¿Qué normativas EU cubre IgeraRegTech?

IgeraRegTech cubre las 5 principales normativas EU de 2024-2026: AI Act (Reglamento EU 2024/1689), DORA (Reglamento EU 2022/2554), CSRD (Directiva EU 2022/2464), NIS2 (Directiva EU 2022/2555) y CBAM (Reglamento EU 2023/956). Cada módulo RAG está entrenado con los textos normativos oficiales, actos delegados y guías técnicas de las autoridades supervisoras.

¿Cómo ayuda IgeraRegTech a evitar multas por incumplimiento?

IgeraRegTech permite a los equipos de compliance acceder a la normativa exacta con cita de artículo, evaluar el estado de cumplimiento actual mediante gap analysis automatizados, generar documentación y plantillas conformes a cada reglamento, y recibir alertas cuando se publican actualizaciones normativas. Esto reduce el riesgo de incumplimiento y las multas asociadas, que pueden alcanzar €35M en el caso del AI Act o el 2% de la facturación global en NIS2.

¿IgeraRegTech reemplaza al abogado o consultor de compliance?

No. IgeraRegTech es una herramienta de asistencia que multiplica la productividad de los equipos legales y de compliance. El sistema RAG cita el artículo exacto y genera borradores, pero la responsabilidad legal y la toma de decisiones finales siempre recae en el profesional cualificado. IgeraRegTech elimina las horas de búsqueda documental para que los expertos se centren en el análisis y la estrategia.

¿Cuál es la diferencia entre entidad esencial e importante en NIS2?

NIS2 distingue: Entidades esenciales (Anexo I): sectores de energía, transporte, banca, infraestructura financiera, salud, agua, infraestructura digital, servicios TIC, administración pública, espacio. Multa máx: €10M o 2% facturación global. Entidades importantes (Anexo II): servicios postales, residuos, química, alimentaria, fabricación. Multa máx: €7M o 1,4% facturación. Umbral de tamaño: >250 empleados O >€50M facturación.

¿Qué plazos de notificación exige NIS2 para incidentes?

El art. 23 NIS2 exige: (1) Alerta temprana en 24 horas desde conocimiento del incidente significativo: tipo de incidente, impacto potencial, medidas iniciales. (2) Notificación completa en 72 horas: análisis preliminar, gravedad, indicadores de compromiso, causa raíz si está disponible. (3) Informe final en 1 mes: causa raíz definitiva, impacto real, medidas correctoras implementadas y planificadas.

¿Qué dice el art. 20 NIS2 sobre la responsabilidad de los directivos?

El art. 20 NIS2 establece que los órganos de dirección deben: (1) aprobar las medidas de gestión de riesgos de ciberseguridad, (2) supervisar su aplicación, (3) recibir formación periódica en ciberseguridad. En caso de incumplimiento grave, las autoridades competentes pueden exigir la suspensión temporal del directivo responsable y prohibirle ejercer funciones directivas.

NIS2NIS2 — Sector Público · Entidades AAPP

NIS2 en AAPP —
Ministerios, CCAA y
ayuntamientos obligados

Guía definitiva sobre NIS2 para la administración pública española. Relación con el ENS, obligaciones adicionales y el rol de CCN-CERT como autoridad técnica de referencia.

100+ ayuntamientos grandesENS + NIS2CCN-CERT referenciaNotificación 24/72h

Solicitar demo gratuita Ver cómo funciona

Sector público · ENS + NIS2 · CCN-CERT · INCIBE

100+

Ayuntamientos grandes afectados estimados

ENS+

NIS2 añade obligaciones al ENS actual

CCN

CERT referencia para AAPP españolas

24/72h

Plazos de notificación NIS2 obligatorios

Los retos de NIS2 para las AAPP españolas

Las administraciones públicas tienen el ENS como marco de referencia. NIS2 añade obligaciones adicionales, plazos más estrictos y responsabilidad personal de los cargos directivos que el ENS no contempla.

¿Qué AAPP están sujetas a NIS2?

La transposición española aún no ha aclarado qué administraciones quedan incluidas. Ministerios, CCAA y grandes ayuntamientos están en el foco, pero los criterios definitivos de umbral generan incertidumbre jurídica.

ENS vs NIS2: ¿doble cumplimiento?

Las AAPP ya tienen el ENS (RD 311/2022). NIS2 añade obligaciones adicionales como plazos de notificación más estrictos, responsabilidad del órgano de dirección y gestión de proveedores TIC. El solapamiento genera confusión sobre qué cubre cada marco.

Plazos 24h/72h en AAPP sin recursos

Notificar a CCN-CERT en 24 horas un incidente significativo exige protocolos pre-establecidos, personal 24/7 y herramientas de gestión de incidentes como LUCIA. Muchas AAPP no tienen aún esta capacidad.

Contratos TIC sin cláusulas NIS2

Los pliegos de contratación pública deben incorporar requisitos NIS2 para proveedores TIC. La mayoría de contratos vigentes carecen de estas cláusulas, creando una laguna de cumplimiento en toda la cadena de suministro.

Responsabilidad personal de cargos electos

Art. 20 NIS2: los responsables del órgano de dirección son personalmente responsables. En AAPP, esto puede afectar a alcaldes, consejeros y secretarios de estado que no hayan aprobado formalmente las políticas de ciberseguridad requeridas.

Formación obligatoria para directivos AAPP

Art. 20.2 NIS2: el órgano de dirección debe recibir formación periódica en ciberseguridad y gestión de riesgos TIC. Documentar y acreditar esta formación ante una auditoría es una obligación que pocas AAPP han planificado.

Qué administraciones públicas están sujetas a NIS2

El art. 2.2 NIS2 permite a los Estados miembros excluir entidades de la Administración pública central que ejecuten actividades de seguridad nacional o aplicación de la ley penal. Sin embargo, las AAPP con más de 250 empleados que prestan servicios digitales esenciales están sujetas. La transposición española aclarará el umbral definitivo, pero ministerios, CCAA y grandes ayuntamientos estarán incluidos. Las entidades del sector público que prestan servicios equivalentes a los de sectores esenciales (salud, agua, transporte, energía digital) no pueden quedar excluidas por su naturaleza pública.

ENS vs NIS2: relación e interacción

El Esquema Nacional de Seguridad (RD 311/2022) es el marco de seguridad TIC obligatorio para las AAPP en España. NIS2 añade obligaciones adicionales que el ENS no contempla completamente: plazos de notificación de incidentes más estrictos (24h para alerta temprana, frente a 72h del ENS), responsabilidad personal y formación obligatoria del órgano de dirección (art. 20 NIS2), y requisitos contractuales para proveedores TIC (art. 21.2(d)). Las AAPP certificadas en ENS categoría Alta ya cubren la mayor parte de las medidas técnicas del art. 21, pero el gap analysis ENS-NIS2 es imprescindible para identificar las brechas restantes.

Medidas de ciberseguridad obligatorias para AAPP

El art. 21 NIS2 establece 10 medidas técnicas y organizativas mínimas que las AAPP deben implementar y documentar: (1) políticas de análisis y gestión de riesgos TIC, (2) gestión de incidentes (detección, respuesta, notificación), (3) planes de continuidad del negocio y recuperación, (4) seguridad de la cadena de suministro TIC, (5) seguridad en la adquisición y desarrollo de sistemas, (6) evaluación periódica de la eficacia de las medidas, (7) higiene cibernética básica y formación continua, (8) criptografía y cifrado de datos en tránsito y reposo, (9) seguridad de los recursos humanos y control de acceso, (10) autenticación multifactor (MFA) en todos los sistemas críticos. Las AAPP deben documentar el cumplimiento de cada medida para justificarlo ante auditorías CCN-CERT.

Notificación de incidentes en AAPP

Las AAPP que detecten un incidente significativo deben notificar en tres fases: alerta temprana al CCN-CERT a través del sistema LUCIA en menos de 24 horas (indicando naturaleza del incidente, si parece malicioso y posible impacto transfronterizo), notificación completa con análisis técnico preliminar en 72 horas, e informe final con análisis completo y lecciones aprendidas en un mes. El sistema LUCIA del CCN-CERT centraliza todas las notificaciones de las AAPP españolas, permitiendo la coordinación nacional de incidentes y el análisis de tendencias de ciberamenazas en el sector público.

Proveedores TIC de las AAPP: contratos NIS2

Art. 21.2(d) NIS2: las AAPP deben garantizar que sus contratos con proveedores TIC incluyen cláusulas de seguridad específicas. Los pliegos de condiciones para contratación pública TIC deben incorporar: requisitos mínimos de seguridad del proveedor alineados con art. 21 NIS2, obligación de notificación de incidentes al contratante en menos de 24 horas, derecho de auditoría de seguridad del contratante, planes de continuidad del servicio ante incidentes, y cláusulas de portabilidad y salida segura. La revisión de los contratos TIC vigentes es una de las acciones más urgentes para las AAPP afectadas por NIS2.

CCN-CERT como referencia para implementar NIS2

El Centro Criptológico Nacional (CCN) y su CERT para las AAPP (CCN-CERT) son la autoridad técnica de referencia para la implementación de NIS2 en el sector público español. Publican las Guías CCN-STIC (Series 800-850) que mapean directamente con las medidas del art. 21 NIS2 y proporcionan herramientas como INES (diagnóstico de seguridad), LUCIA (gestión de incidentes) y ANA (análisis de amenazas) para facilitar el cumplimiento. La coordinación con CCN-CERT debe establecerse antes de que ocurra un incidente significativo para garantizar la fluidez en las notificaciones NIS2.

IgeraRegtech automatiza consultas NIS2 en AAPP

IgeraRegtech dispone de un RAG entrenado con NIS2, el Esquema Nacional de Seguridad, las Guías CCN-STIC de la serie 800 y la normativa de contratación pública (LCSP). Permite a los responsables de seguridad y compliance de AAPP resolver dudas sobre clasificación NIS2, gap analysis ENS-NIS2, cláusulas para pliegos TIC, protocolo de notificación LUCIA y formación directiva, citando en cada respuesta el artículo exacto de NIS2 o la guía CCN-STIC correspondiente. Sin necesidad de consultar múltiples documentos en paralelo.

IgeraRegTech NIS2 AAPP en acción

Entrenado con NIS2, ENS, Guías CCN-STIC y normativa de contratación pública. Respuestas con cita exacta del artículo o la guía CCN-STIC.

Clasificador AAPP bajo NIS2

Determina si tu administración está sujeta a NIS2 y en qué categoría, considerando el tipo de AAPP (local, autonómica, estatal), los servicios prestados y los umbrales de empleados y presupuesto.

Clasificación en < 10 min

Gap analysis ENS vs NIS2

Mapeo completo entre las medidas de seguridad del ENS (categorías Básica, Media, Alta) y los 10 requisitos del art. 21 NIS2. Identifica qué ya cumples y qué necesitas añadir.

Gap analysis completo en 1 día

Protocolo notificación CCN-CERT (LUCIA)

Plantillas de alerta temprana (24h) y notificación completa (72h) adaptadas al sistema LUCIA del CCN-CERT para AAPP, con todos los campos requeridos por NIS2.

100% campos obligatorios

Pliegos TIC con cláusulas NIS2

Cláusulas modelo para pliegos de contratación pública TIC que cumplen el art. 21.2(d) NIS2: notificación de incidentes, auditorías de seguridad, continuidad del servicio y planes de salida.

Contratos NIS2-compliant

Plan formación directiva AAPP art. 20

Programa de formación en ciberseguridad adaptado para cargos electos y altos funcionarios AAPP. Incluye módulos específicos y documentación del cumplimiento del art. 20.2 NIS2.

Documentación auditable

Guías CCN-STIC integradas

RAG entrenado con las Series CCN-STIC 801-850, herramientas INES, LUCIA y ANA del CCN-CERT, y la normativa ENS. Respuestas que citan la guía CCN-STIC correspondiente para cada medida NIS2.

CCN-STIC 800+ integradas

Consultas reales de AAPP, artículos exactos

Así responde IgeraRegTech NIS2 AAPP con NIS2, ENS y las Guías CCN-STIC como fuente de verdad

"Somos un ministerio con más de 2.000 empleados. ¿Estamos sujetos a NIS2 o solo al ENS?"

→

Art. 2.2(f) NIS2: las administraciones públicas de la Administración central del Estado están sujetas a NIS2. Los ministerios, con independencia del número de empleados, prestan servicios digitales esenciales para el funcionamiento del Estado y estarán incluidos en la transposición española. Además del ENS (ya obligatorio por RD 311/2022), NIS2 añade: notificaciones en 24h/72h al CCN-CERT, responsabilidad personal del órgano de dirección (ministro/secretario de estado), y obligaciones de seguridad en contratos con proveedores TIC. Se recomienda realizar un gap analysis ENS-NIS2 para identificar las brechas específicas.

"¿Qué información debemos enviar al CCN-CERT en las primeras 24h si sufrimos un ciberataque?"

→

Art. 23.4(a) NIS2: la alerta temprana en 24 horas a través del sistema LUCIA debe indicar: (1) si el incidente es o puede ser significativo según los umbrales del art. 23.3, (2) si hay indicios de que es causado por un acto ilegal o malicioso, (3) si el incidente tiene o puede tener impacto transfronterizo. No se requiere análisis técnico completo en esta fase. La información técnica detallada (vectores de ataque, sistemas afectados, medidas de contención) se incluye en la notificación completa de 72 horas. El incidente es significativo si provoca interrupciones graves de los servicios o pérdidas económicas superiores a €500K.

"Nuestra AAPP está en categoría ENS Alta certificada. ¿Qué falta para cumplir NIS2?"

→

La certificación ENS categoría Alta cubre la mayor parte de las medidas técnicas del art. 21 NIS2 (políticas de seguridad, gestión de incidentes, continuidad, criptografía, control de acceso). Sin embargo, NIS2 añade obligaciones no contempladas en ENS: (1) plazos de notificación de incidentes más estrictos — 24h para alerta temprana frente a las 72h del ENS, (2) responsabilidad personal del órgano de dirección documentada y supervisada, (3) cláusulas NIS2 obligatorias en contratos con proveedores TIC nuevos y existentes, (4) formación periódica certificada del órgano de dirección (art. 20.2). Se recomienda un gap analysis ENS Alta vs NIS2 para documentar el cumplimiento diferencial.

Preguntas frecuentes — NIS2 en AAPP

Respuestas directas sobre NIS2 para administraciones públicas españolas

¿Un ayuntamiento de 80.000 habitantes está sujeto a NIS2?+

Depende del umbral que establezca la transposición española. La Directiva NIS2 permite a los Estados miembros incluir o excluir AAPP locales. Sin embargo, los ayuntamientos que presten servicios digitales esenciales (registro civil, padrón, servicios online críticos) con más de 50 empleados TIC probablemente estarán incluidos. La transposición española establecerá los umbrales definitivos.

¿Si ya tenemos certificación ENS categoría Alta, cumplimos NIS2 automáticamente?+

Parcialmente. La certificación ENS categoría Alta cubre la mayoría de las medidas técnicas del art. 21 NIS2. Sin embargo, NIS2 añade obligaciones específicas: plazos de notificación de incidentes (24h/72h), responsabilidad personal del órgano de dirección y requisitos de contratos con proveedores TIC. Se recomienda un gap analysis ENS-NIS2 para documentar el cumplimiento diferencial.

¿Qué es el sistema LUCIA del CCN-CERT?+

LUCIA (Lista Unificada de Coordinación de Incidentes y Amenazas) es la plataforma del CCN-CERT para la gestión y coordinación de incidentes de ciberseguridad en las AAPP españolas. Las AAPP deben usar LUCIA para notificar incidentes significativos NIS2, garantizando la trazabilidad y el cumplimiento de los plazos de notificación de 24 horas y 72 horas.

¿Las diputaciones provinciales están sujetas a NIS2?+

La Directiva NIS2 no especifica las diputaciones provinciales explícitamente. La transposición española determinará si están incluidas. En general, cualquier entidad pública que preste servicios digitales esenciales a más de 50.000 personas o con infraestructuras TIC críticas probablemente estará sujeta, independientemente de su denominación jurídica.

¿Hay financiación europea para implementar NIS2 en AAPP?+

Sí. Los fondos del programa Europa Digital (Digital Europe Programme) contemplan partidas específicas para ciberseguridad en AAPP. Además, los planes de recuperación y resiliencia nacionales incluyen inversiones en ciberseguridad pública. La ENISA y CCN publican regularmente convocatorias de apoyo técnico y financiero para implementar NIS2 en el sector público.

¿Hablamos sobre NIS2 en tu AAPP?

Cuéntanos el tipo de administración y tu situación ENS actual y te mostramos el gap NIS2 específico y las acciones prioritarias.

NIS2 en AAPP —Ministerios, CCAA yayuntamientos obligados