12 de julio de 2026

NIS2 y autenticación: lo que deben cambiar las entidades esenciales e importantes

NIS2 convierte la autenticación fuerte en una obligación legal con responsabilidad del consejo. Qué exige la directiva a sus accesos y cómo cerrarla.

El plazo ya ha vencido. NIS2 —la directiva de ciberseguridad actualizada de la UE— debía transponerse a la legislación nacional de todos los Estados miembros antes del 17 de octubre de 2024. Si su organización presta servicios esenciales, o es un actor relevante en alguno de los sectores cubiertos, la pregunta ya no es si le aplican las normas: es si puede demostrar ante un regulador que sus controles de acceso las cumplen. Y, por primera vez, esa pregunta recae sobre el consejo de administración, no solo sobre el departamento de TI.

La autenticación ya figura en la ley, no solo en las guías

Los marcos de buenas prácticas anteriores recomendaban la autenticación multifactor. NIS2 va más allá. Sus medidas básicas de gestión de riesgos (artículo 21) obligan a las organizaciones a implantar controles técnicos que incluyen políticas de control de acceso, criptografía y —de forma expresa— el uso de soluciones de autenticación multifactor o de autenticación continua cuando proceda.

En la práctica, un segundo factor débil u opcional ya no es una posición defendible. Si un auditor pregunta cómo inicia sesión un administrador con privilegios en su VPN, en sus servidores Windows o en su consola de gestión, «una contraseña y a veces un código SMS» es la respuesta que abre una no conformidad.

A quién aplica

NIS2 divide a las organizaciones en entidades esenciales e importantes en un amplio conjunto de sectores: energía, transporte, banca e infraestructuras de los mercados financieros, sanidad, agua potable y aguas residuales, infraestructuras digitales, administración pública y más, con un segundo nivel que incorpora los servicios postales, la gestión de residuos, la fabricación, la alimentación, la química y los proveedores digitales. Muchas organizaciones que quedaban fuera de la Directiva NIS original están ahora plenamente dentro de su sucesora.

Dos cambios llevan esto más allá de una simple casilla de cumplimiento:

  • Responsabilidad de la dirección. Los consejos deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, y pueden ser considerados personalmente responsables de los incumplimientos.
  • Sanciones reales. Las autoridades de supervisión pueden imponer multas significativas: hasta 10 millones de euros o el 2 % de la facturación anual mundial, la cifra que sea mayor, en el caso de las entidades esenciales.

Cómo es realmente una autenticación «a la altura de NIS2»

Tener algo de MFA no equivale a cumplir el espíritu de la directiva. Tres elementos separan un control que satisface a un auditor de otro que solo luce bien en una diapositiva:

  • Resistencia al phishing. Los códigos SMS pueden interceptarse o verse comprometidos por un cambio de SIM, y tanto ellos como el push básico de un solo toque sucumben a la retransmisión por un adversario en el medio (AiTM). Una clave vinculada al hardware dentro del dispositivo del usuario —una que no puede copiarse ni reproducirse— elimina esa categoría de riesgo. La fatiga de notificaciones es un problema aparte, y ninguna clave ni dato biométrico la detiene una vez que la solicitud llega al teléfono: solo se vence mediante lo que la solicitud muestra —una descripción precisa y legible de exactamente qué se está aprobando—, de modo que nunca se aprueba nada a ciegas.
  • Cobertura del acceso privilegiado y remoto. El requisito no es «MFA en el correo web». Es toda vía que un atacante utilizaría realmente: VPN, escritorio remoto, inicios de sesión en servidores, consolas de administración.
  • Evidencia. NIS2 trata tanto de demostrar el control como de tenerlo. Cada autenticación debe dejar un registro auditable e inalterable de quién aprobó qué, y cuándo.

Dónde encaja Notakey

Notakey está diseñado precisamente para este perfil de organización: regulada, consciente de la seguridad y sujeta al escrutinio de los auditores.

  • La clave del usuario se genera dentro del hardware seguro del teléfono y nunca sale de él. No hay secreto compartido que robar ni nada que suplantar.
  • Cada inicio de sesión y cada transacción es un evento firmado criptográficamente y con marca de tiempo: el rastro de auditoría que exige una evaluación NIS2, generado automáticamente en lugar de reconstruido a posteriori.
  • Cubre las vías de acceso que importan, sobre los protocolos que sus sistemas ya hablan. Consulte las guías prácticas para 2FA en una VPN sobre RADIUS, escritorio remoto de Windows y SSH en Linux.
  • Funciona en su propia infraestructura o en la nube, de modo que los datos de autenticación pueden permanecer bajo su control, con alineación con PSD2, eIDAS y RGPD integrada de fábrica en lugar de añadida sobre la marcha.

Deliberadamente no vamos a decirle que Notakey «le hace cumplir con NIS2»: ningún producto lo consigue por sí solo. Lo que sí hace es cerrar la parte de la brecha relativa a la autenticación, y entregarle la evidencia para demostrarlo.

Empiece con un piloto, no con un documento de políticas

La forma más rápida de averiguar si su autenticación cumple NIS2 es ponerla a prueba contra su propio entorno: una VPN real, un inicio de sesión de administrador real, un puñado de usuarios reales. Eso le dice más sobre su brecha —y sobre su evidencia— en una semana que lo que una matriz de funcionalidades le dice en un trimestre.

Pruebe la demo en vivo para firmar una transacción desde su propio teléfono en unos dos minutos, o solicite una demostración y trazaremos su acceso por VPN, SSO o Windows hasta convertirlo en un piloto funcional.


Este artículo es información general, no asesoramiento jurídico. NIS2 se transpone a la legislación nacional de forma independiente por cada Estado miembro de la UE; confirme con asesoría cualificada las obligaciones, los umbrales y los plazos concretos que apliquen a su organización.

← Todos los artículos

Su primer inicio de sesión sin contraseña, esta misma semana

30 minutos con un ingeniero, no una presentación comercial. Juntos planificaremos cómo poner en marcha un piloto funcional en su entorno de VPN, SSO o Windows.