La ciberseguridad ya no es un asunto exclusivo de las grandes tecnológicas o las infraestructuras críticas evidentes. Con la entrada en vigor de la Directiva (UE) 2022/2555 —conocida como NIS2—, el nuevo marco regulador europeo se extiende a sectores hasta ahora considerados periféricos en materia de ciberprotección. Entre ellos, destacan las constructoras e inmobiliarias que trabajan con la Administración Pública, obligadas ahora a cumplir exigencias específicas en la gestión de sus sistemas digitales. En este artículo te contamos cómo afecta la NIS2 a estas empresas, qué implica para sus contratos públicos y qué medidas deben adoptar desde ya para evitar sanciones y riesgos operativos.
NIS2: nueva ciberseguridad obligatoria para sectores estratégicos
La Directiva NIS2, que sustituye y amplía la anterior NIS de 2016, tiene como objetivo reforzar la resiliencia digital de sectores que, directa o indirectamente, sustentan el funcionamiento de los servicios esenciales de la sociedad.
Entre los principales cambios de la NIS2 destacan:
Ampliación del número de sectores y entidades cubiertas.
Elevación de las exigencias técnicas y organizativas.
Obligaciones formales y materiales de cumplimiento verificable.
Régimen sancionador estricto, incluso para entidades subcontratadas.
Responsabilidad directa de los órganos de dirección.
En este nuevo marco, las empresas privadas que operan en contratos públicos con implicación digital o infraestructural relevante pasan a estar sujetas a obligaciones específicas. Es el caso de muchas constructoras e inmobiliarias, que trabajan con ayuntamientos, diputaciones, consorcios, empresas públicas o entes autonómicos.
¿Por qué afecta la NIS2 a constructoras e inmobiliarias?
Las empresas del sector construcción e inmobiliario pueden quedar directamente afectadas por la NIS2 cuando:
Ejecutan obras o servicios para administraciones públicas que afectan a infraestructuras críticas o esenciales (viales, edificios oficiales, sistemas de abastecimiento, saneamiento, etc.).
Manejan o integran sistemas digitales vinculados a la prestación de servicios públicos (software de gestión energética, sensores IoT, control de acceso inteligente, etc.).
Acceden o procesan información sensible vinculada a contratos públicos, como datos de catastro, urbanismo, trazabilidad de materiales o certificaciones técnicas.
Actúan como proveedores tecnológicos o utilizan plataformas que interactúan con los sistemas digitales del sector público.
Es decir, no se trata solo de grandes promotoras o constructoras nacionales. También pequeñas y medianas empresas pueden quedar obligadas por NIS2 si trabajan con el sector público y su actividad impacta en la seguridad digital de los servicios esenciales.
Obligaciones clave que impone NIS2 a estas empresas
1. Medidas de ciberseguridad proporcionadas al riesgo
Todas las entidades obligadas deben aplicar medidas técnicas y organizativas adecuadas, entre ellas:
Evaluación continua de riesgos digitales.
Protección de redes, sistemas y dispositivos conectados.
Control de accesos y autenticación reforzada.
Seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
Cifrado de datos críticos.
Estas medidas deben aplicarse también a la cadena de suministro, lo que implica que las constructoras e inmobiliarias deben asegurar la seguridad digital de sus propios proveedores tecnológicos y de servicios.
2. Registro y respuesta a incidentes
Las empresas deben contar con:
Sistemas de monitorización y registro de eventos e incidentes.
Protocolos de respuesta inmediata ante ciberataques.
Procedimientos para mantener la continuidad del negocio.
Los incidentes que comprometan la integridad, disponibilidad o confidencialidad de los sistemas deben ser notificados a la autoridad competente en un plazo máximo de 24 horas desde su detección.
3. Documentación y supervisión
NIS2 exige que las entidades dispongan de:
Política de ciberseguridad corporativa.
Inventario de activos digitales y vulnerabilidades.
Planes de continuidad y recuperación ante desastres.
Informes y registros auditables para procesos de inspección.
Estos requisitos se extienden también a empresas subcontratadas si su actividad impacta en el nivel de seguridad global del contrato público.
4. Formación y responsabilidad del órgano de dirección
La directiva establece que la alta dirección es responsable directa del cumplimiento de las medidas de seguridad. Además, deberán asegurarse de que:
Existen procedimientos formales de gestión del riesgo digital.
Se imparte formación periódica y actualizada al personal con acceso a sistemas digitales.
Se supervisan los contratos tecnológicos desde la óptica de la ciberseguridad.
No basta con delegar en departamentos informáticos: la implicación debe ser estratégica.
Cómo impacta NIS2 en contratos públicos del sector
Nuevas exigencias en licitaciones
Ya se están incorporando cláusulas vinculadas a NIS2 en pliegos de contratación pública, especialmente en proyectos con componente tecnológico, de obra civil o infraestructuras sostenibles. Estas cláusulas pueden exigir:
Certificados de cumplimiento de ciberseguridad.
Planes de contingencia ante incidentes digitales.
Evidencias de cumplimiento normativo.
Evaluación de terceros subcontratados.
No cumplir con NIS2 puede excluir a la empresa de licitaciones, limitar su capacidad de contratar o generar penalizaciones contractuales.
Integración con el Esquema Nacional de Seguridad (ENS)
Muchas administraciones exigen el cumplimiento del ENS a los proveedores que interactúan con sus sistemas digitales. NIS2 refuerza esta exigencia, de modo que las constructoras que aportan sistemas de control, monitorización o gestión de edificios deberán demostrar su adecuación a este esquema.
Evaluación continua durante la ejecución del contrato
No basta con cumplir requisitos iniciales. La empresa debe poder demostrar, durante toda la ejecución del contrato, que mantiene su nivel de ciberseguridad actualizado. Esto puede implicar auditorías, inspecciones técnicas o revisiones documentales.
Ejemplos reales de riesgo en el sector
Una constructora que gestiona sistemas de domótica en edificios públicos con acceso remoto a través de red.
Una inmobiliaria que trabaja en colaboración con ayuntamientos en desarrollos urbanos y comparte bases de datos cartográficas y catastrales.
Una empresa subcontratada que implementa sensores IoT en infraestructuras viarias para control del tráfico o eficiencia energética.
En todos estos casos, un ataque informático podría comprometer la seguridad de servicios esenciales o datos sensibles, generando responsabilidad legal y operativa para la empresa.
Medidas prácticas para garantizar el cumplimiento
Te contamos cómo actuar con eficacia:
1. Diagnóstico inicial de exposición a NIS2
Identificación de contratos públicos vigentes o previstos.
Análisis de activos digitales vinculados a esas actividades.
Evaluación del nivel actual de ciberseguridad de la empresa.
2. Desarrollo de un plan de medidas organizativas
Definir una política de seguridad formal.
Establecer roles y responsabilidades claras.
Documentar procedimientos de prevención y respuesta.
3. Refuerzo de las medidas técnicas
Control de accesos y segmentación de red.
Registro de eventos y análisis de logs.
Gestión de vulnerabilidades y parches de seguridad.
4. Formación del equipo directivo y técnico
Capacitación específica sobre NIS2 y riesgos digitales.
Concienciación sobre amenazas y uso seguro de sistemas.
Simulacros de ciberincidentes.
5. Revisión de contratos con proveedores y subcontratistas
Incluir cláusulas de cumplimiento de NIS2.
Evaluar la ciberseguridad de terceros clave.
Exigir evidencias de medidas activas de protección.
Estas actuaciones se pueden integrar de forma eficaz y escalable en un sistema de cumplimiento normativo adaptado a cada empresa.
Cuándo entra en vigor y por qué debes actuar ya
La Directiva NIS2 debe transponerse a la legislación nacional antes del 17 de octubre de 2024, y su cumplimiento será exigible desde ese momento. Las autoridades competentes podrán iniciar procedimientos de control, requerimientos o sanciones a las entidades obligadas, sin periodo de gracia adicional.
Además, muchas administraciones ya están actualizando sus criterios de contratación para alinearse con los estándares de NIS2, lo que convierte su cumplimiento en un factor de competitividad esencial para constructoras e inmobiliarias.
Conclusión profesional orientada a acción
El sector inmobiliario y de la construcción se enfrenta a un nuevo escenario en materia de ciberseguridad. La entrada en vigor de NIS2 implica cambios profundos en la forma de gestionar los contratos públicos, los sistemas digitales y los proveedores tecnológicos. Adaptarse a este marco normativo no solo evita sanciones, sino que abre oportunidades de acceso a licitaciones cada vez más exigentes.
Contar con un acompañamiento experto en este proceso es clave. Si tu empresa necesita evaluar su exposición, definir medidas o acreditar cumplimiento ante una administración pública, podemos ayudarte a través de la implementación profesional de NIS2 en constructoras e inmobiliarias.
Preguntas frecuentes sobre NIS2 en el sector construcción e inmobiliario
¿Las empresas que no desarrollan software propio también están obligadas?
Sí, si gestionan o utilizan sistemas digitales que interactúan con servicios públicos o infraestructuras críticas.
¿NIS2 se aplica solo a grandes empresas?
No. La directiva se basa en el impacto sobre servicios esenciales, no en el tamaño. Muchas pymes están incluidas por su papel estratégico o su relación con la administración.
¿Qué pasa si un proveedor de mi empresa incumple?
Tu empresa puede ser considerada responsable si no ha evaluado adecuadamente el riesgo que supone ese proveedor en su cadena digital.
¿Es necesario certificar el cumplimiento de NIS2?
No es obligatorio contar con una certificación formal, pero sí debes poder demostrar el cumplimiento mediante documentación, registros y medidas activas.
