gestión de crisis requieren medidas organizativas.

Art. 21(2)(d)

Seguridad de la cadena de suministro

Monitorizado

SiteGuardian clasifica los monitores en infraestructura propia, proveedores y socios. Evalúa la postura de seguridad de proveedores, verifica la aplicación de DMARC/SPF/DKIM y rastrea el riesgo de concentración en la cadena de suministro en 5 niveles de madurez.

Art. 21(2)(e)

Desarrollo seguro

SiteGuardian monitoriza la calidad de la Content Security Policy, detecta directivas unsafe-inline/unsafe-eval y verifica las cabeceras de seguridad contra ataques de inyección. Los procesos SDLC seguros requieren medidas organizativas.

Art. 21(2)(f)

Evaluación de la eficacia

Monitorizado

SiteGuardian rastrea su puntuación de cumplimiento a lo largo del tiempo, genera informes de tendencia de 90 días y proporciona comparaciones antes/después para medir la efectividad de sus mejoras de seguridad.

Art. 21(2)(g)

Ciberhigiene y formación

Monitorizado

SiteGuardian monitoriza continuamente la ciberhigiene técnica: aplicación de HTTPS, HSTS, cabeceras de seguridad, MFA y fortalecimiento de DNS. Los programas de formación y concienciación requieren medidas organizativas más allá del monitoreo automatizado.

Art. 21(2)(h)

Criptografía y cifrado

Monitorizado

SiteGuardian valida la aplicación de TLS 1.2+, detecta protocolos obsoletos y suites de cifrado débiles, verifica el secreto perfecto hacia adelante (PFS), monitoriza la validez de certificados SSL y verifica la preparación para precarga HSTS.

Art. 21(2)(i)

Control de acceso y gestión de activos

SiteGuardian impone MFA (TOTP/SSO) en todas las cuentas, proporciona control de acceso basado en roles y mantiene un inventario de activos de todos los servicios monitorizados. Las políticas de seguridad de RRHH requieren medidas organizativas.

Art. 21(2)(j)

Autenticación multifactor

Monitorizado

SiteGuardian requiere TOTP o Google SSO para el acceso a la plataforma, monitoriza el estado MFA de todos los miembros del equipo y verifica los canales de comunicación cifrados (TLS, DANE, MTA-STS) para el transporte de correo electrónico.

Comience a prepararse hoy

Escanee su sitio web para ver dónde se encuentra. SiteGuardian asigna cada hallazgo a artículos NIS2 — para que sepa exactamente qué corregir.

Escaneo de seguridad gratuito Ver planes de cumplimiento

Gratis para siempre para 1 monitor. No se requiere tarjeta de crédito.

Preguntas frecuentes

¿Qué es la Directiva NIS2?

NIS2 (Directiva 2022/2555) es la normativa de ciberseguridad actualizada de la UE que reemplaza la Directiva NIS original. Amplía significativamente el alcance a 18 sectores e introduce requisitos más estrictos para la notificación de incidentes, la gestión de riesgos y la seguridad de la cadena de suministro.

¿Cuándo entra en vigor NIS2?

NIS2 entró en vigor el 16 de enero de 2023. Los Estados miembros tenían hasta el 17 de octubre de 2024 para transponerla al derecho nacional. Muchos países incumplieron este plazo — el NIS2UmsuCG alemán entró en vigor el 6 de diciembre de 2025. Las entidades afectadas deben cumplir desde la fecha en que entre en vigor su ley nacional.

¿Se aplica NIS2 a mi empresa?

Si su organización tiene más de 50 empleados o una facturación anual superior a 10 M€ y opera en uno de los 18 sectores listados (energía, transporte, banca, salud, infraestructura digital, TIC, manufactura, etc.), probablemente está dentro del alcance. Utilice nuestra herramienta de verificación para averiguarlo.

¿Cuáles son los plazos de notificación?

Según el Art. 23 de NIS2: 24 horas para una alerta temprana, 72 horas para la notificación formal del incidente y 1 mes para el informe final. SiteGuardian realiza el seguimiento de estos plazos automáticamente cuando se abre un incidente.

¿Cómo ayuda SiteGuardian con NIS2?

SiteGuardian monitorea continuamente la postura de seguridad de su sitio web (cifrado, cabeceras, DNS, autenticación de correo) y asigna los hallazgos a artículos NIS2. Cuando ocurre un incidente, clasifica el impacto regulatorio y realiza el seguimiento de los plazos de notificación. Los informes de cumplimiento documentan sus medidas para los auditores.

Cumplimiento NIS2. Monitorización continua, evidencias documentadas.

¿Se aplica NIS2 a usted?

El costo del incumplimiento

Lo que NIS2 exige — y lo que SiteGuardian monitorea

Análisis de riesgos y políticas de seguridad

Gestión de incidentes

Continuidad del negocio

Seguridad de la cadena de suministro

Desarrollo seguro

Evaluación de la eficacia

Ciberhigiene y formación

Criptografía y cifrado

Control de acceso y gestión de activos

Autenticación multifactor

Comience a prepararse hoy

Preguntas frecuentes

¿Esta seguro?

Cumplimiento NIS2.
Monitorización continua, evidencias documentadas.