La Directiva NIS2 en España y la seguridad de las instalaciones

La directiva SRI2 (Redes y Sistemas de Información 2), más conocida por su acrónimo en inglés NIS2 (Network and Information Security 2), es un texto europeo que complementa y actualiza la anterior directiva NIS. Para muchas organizaciones que buscan entender qué es NIS2, esta directiva establece un marco común de gestión del riesgo y resiliencia.

Adoptada por la UE en diciembre de 2022, la directiva entró en vigor en enero de 2023 y debía ser transpuesta por los Estados miembros como muy tarde en octubre de 2024 (con aplicación de las medidas nacionales desde octubre de 2024).

En España, su aplicación depende de la adopción de los textos de transposición y de los textos de desarrollo: España no llegó a tiempo al plazo de transposición y, a la fecha de la información pública disponible en la Comisión Europea (julio de 2025), no se había notificado la transposición completa.

El objetivo de la directiva SRI2/NIS2 es reforzar y armonizar la ciberseguridad en toda la Unión Europea. También establece requisitos y obligaciones mínimas para la gestión de riesgos y la notificación de incidentes de ciberseguridad en las entidades afectadas. Complementaria a DORA (Digital Operational Resilience Act) y buscando evitar solapamientos, NIS2 amplía, en particular, el ámbito de aplicación anterior e impone nuevas obligaciones estrictas a las organizaciones afectadas. En España, esto representa miles de empresas y las estimaciones publicadas varían según el criterio de cálculo (sector, tamaño, tipo de entidad, etc.).

La NIS2 se suele asociar a controles digitales o TI, pero no está limitada al ámbito de la ciberseguridad. El texto legal deja claro que la protección de los servicios esenciales depende tanto de las medidas de ciberseguridad como de la seguridad física y ambiental.

Por ejemplo, aunque un firewall funcione a la perfección, si un intruso logra superar las barreras de acceso y entrar en una sala técnica, la protección de la empresa presenta debilidades: la seguridad lógica no está alineada con la protección de las instalaciones.

En este contexto, las entidades afectadas tienen que considerar que, bajo este marco, las medidas de protección en instalaciones ahora también forman parte de la ciberseguridad. La NIS2 incorpora la necesidad de proteger los entornos físicos donde operan los sistemas críticos, como:

• Seguridad de edificios e instalaciones
• Control de accesos a zonas críticas
• Protección de perímetros
• Seguridad de centros de datos y salas técnicas
• Infraestructuras operativas y emplazamientos distribuidos

Este enfoque supone un reto para responsables de seguridad, direcciones de ciberseguridad, CISOs, operadores esenciales y administraciones públicas en España. Ahora, la cooperación entre ciberseguridad y la protección de instalaciones no es opcional: es una necesidad

NIS2, en resumen: qué cambia en la protección de instalaciones

Objetivos y ámbito de aplicación de NIS2

La directiva NIS2 establece un marco común de resiliencia operacional para todos los sectores considerados esenciales o críticos dentro de la Unión Europea. Su enfoque se basa en la gestión integral del riesgo y exige que las organizaciones se adapten para poder continuar con su actividad. Esto implica medidas tanto técnicas como físicas donde la seguridad ya no se entienda únicamente como un conjunto de controles digitales, sino como un ecosistema que abarca personas, procesos, tecnología y entornos físicos.

En España, la supervisión de cumplimiento de la directiva se distribuye entre varios organismos:

• INCIBE: Instituto Nacional de Ciberseguridad.
• CNPIC: Centro Nacional de Protección de Infraestructuras Críticas.
• CCN-CERT: Centro Criptológico Nacional.

La directiva aplica a nivel europeo, pero España desarrollará sus especificaciones a nivel nacional. Los organismos locales definirán qué sectores quedan incluidos y qué sanciones se aplicarán en cada caso.

Más que centrarse en lo jurídico, es importante adoptar una nueva perspectiva operativa. En la práctica, las organizaciones deben identificar qué activos, equipos y entornos físicos son imprescindibles para la continuidad del servicio y cómo deben protegerse.

¿Por qué la protección de instalaciones gana peso con NIS2?

La protección de instalaciones pasa a ser un componente clave del cumplimiento NIS2. Componentes como los sistemas de control de accesos, las cámaras de seguridad y la supervisión de salas técnicas dejan de ser medidas aisladas y se integran en la gestión del riesgo que exige la directiva. Estos sistemas permiten verificar quién accede a zonas críticas en tiempo real y aportan trazabilidad ante cualquier incidente.

La resiliencia digital depende cada vez más de la protección del entorno físico donde operan los sistemas críticos.

¿A qué industrias afecta la Directiva NIS2?

En este contexto, la Directiva NIS2 amplía de forma significativa el número de organizaciones sujetas a requisitos de ciberseguridad y resiliencia operativa en la Unión Europea. Su alcance ya no se limita a unas pocas infraestructuras críticas, sino que incluye a empresas y entidades públicas cuya actividad es clave para el funcionamiento de la economía y la sociedad.

La NIS2 clasifica a las organizaciones afectadas en entidades esenciales y entidades importantes, en función del impacto que tendría una interrupción de sus servicios.

Entidades esenciales: Se consideran entidades esenciales aquellas organizaciones cuya actividad resulta crítica para la continuidad de servicios fundamentales. Entre ellas se incluyen las de los siguientes sectores: 

• Energía
• Transporte
• Banca e infraestructuras de mercados financieros
• Sanidad
• Agua potable
• Infraestructura digital
• Administración pública
• Servicios espaciales

Estas entidades están sujetas a supervisión más estricta y deben aplicar medidas organizativas, técnicas y físicas adecuadas .

Entidades importantes: La Directiva NIS2 también abarca entidades consideradas importantes, cuya actividad es necesaria para evitar disrupciones económicas o sociales. Entre ellas se encuentran organizaciones de sectores como:

• Servicios postales y mensajería
• Gestión de residuos
• Alimentación
• Industria química
• Manufactura
• Proveedores de servicios digitales
• Investigación

Aunque el modelo de supervisión suele ser menos proactivo, estas entidades también deben implantar medidas de gestión del riesgo y cumplir con los requisitos de notificación de incidentes.

La NIS2 afecta tanto a empresas medianas y grandes, públicas y privadas, así como a actores relevantes de la cadena de suministro. En la práctica, esto implica que muchas organizaciones pasan a estar sujetas por primera vez a un marco regulatorio que exige evaluar no solo la ciberseguridad, sino también la protección de instalaciones y las condiciones del entorno donde operan sistemas y servicios críticos.

Vulnerabilidades típicas en la protección de instalaciones bajo NIS2

Perímetro, áreas exteriores y ubicaciones remotas

En muchos operadores esenciales en España, la infraestructura no se concentra en un único edificio, sino que se distribuye en varios. Esto hace que el perímetro y las áreas exteriores se conviertan en puntos especialmente sensibles dentro del marco NIS2.

Las vulnerabilidades más comunes aparecen en:

• Accesos secundarios poco controlados o con baja supervisión.
• Instalaciones portuarias o logísticas, donde el flujo constante de personal y vehículos dificulta el control.
• Estaciones técnicas sin personal, como casetas de comunicaciones, centros de bombeo o nodos de red.
• Subestaciones eléctricas, plantas renovables o depósitos municipales, ubicados en zonas aisladas y con exposición directa al entorno.

En estas situaciones, la supervisión suele depender de rondas de guardia presenciales, con varias ventanas de tiempo en las que no hay un control real. Bajo la NIS2, este tipo de entornos se consideran críticos.

Un sistema de cámaras de seguridad con cobertura exterior, el control de accesos centralizado y la capacidad de supervisar varias ubicaciones desde un único punto, permite detectar incidentes en tiempo real y actuar con rapidez incluso cuando no hay personal en la instalación.

Salas de servidores, centros de control y áreas técnicas

Las salas de servidores, los centros de control y las áreas técnicas concentran algunos de los activos más sensibles en cualquier organización sujeta a la NIS2. En estos espacios se ubican:

• CPDs (Centro de Proceso de Datos)
• Salas de red
• Infraestructura eléctrica
• Sistemas de alimentación ininterrumpida (UPS)
• Otros equipos cuya manipulación afecta directamente la continuidad del servicio.

Dada su importancia, estos entornos requieren un acceso estrictamente controlado, con registros fiables de quién entra, cuándo y con qué permisos. La correlación entre logs o registros de control de accesos y videovigilancia permite verificar cada evento, detectar comportamientos anómalos y reconstruir incidentes con precisión.

Disponer de un control de acceso con roles específicos, combinado con supervisión por vídeo, aporta la trazabilidad necesaria para asegurar que solo el personal autorizado acceda a estos espacios.

Requisitos NIS2 para el control de accesos y la protección del recinto

Zonas de seguridad y modelos de acceso

En muchos entornos, la gestión del acceso sigue dependiendo de llaves físicas o tarjetas no centralizadas. Esto dificulta la trazabilidad y la revisión de permisos. En cambio, un sistema de control de acceso centralizado permite mantener un registro fiable.

La NIS2 exige que las organizaciones definan y gestionen adecuadamente sus zonas de seguridad para garantizar que solo el personal autorizado acceda a espacios donde se encuentran los activos críticos.

Los modelos más habituales incluyen:

• Área pública: no se requiere identificación.
• Área restringida: sólo acceden empleados y personal autorizado.
• Área crítica: salas técnicas, CPDs, nodos de red o infraestructuras sensibles que requieren controles reforzados.

Sobre esta estructura se aplican principios fundamentales como:

• Mínimo privilegio: El acceso está limitado a lo estrictamente necesario para el rol de cada persona
• Segregación de funciones: Evita que un único perfil acumule permisos excesivos.

Registros de acceso y auditabilidad

La NIS2 exige que las organizaciones puedan reconstruir cualquier evento relevante para la seguridad con precisión, especialmente aquellos que afecten zonas críticas o sistemas esenciales. Esto implica disponer de información fiable sobre:

• Quién accedió
• Cuándo lo hizo
• A qué espacio concreto y con qué autorización

Los registros de control de acceso deben integrarse con sistemas de cámaras de seguridad capaces de asociar cada evento con su correspondiente imagen o secuencia de vídeo.

Papel de las cámaras de seguridad en incidentes NIS2

Las cámaras de seguridad tienen un papel protagonista en la gestión de incidentes contemplados por la directiva NIS2, especialmente en situaciones de vandalismo, intrusión, sabotaje o tailgating, donde un acceso físico no autorizado puede poner en peligro la continuidad del servicio. En estos casos, las cámaras proporcionan visibilidad para detectar anomalías y verificar alertas en tiempo real, además de aportar información clave en el análisis post-incidente.

Requisitos para una plataforma de vídeo empresarial

La videovigilancia bajo NIS2 requiere algo más que cámaras o grabadores aislados. Para garantizar una supervisión coherente y coordinada, se necesita una plataforma de gestión de vídeo empresarial, también conocida como VMS (Video Management System).

Un VMS empresarial aporta capacidades esenciales como:

• Administración centralizada
• Gestión multi‑sede
• Permisos basados en roles
• Alarmas y eventos configurables
• Exportación de logs y evidencias

La gestión tradicional de videovigilancia mediante DVR o NVR carece de un estándar común y de un control centralizado. Sin embargo, un VMS empresarial elimina estas limitaciones al centralizar la gestión en una sola plataforma, lo que permite responder a incidentes de manera más rápida y confiable.

Privacidad, retención y gobernanza

En el contexto español, la videovigilancia debe equilibrar los requisitos de seguridad, la protección de datos y los derechos del personal, dentro de un enfoque de cumplimiento NIS2. La NIS2 no sustituye estas obligaciones, sino que las refuerza: exige que las organizaciones gestionen sus sistemas de vídeo con criterios de gobernanza, asegurando que el uso de las imágenes sea proporcional y equitativo para todas sus instalaciones.

Para ello, es necesario establecer políticas que determinen:

• Quién puede ver las imágenes
• Durante cuánto tiempo deben conservarse
• Quién puede exportar o descargar evidencias

Si las políticas de privacidad y retención varían entre edificios, mantener un estándar común es difícil, y aumenta el riesgo de incumplimiento. Pero una plataforma de vídeo empresarial centralizada permite aplicar las mismas reglas en todas las instalaciones.

Seguridad unificada: vídeo y control de acceso

Ventajas de una solución integrada

La integración entre un sistema de cámaras de seguridad y un sistema de control de acceso permite que cada evento físico se acompañe de un contexto visual, como un vídeo o una imagen. Esto implica que una tarjeta presentada, una puerta abierta o un intento fallido de acceso queden registrados.

Cuando ambos sistemas trabajan de forma conjunta, la investigación de incidentes se vuelve mucho más ágil. En lugar de revisar registros por un lado y cámaras por otro, la plataforma muestra la información asociada al evento al instante.

Las soluciones de Avigilon

Avigilon ofrece tecnologías y soluciones integradas que respaldan la implantación de medidas esenciales de protección en instalaciones, con capacidades técnicas alineadas con los requisitos de NIS2 y que facilitan la supervisión, la detección y la gestión operativa.

Soluciones de control de accesos

Los sistemas de control de accesos de Avigilon permiten gestionar el acceso mediante identidades, roles y permisos desde una interfaz centralizada para puertas, lectores y zonas. Tanto si su organización necesita el control total de los datos en sus propias instalaciones como si prefiere el enfoque flexible y nativo en la nube, Avigilon ofrece ambas plataformas, diseñadas para cumplir con los requisitos de conformidad con la NIS2.

Para garantizar la integridad de los datos y el acceso restringido, estas soluciones incorporan protocolos avanzados de cifrado y ofrecen autenticación multifactor (MFA). Esto incluye un enfoque por capas que combina tarjetas y PIN tradicionales con biometría y credenciales móviles seguras, con el objetivo de reducir el riesgo de accesos no autorizados.

Hardware de vídeo avanzado y sensores ambientales

Para dar respuesta a distintas necesidades de protección, Avigilon ofrece una amplia gama de cámaras de seguridad, incluidas cámaras de alta resolución para una visualización detallada, modelos de alto rendimiento en baja iluminación para aparcamientos y cámaras térmicas para escenarios exigentes en el exterior de las instalaciones. La gama también incluye cámaras de seguridad inteligentes con IA, que añaden una capa de análisis inteligente al sistema.

El ecosistema puede reforzarse aún más con sensores inteligentes capaces de detectar amenazas atmosféricas y ambientales. La integración de estos sensores con la red de cámaras proporciona una visión situacional completa en toda la instalación.

Analítica de vídeo y automatización con IA

La analítica de vídeo basada en IA permite identificar patrones críticos, como movimientos inusuales en zonas restringidas, permanencias prolongadas y accesos no autorizados. Las analíticas con IA de Avigilon están diseñadas para asistir a los operadores mediante la evaluación automática de los datos de vídeo y la notificación proactiva de eventos sospechosos al equipo responsable. En la práctica, esto reduce la carga de supervisión manual y permite centrar la atención en una respuesta priorizada ante incidentes de mayor riesgo.

Estas funciones inteligentes son clave para acelerar la verificación y mejorar la capacidad de respuesta global. Las alertas automáticas y la activación de protocolos agilizan la gestión de incidentes, mientras que las notificaciones contextualizadas proporcionan al personal la información específica necesaria para tomar decisiones rápidas y fundamentadas.

Conclusión

La protección de instalaciones desempeña un papel esencial en la resiliencia y el cumplimiento NIS2 que exige la directiva. El control de accesos, la videovigilancia, la trazabilidad de eventos y la gobernanza de permisos son elementos que contribuyen directamente a la capacidad de investigar y responder a incidentes que puedan afectar a infraestructuras críticas. Integrar estos componentes con los entornos IT, OT y los procesos del SOC permite obtener una visión completa del riesgo y reforzar la capacidad operativa de la organización.

Cada entidad debe adaptar estas medidas a su realidad, su infraestructura y su nivel de madurez. Por ello, una evaluación o diagnóstico de protección en instalaciones puede ayudar a identificar brechas, priorizar acciones y definir una hoja de ruta coherente, siempre dentro del marco normativo aplicable y sin constituir, por sí mismo, una interpretación jurídica ni una garantía de cumplimiento.