NIS2 y clínicas dentales: la nueva ciberseguridad obligatoria que muchas direcciones todavía ignoran

Pocas normativas han generado tanta confusión en el sector sanitario español como la Directiva NIS2. Aprobada por la Unión Europea en 2022 y transpuesta al ordenamiento español, su perímetro de aplicación es más amplio de lo que muchos directivos han asumido. En 2026, una parte significativa de los grupos dentales españoles está dentro del alcance de NIS2 sin saberlo, y por tanto está incumpliendo obligaciones cuya sanción puede ser muy superior al coste de su cumplimiento.

Este artículo es una guía práctica para directores y propietarios de clínicas dentales. No es un análisis jurídico exhaustivo. Su objetivo es responder con claridad a tres preguntas: ¿NIS2 me aplica? Si me aplica, ¿qué tengo que hacer? Y si no la cumplo, ¿qué arriesgo?

Qué es NIS2 y por qué afecta al sector sanitario

NIS2 (Network and Information Security 2) es la directiva europea que actualiza y amplía la regulación de ciberseguridad para entidades consideradas esenciales o importantes para el funcionamiento social y económico. Una de las grandes novedades respecto a la NIS original es la ampliación del perímetro al sector sanitario, incluyendo entidades que prestan servicios sanitarios privados.

La lógica del legislador es clara: en un sector que maneja datos sensibles de salud y que es objetivo creciente de ataques de ransomware, no basta con que los grandes hospitales públicos tengan medidas de ciberseguridad. La amenaza es transversal y la cadena de exposición incluye a clínicas privadas medianas y grandes. La normativa quiere asegurar un nivel mínimo común de protección en toda la cadena.

Cuándo aplica NIS2 a una clínica dental

La aplicación de NIS2 no es universal. Depende de criterios de tamaño y de actividad. En el sector sanitario, la directiva considera entidades importantes a las que cumplen al menos uno de los siguientes criterios.

• Plantilla igual o superior a 50 empleados (computando el conjunto del grupo si hay varias sedes).
• Volumen de negocio o balance anual superior a 10 millones de euros.
• Operadores designados como esenciales por la autoridad nacional competente, incluso si no cumplen los criterios de tamaño.

Esto significa que una clínica dental unipersonal claramente no está obligada. Pero un grupo dental con tres o cuatro clínicas y cincuenta empleados en total sí lo está. Y los grupos medianos y grandes, prácticamente todos, están dentro del alcance.

Conviene también recordar que, aunque una clínica individual no esté obligada directamente, las clínicas que prestan servicios o reciben pacientes derivados de entidades obligadas pueden ser requeridas por estas para demostrar un nivel mínimo de seguridad como condición de la relación comercial. NIS2 tiene un efecto cascada que va más allá del perímetro literal de obligados.

Las obligaciones concretas para una clínica dental obligada

La directiva y su transposición articulan las obligaciones de las entidades en cuatro grandes bloques. Cada uno de ellos se traduce en acciones específicas que la clínica debe poder demostrar.

Bloque 1: Gestión de riesgos de ciberseguridad

La clínica debe tener un análisis formal de riesgos de ciberseguridad, actualizado al menos anualmente, que identifique los activos críticos (sistemas de gestión, datos de pacientes, equipos clínicos conectados), las amenazas más probables y las medidas de mitigación. Este análisis debe estar documentado y aprobado por la dirección.

Bloque 2: Política de seguridad y medidas técnicas

Las medidas técnicas mínimas exigidas incluyen: cifrado de datos sensibles, controles de acceso basados en roles, autenticación multifactor para accesos administrativos, copias de seguridad regulares y testadas, segmentación de redes, actualización sistemática de software y sistemas operativos, y protección frente a malware. Cada medida debe estar documentada y aplicada de forma demostrable.

Bloque 3: Notificación de incidentes

Una de las obligaciones más relevantes de NIS2 es el deber de notificar incidentes significativos de ciberseguridad a la autoridad nacional en plazos muy cortos. La notificación inicial debe producirse dentro de las 24 horas siguientes al conocimiento del incidente, con un informe más detallado en 72 horas y un informe final en un mes. Las clínicas deben tener procedimientos preestablecidos para cumplir estos plazos.

Bloque 4: Formación y responsabilidad de la alta dirección

La directiva exige formación periódica en ciberseguridad para todo el personal, con especial énfasis en el órgano de administración. La responsabilidad última del cumplimiento recae en la dirección, y los administradores deben tener competencia documentada en materia de ciberseguridad para tomar las decisiones que les corresponden.

Las sanciones de NIS2 son significativamente más altas que las de la normativa previa

Una de las razones por las que NIS2 es difícil de ignorar es el régimen sancionador. Las multas máximas para entidades importantes pueden alcanzar los 7 millones de euros o el 1,4 por ciento del volumen de negocio anual mundial, el que sea mayor. Y, además de la sanción económica, la normativa permite la suspensión temporal de directivos responsables y la prohibición de ejercer ciertas funciones.

Estas cifras parecen lejanas de la realidad de un grupo dental medio, pero conviene recordar que las sanciones se gradúan en función de la gravedad del incumplimiento. Una clínica que sufre un incidente significativo y no lo notifica en plazo se enfrenta a un riesgo concreto, no teórico. Y las sanciones por incumplimientos en el sector sanitario en otros países europeos ya están llegando al ámbito sancionador real.

«Si tu grupo dental tiene más de cincuenta empleados, NIS2 te aplica. Si no lo sabías, ya estás en incumplimiento. La buena noticia es que la sanción, hasta hoy, no ha llegado. La mala es que esa ventana se está cerrando».

El plan razonable de adecuación a NIS2 en una clínica dental

Para una clínica o un grupo que detecta que está dentro del alcance de NIS2 y que no ha empezado todavía el proceso de adecuación, el plan razonable consta de cinco fases.

• Fase 1 (mes 1): Diagnóstico de cumplimiento. Análisis del estado actual frente a las exigencias de NIS2 y elaboración del mapa de brechas.
• Fase 2 (meses 2-3): Análisis formal de riesgos. Identificación de activos, amenazas, vulnerabilidades y plan de mitigación priorizado.
• Fase 3 (meses 3-5): Implantación de medidas técnicas críticas. Cifrado, MFA, segmentación, copias de seguridad, control de accesos.
• Fase 4 (mes 6): Procedimientos formales. Política de seguridad, procedimiento de notificación de incidentes, plan de continuidad y respuesta a crisis.
• Fase 5 (mes 6 en adelante): Formación, auditoría interna y mejora continua. Sesiones de formación al equipo, simulacros de incidentes, revisión anual del cumplimiento.

El coste razonable y la relación con otros marcos normativos

El coste de la adecuación a NIS2 varía mucho según el tamaño y el estado de partida del grupo. Para un grupo dental con tres o cuatro sedes que parte de un nivel bajo de cumplimiento, una estimación realista del coste de adecuación inicial está entre 18.000 y 45.000 euros, distribuidos entre consultoría, inversión técnica y formación. El mantenimiento anual posterior está habitualmente entre 8.000 y 15.000 euros.

Aunque pueda parecer una inversión significativa, conviene ponerla en contexto. Las clínicas obligadas por NIS2 también están sujetas al RGPD, que tiene su propio régimen de sanciones, y al RD 311/2022 del Esquema Nacional de Seguridad cuando prestan servicios en relación con entidades del sector público. Una adecuación bien planteada cubre simultáneamente los tres marcos y reduce el coste agregado de cumplimiento. Hacerlo por separado, en cambio, lo encarece y genera incoherencias.

La pregunta correcta para la dirección no es si invertir o no en NIS2. Es si invertir hoy con planificación o esperar a tener que invertir con urgencia tras un incidente o una inspección. Las direcciones que están haciendo este movimiento con tiempo lo están convirtiendo, además, en una ventaja competitiva frente a sus competidores que todavía no lo han abordado.