Cumplimiento

NIS2 vs RGPD: diferencias y solapamientos

NIS2 vs RGPD: qué protege cada norma, la doble notificación (AEPD 72 h y CSIRT 24 h), autoridades distintas y cómo un mismo incidente activa los dos regímenes.

También disponible en:English

En una frase. El RGPD protege los datos personales; NIS2 protege la ciberseguridad y la continuidad de los servicios. Son normas distintas, con autoridades distintas, pero se solapan en la práctica: un mismo ciberataque puede obligarte a notificar a la AEPD en 72 horas (si hay datos personales) y al CSIRT en 24 horas (si eres entidad NIS2).

Puntos clave

  • Objeto distinto: RGPD = privacidad de las personas; NIS2 = resiliencia de redes y sistemas.
  • Autoridades distintas: AEPD para el RGPD; INCIBE-CERT / CCN-CERT y la autoridad competente para NIS2.
  • Doble notificación: un incidente puede activar los dos regímenes con plazos y destinatarios diferentes.
  • Solapamiento de medidas: la seguridad del art. 32 RGPD y la del art. 21 NIS2 se refuerzan mutuamente.
  • Conviene gestionarlos de forma coordinada, no en silos separados.

1. Dos normas, dos objetivos

Es el error conceptual más frecuente: creer que NIS2 es “el RGPD de la ciberseguridad”. No lo es. El RGPD tiene un objetivo: proteger los derechos y libertades de las personas cuyos datos se tratan. La Directiva (UE) 2022/2555 (NIS2) tiene otro: elevar el nivel de ciberseguridad y continuidad de los servicios esenciales e importantes en la UE.

La consecuencia práctica es que puedes cumplir uno e incumplir el otro. Una empresa puede tener una seguridad técnica impecable (bien para NIS2) y a la vez tratar datos sin base jurídica ni información adecuada (mal para el RGPD). Y al revés.

2. Tabla comparativa

Dimensión RGPD NIS2
Qué protege Datos personales, derechos de las personas Ciberseguridad y continuidad de servicios
Tipo de norma Reglamento (directamente aplicable) Directiva (requiere transposición)
A quién obliga Todo responsable/encargado que trate datos Entidades esenciales e importantes de sectores críticos
Autoridad (España) AEPD INCIBE-CERT, CCN-CERT, autoridad competente
Notificación de incidente Brecha a la autoridad en 72 h (art. 33) Alerta temprana en 24 h, notificación 72 h (art. 23)
Multa máxima 20 M€ o 4 % (art. 83) 10 M€ o 2 % (esenciales), 7 M€ o 1,4 % (importantes)
Responsabilidad directiva Del responsable como persona jurídica Personal de los órganos de dirección

Para determinar si estás dentro del ámbito de NIS2, consulta entidades esenciales e importantes; para el estado del marco español, NIS2 en España.

3. El punto crítico: la doble notificación

Aquí es donde el solapamiento se vuelve operativamente peligroso. Imagina un ransomware que cifra la base de datos de clientes de un hospital privado que es entidad esencial NIS2. Ese único incidente dispara dos obligaciones paralelas:

  1. Ante la AEPD (RGPD): si hay riesgo para los datos personales, notificación de brecha de seguridad en 72 horas desde que se tiene constancia (art. 33 RGPD), y comunicación a los afectados si el riesgo es alto (art. 34).
  2. Ante el CSIRT competente (NIS2): alerta temprana en 24 horas y notificación completa en 72 horas (art. 23 NIS2), con un informe final en un mes.

Los plazos, los destinatarios y el contenido son distintos. Un equipo que solo tenga interiorizado el reloj de las 72 horas del RGPD llegará tarde a la alerta de 24 horas de NIS2. Por eso el procedimiento interno de gestión de incidentes debe contemplar ambos relojes desde el minuto cero. El detalle del régimen NIS2 está en notificación de incidentes NIS2.

4. Matriz de solapamiento de medidas

Buena noticia: muchas medidas sirven para los dos regímenes. El art. 32 RGPD (seguridad del tratamiento) y el art. 21 NIS2 (gestión de riesgos) pintan en gran parte el mismo cuadro.

Medida Art. 32 RGPD Art. 21 NIS2
Análisis de riesgos
Cifrado Sí (recomendado)
Control de accesos
Gestión de incidentes Sí (brechas)
Continuidad y copias de seguridad Implícito Sí (explícito)
Seguridad de la cadena de suministro Vía art. 28 (encargados) Sí (explícito)
Formación de la dirección Implícito Sí (obligatorio)

La conclusión estratégica es clara: no montes dos sistemas de gestión separados. Un único inventario de activos y tratamientos, con un mapa de riesgos común, alimenta a la vez el cumplimiento del RGPD y de NIS2. Herramientas como Legiscope mantienen ese inventario y las actividades de tratamiento de forma centralizada, que es el punto de partida de ambos marcos.

5. Dónde divergen de verdad

Que las medidas se solapen no significa que los marcos sean intercambiables. Hay tres diferencias que ningún equipo debería pasar por alto.

Primero, el sujeto obligado. El RGPD obliga a cualquiera que trate datos personales, desde un autónomo hasta una multinacional. NIS2 solo obliga a las entidades esenciales e importantes de sectores concretos. Una consultora pequeña que trata datos de clientes está plenamente sujeta al RGPD y, casi con seguridad, fuera de NIS2.

Segundo, el bien jurídico. El RGPD protege a la persona; su preocupación es el daño a la privacidad y a los derechos del individuo. NIS2 protege al servicio; su preocupación es la interrupción y el efecto en cadena sobre la economía y la sociedad. Un incidente puede ser gravísimo para NIS2 (caída de un servicio esencial) y neutro para el RGPD si no hay datos personales implicados, y a la inversa.

Tercero, y decisivo, la responsabilidad de la dirección. NIS2 obliga a los órganos de gobierno a aprobar y supervisar las medidas de ciberseguridad y a formarse, con responsabilidad personal si incumplen. El RGPD atribuye la responsabilidad a la organización como tal. Este desplazamiento hacia el consejo de administración es la razón por la que NIS2 está llegando a los comités de dirección con una fuerza que el RGPD tardó años en alcanzar.

Entender estas divergencias es lo que evita el error de “ya cumplo el RGPD, luego cumplo NIS2”: son primos, no gemelos.

Hay incluso un cuarto matiz de calado jurídico: el RGPD es un reglamento, directamente aplicable en toda la UE desde 2018 con un texto único, mientras que NIS2 es una directiva que cada Estado transpone a su derecho interno, con margen para endurecer requisitos o precisar umbrales. Eso significa que el detalle de NIS2 puede variar de un país a otro —plazos exactos, autoridades, importes de las multas—, algo que no ocurre con el RGPD. Para un grupo con presencia en varios Estados miembros, el RGPD ofrece un terreno homogéneo; NIS2, en cambio, obliga a revisar la transposición nacional de cada jurisdicción donde opera. Ignorar esa asimetría es otra forma sutil de confundir ambos marcos.

6. Recursos oficiales

Véase también: NIS2 en el sector energético.

Véase también: Reglamento de Inteligencia Artificial.

FAQ

¿NIS2 sustituye al RGPD?

No. Son normas complementarias con objetos distintos. NIS2 no protege datos personales, sino la seguridad y continuidad de los servicios. Ambas se aplican de forma acumulativa a quien esté sujeto a las dos.

Si sufro un ciberataque, ¿tengo que notificar a la AEPD y al CSIRT?

Depende. A la AEPD, solo si hay datos personales en riesgo (72 h, art. 33 RGPD). Al CSIRT, solo si eres entidad NIS2 y el incidente es significativo (alerta en 24 h, art. 23 NIS2). Muchos ataques activan las dos obligaciones a la vez, con plazos distintos.

¿Puedo usar las mismas medidas de seguridad para los dos?

En gran parte, sí. El art. 32 RGPD y el art. 21 NIS2 comparten análisis de riesgos, cifrado, control de accesos y gestión de incidentes. Lo eficiente es un sistema único, no dos paralelos.

¿Qué diferencia hay en las sanciones?

El RGPD llega a 20 M€ o el 4 % de la facturación. NIS2 llega a 10 M€ o el 2 % (esenciales) y añade algo que el RGPD no tiene: la responsabilidad personal de los directivos. Véase sanciones NIS2.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →