Perimetro
NIS2 2026

Qué significa NIS2 para la seguridad física

La Directiva NIS2 (UE) 2022/2555 se está transponiendo a la legislación nacional en toda la UE. Las entidades esenciales e importantes tienen nuevas obligaciones en gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro — incluyendo la capa física.

Fechas clave

Cronograma de implementación NIS2

  1. 17 de octubre de 2024

    Plazo de transposición

    Plazo de los estados miembros para transponer NIS2 a la legislación nacional.

  2. Abril de 2026 (PL)

    Entrada en vigor (PL)

    Ley polaca de transposición de NIS2 entra en vigor.

  3. Octubre de 2026 (PL)

    Registro de entidades

    Plazo para registrar entidades esenciales e importantes en la lista nacional.

    Estamos aquí hoy
  4. Abril de 2027 (PL)

    Obligaciones completas

    Obligaciones completas del Capítulo 3 — gestión de riesgos, notificación de incidentes, cadena de suministro.

Análisis regulatorio

Quién está cubierto por las obligaciones NIS2

La Directiva NIS2 (UE 2022/2555) introduce dos categorías de entidades: esenciales (essential) e importantes (important). Las esenciales incluyen operadores energéticos, operadores de infraestructura digital, transporte, banca, sanidad, agua y administración pública de alto nivel. Las importantes incluyen servicios postales, producción alimentaria, gestión de residuos, proveedores ICT de escala media, fabricación química y el sector de investigación.

La transposición por los estados miembros está en curso en toda la UE. La ley alemana NIS2-Umsetzungsgesetz (5 de diciembre de 2025) amplió el número de entidades reguladas de unas 4 500 a unas 30 000. Una magnitud similar se espera en otros estados miembros — las estimaciones de ENISA indican un crecimiento de varias veces respecto al antiguo NIS. Si una organización opera un sitio de infraestructura crítica, una gran instalación energética, un puerto, un aeropuerto, un centro de datos, una terminal de combustible, o es proveedor ICT de escala media o mayor, es muy probable que esté en el alcance.

La mayoría de transposiciones nacionales asignan el registro a un CSIRT nacional o autoridad competente — las ventanas de registro suelen abrirse seis meses después de la entrada en vigor de la ley nacional. Conviene consultar a la autoridad de supervisión nacional para el plazo exacto; las transposiciones publicadas más recientes están disponibles en la página del Grupo de Cooperación NIS de la Comisión Europea.

Qué significa NIS2 para la seguridad física

El malentendido más común: NIS2 no se limita a las redes IT. El artículo 21(2) enumera diez categorías de medidas técnicas, operativas y organizativas — incluyendo explícitamente controles de acceso físico, seguridad de la cadena de suministro y gestión de activos. La letra (j) exige políticas y procedimientos para el uso de criptografía y medidas de seguridad física cuando proceda.

El artículo 23 establece un ciclo de notificación de incidentes significativos: alerta temprana en un plazo de 24 horas desde la detección, notificación formal en 72 horas con análisis preliminar de causa raíz e impacto, e informe final en un mes. Un incidente significativo es cualquier evento que cause una perturbación operativa material, afecte a un número significativo de usuarios o pueda causar daños sustanciales — incluidos incidentes físicos que afecten a infraestructura digital u operativa.

El artículo 21(2)(d) — seguridad de la cadena de suministro — es el requisito más subestimado. Los operadores de entidades esenciales deben evaluar sistemáticamente a los proveedores de servicios ICT, con especial atención a la concentración geográfica, la jurisdicción y el estado del proveedor frente a las decisiones de adecuación de la UE. Para sistemas que utilizan componentes hardware no-UE (drones, cámaras, equipos de visión artificial), esto requiere un análisis de riesgo documentado y un plan de mitigación.

Cómo Perimetro apoya las obligaciones del Artículo 21

Perimetro Platform proporciona una capa de detección física documentada con un rastro de eventos auditable, diseñada para letras específicas del Art. 21(2). Letra (a) — análisis de riesgo y políticas de seguridad: el registro de eventos proporciona material en bruto para el análisis de riesgo (eventos, clasificaciones, tasas de falsos positivos) más una biblioteca de escenarios de amenazas para el SOC.

Letra (b) — gestión de incidentes: una máquina de estados de eventos con cuatro acciones del operador (escalar, verificar, marcar como error, manejo normal), una cadena de escalado con marcas de tiempo auditables en cada acción, y un NIS2 Reporter integrado — un asistente que genera PDF + JSON para la alerta temprana de 24h y la notificación de 72h con auto-relleno desde el registro de eventos.

Letra (c) — continuidad operativa: el daemon edge funciona sin conexión (cola de eventos local que se sincroniza al volver la conectividad), Tower y Connect continúan la detección sin conectividad a la nube, Aero tiene regreso a la base (RTH) autónomo ante pérdida de conectividad. Letra (g) — criptografía: claves gestionadas por el cliente (CMK) por inquilino, cadena hash HMAC para el registro de eventos (inalterable), TLS 1.3 + firma HMAC-SHA256 por dispositivo para la comunicación edge ↔ nube (con protección anti-replay).

Letra (h) — control de acceso: RBAC con cinco roles (operador, supervisor, responsable de notificación NIS2, admin, auditor), MFA requerido para roles administrativos, auditoría completa de acceso. Letra (i) — gestión de activos: inventario de drones, estaciones de acoplamiento, cámaras Connect y configuraciones de inquilino en el panel del operador.

El ciclo 24h/72h — recorrido práctico

La pregunta que los CISO hacen con más frecuencia: «vale, pero ¿cómo se ve realmente el ciclo NIS2 para nosotros?». Flujo de trabajo real para un operador energético: T=0 (22:35) un dron en patrulla nocturna detecta un evento HIGH (persona en zona restringida, confianza 0.94, validación cruzada RGB + térmica). Evento cifrado con CMK por inquilino, entrada del registro de eventos con cadena hash.

T+1.2s el evento se sincroniza con el backend y llega a la consola SOC. T+47s el operador hace clic en «Escalar» — webhook a Genetec Security Center del cliente, grabación automática activada, SMS + notificación push al responsable de seguridad. T+10min la patrulla física detiene al intruso. T+55min el responsable de notificación NIS2 inicia sesión y hace clic en «Generar alerta temprana NIS2». El asistente auto-rellena: detalles del evento desde el registro de eventos, cadena de escalado con marcas de tiempo, clasificación sectorial, acciones del operador, artefactos vinculados (fotograma clave con hash de auditoría).

T+1h05min el responsable de notificación añade contexto cualificador (evaluación de intención, impacto operativo, escala), hace clic en «Generar informe» — PDF + JSON listos en 15-25 segundos. Añade firma electrónica cualificada, envía al CSIRT nacional (auto-envío o subida manual). Alerta temprana enviada en 65 minutos desde la detección — margen de 22h45min para posibles seguimientos.

T+53h el responsable de notificación genera la notificación completa de 72h con el asistente auto-rellenando todos los campos de la alerta temprana más los adicionales (causa raíz final, evaluación de impacto, medidas de mitigación). Sin Perimetro: el responsable de notificación compila el informe manualmente desde registros de CCTV, consola SOC, informes de guardia — típicamente 6-12 horas de trabajo del responsable de cumplimiento más el riesgo de no cumplir el plazo de 24h en un incidente nocturno. Con Perimetro: 45-90 minutos, rastro de auditoría completo, plazo con margen seguro.

Riesgo de cadena de suministro (Art. 21(2)(d))

El Art. 21(2)(d) requiere evaluación sistemática del riesgo de la cadena de suministro, en particular para los proveedores directos de servicios ICT. Metodología ENISA: identificación de dependencias (lista de proveedores + subencargados), clasificación de criticidad (crítico/importante/menor), perfil de riesgo del proveedor (jurisdicción, certificaciones, concentración geográfica, estado de adecuación UE), medidas de mitigación (contractuales, técnicas, operativas), documentación en un registro de riesgos de proveedores.

Lo que Perimetro pre-entrega para la evaluación NIS2 de la cadena de suministro del cliente: Perfil de Proveedor Perimetro (plantilla de evaluación pre-rellenada desde la perspectiva del cliente), lista completa de subencargados (Google Workspace, Vercel como subencargados), matriz de jurisdicciones (qué datos están en qué jurisdicción — todos los eventos estructurados en la UE), estado de certificaciones de seguridad (hoja de ruta ISO 27001, ISO 42001 para gestión de IA, SOC 2 tipo II).

Para sistemas con componentes hardware no-UE (drones, cámaras), Perimetro publica un análisis de riesgo de cadena de suministro dedicado con un plan de migración con cambio de proveedor. Estos artefactos reducen el esfuerzo del cliente de 2-4 semanas (evaluación estándar de proveedor desde cero) a 3-5 días (revisión del material pre-rellenado por la asesoría jurídica del cliente).

Qué producto elegir según el horizonte

La elección del producto depende del horizonte de plazo y del perfil del sitio. Perimetro Connect es el camino más rápido — 7-30 días para una capa de detección documentada sobre el monitoreo CCTV existente. Si se está registrando como entidad esencial y necesita demostrar una capa de detección en el primer trimestre post-plazo, Connect coincide con ese horizonte.

Perimetro Tower (30-60 días) es la elección correcta para sitios que requieren RGB + térmica de doble espectro en puntos críticos específicos — portones, transformadores, zonas restringidas. Ideal para mapear el Art. 8 (gestión de riesgo) en sub-puntos específicos del sitio. Subestaciones eléctricas, terminales de combustible, puertos, aeropuertos, centros de datos — candidatos típicos.

Perimetro Aero (60-90 días) es la elección correcta para sitios extensos y lineales — líneas de alta tensión, parques fotovoltaicos y eólicos, grandes terminales, minas. Proporciona patrulla autónoma auditable con informes de misión en el registro de eventos. A menudo desplegado como tercera etapa tras Connect (detección rápida) y Tower (puntos críticos fijos), en el horizonte post-plazo.

En todos los escenarios los tres productos se integran en una sola Perimetro Platform con un registro de eventos compartido. Puede empezar con Connect para cumplimiento rápido y ampliar con Tower y Aero en los meses siguientes sin sustituir la plataforma ni re-configurar integraciones con VMS, SIEM, SCADA y control de acceso.

Qué significa NIS2 para la seguridad física