El incumplimiento de la Directiva NIS2 dentro de los plazos establecidos por la ACN expone a las empresas a consecuencias muy relevantes desde el punto de vista sancionador, operativo y reputacional.

Sanciones previstas por el Decreto Legislativo 138/2024

Incumplimiento de las obligaciones de notificación

El Decreto Legislativo 138/2024 establece un régimen sancionador riguroso: la omisión, la transmisión incompleta o tardía de las notificaciones de incidentes significativos (pre-notificación en 24 horas, notificación en 72 horas, informe final en un mes) prevista por el art. 25 conlleva importantes sanciones administrativas.

Incumplimiento de las obligaciones de comunicación

La falta de registro en el portal de la ACN o la falta de designación del Referente CSIRT antes del 31 de diciembre de 2025 se consideran violaciones de las obligaciones de comunicación previstas en el art. 24 y están sujetas a sanciones económicas.

Cuantía de las multas

Las sanciones pueden alcanzar millones de euros o afectar con un porcentaje significativo de la facturación mundial anual de la organización interesada. La cuantía precisa varía según la gravedad de la infracción y el tipo de sujeto (esencial o importante).

Riesgos operativos y reputacionales

• Interrupciones operativas: Sin un Referente CSIRT experto y sin un plan de respuesta, cualquier ataque informático causará inactividad prolongada y pérdidas económicas debido a la falta de prestación de servicios.
• Daños a la reputación: Una gestión inadecuada de los incidentes o la recepción de sanciones por parte de la ACN puede amenazar la confianza de clientes y socios, poniendo en riesgo la competitividad empresarial.
• Inspecciones y vigilancia: La falta de nombramiento del referente constituye una señal crítica que puede activar inspecciones y vigilancia directa por parte de la Agencia para la Ciberseguridad Nacional (ACN).
• Pérdida de conformidad: Sin el referente, la cadena de notificación se interrumpe y la organización se considera no conforme con la directiva.

El peligro del punto único de fallo humano

• Nombramiento de sustitutos: La Determinación 333017/2025 permite designar a uno o más sustitutos del Referente CSIRT con requisitos técnicos análogos. Esta opción permite evitar que la organización quede desprotegida en caso de indisponibilidad del referente principal.
• Disponibilidad 24/7: Los referentes (o sus sustitutos) deben estar siempre localizables para garantizar la puntualidad en las notificaciones y cumplir con los plazos legales.
• Parálisis en la toma de decisiones: Sin procedimientos internos claros y sustitutos designados, incluso unos pocos minutos de incertidumbre sobre “quién hace qué” pueden agravar los daños en caso de ataque.

Plazos y trámites

• Designación del Referente: El registro en el portal de la ACN está disponible del 20 de noviembre al 31 de diciembre de 2025.
• Diciembre de 2025: Durante este mes no se pueden transmitir declaraciones de 2025 útiles para el registro.
• Nuevo registro 2026: Del 1 de enero al 28 de febrero de 2026, las organizaciones NIS deben enviar una nueva declaración para confirmar o actualizar los datos introducidos el año anterior.

Consecuencias de una gestión superficial

Descuidar el nombramiento del Referente CSIRT u operar sin procedimientos adecuados expone a la organización a sanciones legales y a impactos operativos que ponen seriamente en riesgo la supervivencia empresarial en la economía digital actual.

Analogía

El sistema de defensa empresarial puede compararse con una instalación contra incendios. El Punto de Contacto actúa como el responsable que mantiene las relaciones externas, mientras que el Referente CSIRT es el jefe del equipo interno de emergencia, listo para actuar. No prever sustitutos equivale a tener las alarmas pero nadie que sepa intervenir, dejando a la empresa vulnerable en el momento de necesidad.