ENS y NIS2: cómo encajan ambas normativas en 2025
Solapamiento y diferencias entre el ENS y la directiva NIS2. Cómo estructurar un único sistema de gestión que cumpla con ambas sin duplicar trabajo.
La transposición española de la directiva NIS2 está cambiando el mapa regulatorio de ciberseguridad. Para muchas organizaciones alcanzadas también por el ENS, la pregunta es la misma: ¿se duplica el trabajo, o se pueden integrar? Este artículo repasa el solapamiento real entre ambas normativas en 2025 y propone un enfoque unificado.
Qué es NIS2 y a quién alcanza
La directiva (UE) 2022/2555 (NIS2) sustituye a la NIS original y amplía significativamente el alcance. Aplicable en España desde la entrada en vigor de la norma de transposición, obliga a:
- Entidades esenciales: energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, aguas residuales, infraestructuras digitales, administración pública, espacio.
- Entidades importantes: servicios postales, gestión de residuos, productos químicos, alimentación, fabricación, servicios digitales, investigación.
Se aplica a entidades medianas y grandes (≥50 empleados o >10 M€ facturación), con algunas excepciones donde el tamaño no es criterio (DNS, TLDs, infraestructura crítica).
Qué exige NIS2
Obligaciones principales:
- Medidas técnicas y organizativas de gestión de riesgo (similar a un SGSI).
- Notificación de incidentes significativos en plazos muy exigentes (alerta temprana en 24 h, notificación detallada en 72 h, informe final en 1 mes).
- Responsabilidad de la alta dirección con posibles sanciones personales.
- Cadena de suministro: evaluación y gestión de riesgos de proveedores.
- Formación de la dirección y de los empleados.
- Pruebas regulares de las medidas.
- Registro en el registro nacional (en España, gestionado por la SEDIA/CCN).
Dónde coinciden ENS y NIS2
El solapamiento es muy alto en medidas técnicas:
| Área | ENS (Anexo II) | NIS2 (art. 21) | Solapamiento |
|---|---|---|---|
| Políticas y gestión | org.1–org.4 | Sí | ~90% |
| Gestión de riesgos | op.pl.1 | Sí | ~95% |
| Gestión de incidentes | op.exp.7 | Sí | ~85% |
| Continuidad | op.cont.* | Sí | ~90% |
| Cadena de suministro | op.ext.*, art. 15 | Sí | ~85% |
| Control de acceso | op.acc.* | Sí | ~80% |
| Cifrado | mp.com, mp.info | Sí | ~80% |
| Formación | mp.per.4 | Sí | ~90% |
| Monitorización | op.mon.*, op.exp.8/9 | Sí | ~75% |
Es decir, una organización bien adecuada al ENS cubre buena parte de las exigencias NIS2.
Dónde difieren
1. Notificación de incidentes
ENS: notificación al CCN-CERT con plazos razonables. NIS2: alerta temprana en 24 h (!) al CSIRT y autoridad competente. Es más exigente.
2. Registro nacional
NIS2 obliga a registrarse en un registro oficial. ENS no requiere registro equivalente más allá del reporte INES.
3. Responsabilidad de la dirección
NIS2 establece responsabilidad directa y sancionable de la alta dirección por incumplimientos, con multas potenciales importantes. En ENS, la responsabilidad es más difusa.
4. Cadena de suministro
Ambas regulan, pero NIS2 va más allá en evaluar la cadena completa (incluidos subcontratistas).
5. Sectores alcanzados
NIS2 alcanza sectores privados que ENS no tocaba directamente (energía, agua, fabricación, alimentación). Al revés, ENS alcanza a proveedores AAPP pequeños que NIS2 excluye por tamaño.
La estrategia inteligente: un único sistema
Para organizaciones alcanzadas por ambas, la estrategia sensata es construir un sistema de gestión unificado:
1. Política integral
Una única política de seguridad que mencione expresamente ENS, NIS2 y —si aplica— ISO 27001, RGPD. El cuerpo de la política es el mismo; las referencias cambian.
2. Marco de controles consolidado
Un único mapa de controles con columnas por norma. El Anexo II del ENS es la columna vertebral porque es más prescriptivo; NIS2 añade filas específicas (notificación 24h, responsabilidad de dirección, registro).
3. Proceso de gestión de incidentes adaptado al más exigente
Un único playbook, pero con el plazo de 24h/72h/1 mes de NIS2 como referencia obligada (más exigente que ENS). Cumplir NIS2 implica cumplir ENS.
4. Cadena de suministro unificada
Un único inventario de proveedores con las cláusulas contractuales más exigentes. Un único proceso de evaluación. Un único plan de auditoría.
5. Formación integrada
Un único programa formativo que cubra los temas ENS + NIS2 + RGPD. La alta dirección recibe la formación específica que NIS2 exige.
6. Gobierno integrado
Un único Comité de Seguridad que reporta a la alta dirección. Un único cuadro de mando. Una única revisión por la dirección.
Qué hacer si ya tengo ENS pero aparezco en NIS2
Pasos concretos:
- Confirmar alcance NIS2: ¿entidad esencial o importante? ¿umbral cumplido?
- Registro: inscripción en el registro nacional en el plazo que exige la norma.
- Gap analysis: diferencias entre tu sistema ENS actual y los requisitos NIS2. Lo más frecuente: acelerar el proceso de notificación, reforzar responsabilidades de la dirección, ampliar scope a cadena de suministro completa.
- Plan de adaptación: ajustes documentales y operativos.
- Formación específica a la alta dirección.
- Pruebas / simulacros integrados.
En la práctica, para una organización con ENS Media o Alta bien implantado, el sobreesfuerzo para NIS2 es del orden del 15–25% del proyecto inicial.
Qué hacer si ya tengo NIS2 pero aparezco en ENS
Menos frecuente, pero posible: empresas que se prepararon para NIS2 sin contexto ENS y luego empiezan a licitar con AAPP.
- Mapear controles NIS2 al Anexo II ENS.
- Categorizar los sistemas del alcance ENS.
- Adaptar la DA al formato ENS.
- Trabajar las medidas específicamente ENS que NIS2 no requiere (CCN-STIC, INES, LUCIA).
- Certificación ENS con entidad ENAC.
Riesgos específicos de tratarlos por separado
- Documentación duplicada con inconsistencias. El auditor de una norma detecta referencias cruzadas rotas.
- Procesos paralelos de incidentes que confunden al equipo de respuesta.
- Evidencias dispersas en repositorios distintos.
- Coste de auditorías duplicado sin sinergia.
- Fatiga de cumplimiento en los equipos técnicos.
La estrategia separada solo es razonable si una de las dos tiene muy poca entidad en la organización (ej: ENS mínimo por un contrato puntual).
Conclusión
ENS y NIS2 no compiten: se complementan. Diseñar un único sistema de gestión que ataque ambas a la vez es más barato, más coherente y más fácil de mantener que tratarlas como proyectos paralelos. En 2025, consolidar los dos marcos es la decisión eficiente para cualquier organización alcanzada por ambas.