Qué es la directiva NIS2 y cómo afecta a las empresas españolas

La directiva NIS2 es la norma europea que amplía las obligaciones de ciberseguridad para más sectores y más empresas en España. Si tu organización depende de sistemas digitales para operar, trabaja con proveedores TIC críticos o presta servicios esenciales, lo prudente es asumir ya que tendrás que reforzar gobierno, gestión de riesgos, proveedores e incidentes.

Por qué la NIS2 importa ahora en España

La NIS2 no es una recomendación general sobre buenas prácticas. Es un marco jurídico europeo que eleva el listón mínimo de ciberseguridad y lo lleva al terreno de la alta dirección, la supervisión y la responsabilidad. La propia Comisión Europea explica que la directiva crea un marco común para 18 sectores críticos y exige a las entidades afectadas medidas de gestión de riesgos, cooperación y notificación de incidentes relevantes.

Además, la conversación ya no está en “si habrá regulación” sino en cómo de preparada llega cada empresa. Los Estados miembros tenían hasta el 17 de octubre de 2024 para transponer la directiva al derecho nacional, y la Comisión publicó el 7 de mayo de 2025 un dictamen motivado a España por no haber notificado la transposición completa. A esto se suma que el Gobierno español presentó el 14 de enero de 2025 el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.

Fuentes oficiales:

• Comisión Europea, página general de NIS2: https://digital-strategy.ec.europa.eu/es/policies/nis2-directive
• Estado de implantación en España: https://digital-strategy.ec.europa.eu/en/policies/nis-directive-spain
• Dictamen motivado a España del 7 de mayo de 2025: https://digital-strategy.ec.europa.eu/en/news/commission-calls-19-member-states-fully-transpose-nis2-directive
• Referencia del Consejo de Ministros sobre el anteproyecto: https://www.lamoncloa.gob.es/consejodeministros/resumenes/Paginas/2025/140125-rueda-de-prensa-ministos.aspx

La conclusión práctica es simple: esperar al texto final español para empezar a trabajar es mala idea. La mayor parte del esfuerzo serio no está en leer una ley, sino en implantar controles, ordenar proveedores, documentar procesos y probar la respuesta ante incidentes.

A qué empresas afecta la directiva NIS2 en España

La forma más útil de entender el alcance es esta: la NIS2 amplía tanto los sectores cubiertos como el tipo de organización que entra en el radar regulatorio.

La Comisión Europea resume el núcleo de la norma así:

• Se mantiene la cobertura de sectores ya regulados en NIS1, como energía, transporte, salud, finanzas, agua o infraestructura digital.
• Se añaden sectores y actividades como comunicaciones electrónicas públicas, más servicios digitales, gestión de residuos y aguas residuales, fabricación de productos críticos, servicios postales y de mensajería, administración pública regional y central y sector espacial.
• Como regla general, quedan dentro entidades medianas y grandes de esos sectores.

Para una pyme española, esto obliga a dejar de pensar que “esto solo va con grandes eléctricas o bancos”. Si tu empresa fabrica componentes críticos, presta servicios digitales relevantes, da soporte tecnológico a clientes regulados o forma parte de una cadena de suministro sensible, debes revisar el alcance con bastante cuidado.

También conviene recordar que la clasificación no es solo sectorial. La norma distingue entre entidades esenciales e importantes, y eso influye en la supervisión y en el nivel de atención regulatoria. Además, hay organizaciones que pueden quedar incluidas por su relevancia sistémica aunque el criterio de tamaño no sea el típico de “gran empresa”.

Por eso, una revisión seria de alcance debería responder al menos a estas preguntas:

1. ¿Nuestra actividad principal está en uno de los sectores cubiertos por la directiva?
2. ¿Somos entidad mediana o grande según los umbrales europeos aplicables?
3. ¿Prestamos servicios críticos a terceros ya regulados?
4. ¿Una interrupción de nuestros sistemas podría provocar daño operativo, económico o reputacional significativo en clientes o cadenas de suministro?

Si aquí tienes dudas, no basta con una lectura superficial. En ese punto suele compensar una consultoría NIS2 o, como mínimo, una auditoría de ciberseguridad que aterrice el alcance en tu caso concreto.

Qué exige la NIS2 a una empresa en la práctica

Uno de los errores más frecuentes es pensar que la NIS2 consiste en “tener antivirus, firewall y copias”. Eso es una parte pequeña del problema. Lo que pide la directiva es una gestión de riesgos de ciberseguridad demostrable, mantenida en el tiempo y vinculada a la dirección de la empresa.

Traducido al lenguaje de una pyme española, el mínimo razonable pasa por estos bloques:

1. Gobierno y responsabilidad de dirección

La NIS2 eleva la ciberseguridad al nivel del comité de dirección. No es solo un tema del proveedor IT o del responsable de sistemas. La alta dirección debe aprobar medidas, seguir riesgos y asegurarse de que existe control real.

Esto implica:

• responsables identificados
• reuniones periódicas de revisión
• decisiones documentadas
• priorización presupuestaria coherente

2. Gestión de riesgos y continuidad

No vale con reaccionar cuando ya hay un problema. Debe existir una evaluación clara de riesgos que cubra:

• activos críticos
• amenazas probables
• impacto operativo
• medidas preventivas
• recuperación

Aquí enlaza directamente con pilares como ciberseguridad para empresas y con una política operativa de continuidad, copias de seguridad, monitorización y recuperación.

3. Seguridad de proveedores y cadena de suministro

La Comisión Europea insiste expresamente en la seguridad de la cadena de suministro. En la práctica, esto significa revisar a quién subcontratas y qué dependencia real tienes de:

• MSP o soporte externo
• alojamiento cloud
• ERP y software de negocio
• correo y colaboración
• backup, monitorización o SOC

Una empresa puede tener un control interno razonable y aun así fallar por un proveedor con mala higiene de seguridad.

Si ya sospechas que tu principal debilidad no está en los equipos, sino en los accesos, proveedores o procedimientos, en IBERSYA te ayudamos a convertirlo en un plan concreto de adecuación. Puedes empezar por nuestra consultoría NIS2 o por una revisión de ciberseguridad empresarial.

4. Controles técnicos mínimos y verificables

La NIS2 no enumera una “lista mágica” única, pero sí empuja hacia controles muy concretos:

• control de accesos y privilegios
• autenticación multifactor donde aplique
• segmentación y endurecimiento
• gestión de vulnerabilidades y parches
• monitorización y registro
• copias y restauración verificadas
• seguridad del puesto de trabajo y del correo

Si quieres una base práctica antes de entrar en regulación, nuestra guía de ciberseguridad para PYMEs sigue siendo una buena lectura inicial para ordenar prioridades.

Qué plazos de notificación exige la NIS2

Esta es una de las partes que más impacto operativo tiene y más veces se resume mal.

Las directrices oficiales de la Comisión sobre la aplicación de la NIS2 explican una secuencia escalonada para incidentes significativos:

• aviso temprano en 24 horas desde que la entidad tiene conocimiento del incidente
• notificación en 72 horas
• informe final en un plazo máximo de un mes, salvo que el incidente siga en curso

La lógica de estos plazos es clara: primero se avisa para activar coordinación y ayuda, después se informa con más detalle, y finalmente se entrega el cierre con causas, impacto y medidas adoptadas.

Fuente oficial de referencia:

• Directrices de la Comisión sobre la notificación de incidentes: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A52023XC0918%2801%29

Para una empresa española, esto obliga a tener algo que muchas organizaciones aún no tienen:

• criterios para decidir cuándo un incidente es significativo
• responsables de escalado
• registro centralizado
• plantillas de comunicación
• capacidad de recopilar evidencias sin perder tiempo

Sin ese trabajo previo, los plazos de 24 y 72 horas no son exigentes: son directamente imposibles.

Qué debería hacer una empresa española en los próximos 90 días

Si hoy tu empresa no tiene un programa formal de adecuación, lo más rentable no es intentar resolverlo todo a la vez. Es mejor seguir una secuencia ordenada.

Semana 1-2: determinar alcance y responsables

Define si puedes quedar dentro del alcance de NIS2 y nombra responsables internos. Aunque luego externalices parte del trabajo, la empresa debe saber quién decide, quién valida y quién coordina.

Semana 2-4: inventario y mapa de dependencias

Haz inventario de:

• sistemas críticos
• accesos privilegiados
• proveedores TIC
• datos sensibles
• servicios cloud
• procedimientos críticos de continuidad

Aquí suelen aparecer las primeras sorpresas: software sin soporte, cuentas compartidas, proveedores sin evaluación y copias de seguridad no probadas.

Semana 4-8: análisis de brecha

Compara tu situación actual con lo que la directiva exige en la práctica:

• gobierno
• riesgos
• continuidad
• proveedores
• registro de incidentes
• controles técnicos
• formación y concienciación

No se trata de “tener algo”, sino de saber si está documentado, probado y mantenido.

Semana 8-12: plan realista de adecuación

Prioriza por impacto y esfuerzo. Un buen plan para pyme no intenta hacerlo todo en un mes. Empieza por lo que más reduce riesgo y más te acerca a cumplimiento:

1. MFA y cuentas privilegiadas
2. backup y restauración probada
3. registro y monitorización básica
4. evaluación de proveedores críticos
5. política de incidentes y escalado
6. revisión de continuidad

El objetivo no es parecer maduro en una presentación. Es reducir riesgo real y llegar con trazabilidad cuando la supervisión se endurezca.

Errores frecuentes al prepararse para NIS2

Pensar que solo afecta a grandes empresas. La norma amplía el alcance y, en muchos sectores, una empresa mediana ya puede quedar dentro.

Esperar al texto definitivo español para empezar. La parte costosa es técnica y organizativa; retrasarla solo encarece el proyecto.

Reducir NIS2 a un firewall y unas políticas. Sin gobierno, evidencias, proveedores controlados y respuesta a incidentes, no hay adecuación seria.

No revisar la cadena de suministro. Muchas organizaciones fallan por terceros con accesos, datos o servicios críticos.

No ensayar la respuesta a incidentes. Saber que “hay que notificar” no sirve si nadie sabe cómo detectar, escalar y documentar dentro de plazo.

Preguntas frecuentes sobre la directiva NIS2

¿A qué empresas afecta la NIS2 en España?

La NIS2 afecta, por regla general, a entidades medianas y grandes de 18 sectores críticos y de alta criticidad, como energía, transporte, salud, servicios digitales, fabricación crítica o administración pública. Además, algunas entidades pueden quedar incluidas por su criticidad aunque no alcancen el umbral general de tamaño.

¿Está ya plenamente transpuesta la NIS2 en España?

A 17 de abril de 2026, la Comisión Europea seguía mostrando para España un estado de falta de notificación de transposición completa, tras el dictamen motivado enviado el 7 de mayo de 2025. Eso significa que las empresas no deberían esperar a la ley definitiva para empezar a prepararse.

¿Qué plazos de notificación exige la NIS2 ante un incidente?

La NIS2 establece una secuencia de notificación escalonada: aviso temprano en 24 horas desde que se tiene conocimiento del incidente significativo, notificación en 72 horas y reporte final en un plazo máximo de un mes, salvo que el incidente siga abierto.

¿Qué debería hacer una empresa española en los próximos 90 días?

Lo prioritario es decidir si la empresa puede quedar dentro del alcance, nombrar responsables, revisar riesgos, proveedores críticos, copias de seguridad, control de accesos, registro de incidentes y plan de continuidad. A partir de ahí conviene hacer una auditoría de brecha y un plan realista de adecuación.

Si quieres aterrizar la NIS2 a la realidad de tu empresa sin convertirla en un proyecto interminable, en IBERSYA trabajamos la parte técnica, documental y operativa para que sepas qué te aplica, qué priorizar y cómo ejecutarlo. Puedes empezar por una consultoría NIS2 o pedir una auditoría de ciberseguridad.