Directiva NIS2: qué es y cómo afecta a tu empresa
La directiva NIS2 (Network and Information Security 2, Directiva (UE) 2022/2555) obliga a las empresas de sectores críticos en España a implantar medidas de ciberseguridad, gestionar los riesgos de sus proveedores TIC y notificar incidentes graves en menos de 72 horas. Afecta a entidades con más de 50 empleados en sectores como energía, salud o infraestructura digital, con multas de hasta 10 millones de euros por incumplimiento.
Por qué la NIS2 cambia las reglas para las empresas españolas
La ciberseguridad dejó de ser opcional para miles de empresas en España el 17 de octubre de 2024. Ese día vencía el plazo para transponer la Directiva (UE) 2022/2555 a la legislación nacional. España incumplió el plazo, pero eso no protege a las empresas: la directiva es vinculante a nivel europeo desde enero de 2023, y la Comisión Europea ya abrió un procedimiento de infracción.
Según el Balance de Ciberseguridad 2025 de INCIBE, en 2025 se gestionaron 122.223 incidentes de ciberseguridad en España, un 26% más que el año anterior. La mayor parte afecta a empresas de menos de 250 empleados. La NIS2 convierte la gestión activa de ese riesgo en una obligación legal, no en una recomendación.
Lo que distingue a la NIS2 de cualquier normativa anterior es que traslada la responsabilidad a la cúpula directiva: ya no es suficiente con tener un departamento IT que “se encargue de la seguridad”. La dirección debe aprobar las políticas, supervisar su cumplimiento y puede ser inhabilitada personalmente si la empresa no cumple.
¿A qué empresas afecta la directiva NIS2 en España?
La directiva establece dos categorías con umbrales distintos: entidades esenciales y entidades importantes. El sector de actividad es el criterio de entrada; el tamaño determina a cuál de las dos categorías pertenece la empresa.
Entidades esenciales
Son las empresas de mayor tamaño en sectores de alta criticidad:
- Tamaño: más de 250 empleados o más de 50 millones de euros de facturación anual
- Sectores: energía (electricidad, petróleo, gas, hidrógeno), transporte (aéreo, ferroviario, marítimo, carretera), banca e infraestructura de mercados financieros, sanidad, agua potable y aguas residuales, infraestructura digital (DNS, TLD, IXP, centros de datos, computación en nube), servicios gestionados de TIC, administración pública, espacio, postal y mensajería, gestión de residuos, química, alimentación y fabricación de productos críticos (médicos, electrónicos, maquinaria, vehículos)
Los proveedores de servicios de confianza cualificados entran en esta categoría independientemente de su tamaño.
Entidades importantes
Incluye a las medianas empresas de los mismos sectores que no alcanzan los umbrales de las esenciales:
- Tamaño: entre 50 y 250 empleados o entre 10 y 50 millones de euros de facturación
- Sectores: los mismos que los de las entidades esenciales
La diferencia entre ambas categorías no es qué deben hacer — las obligaciones técnicas son prácticamente idénticas — sino la supervisión y el régimen sancionador: las entidades esenciales están sujetas a supervisión proactiva y a multas más elevadas.
¿Queda fuera mi empresa?
Generalmente sí, si la empresa tiene menos de 50 empleados y menos de 10 millones de euros de facturación y no opera en los sectores listados. Pero hay excepciones importantes:
- Empresas que sean el único proveedor de un servicio crítico en España o en parte del territorio
- Empresas cuya interrupción podría generar un impacto sistémico significativo en otros sectores
- Empresas que formen parte de la cadena de suministro de una entidad esencial o importante: aunque no estén directamente obligadas, pueden recibir auditorías y cuestionarios de sus clientes
Cuándo entra en vigor la NIS2 en España
A abril de 2026, la transposición de la NIS2 en España sigue sin completarse. La cronología relevante:
| Fecha | Hito |
|---|---|
| Enero 2023 | Directiva (UE) 2022/2555 entra en vigor en la UE |
| Octubre 2024 | Vence el plazo de transposición. España incumple |
| Enero 2025 | Consejo de Ministros aprueba el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad |
| Mayo 2025 | Comisión Europea emite dictamen motivado contra España |
| Abril 2026 | El anteproyecto sigue en tramitación parlamentaria |
Lo que esto significa en la práctica: el retraso legislativo español no es una excusa para no prepararse. Las entidades ya pueden ser objeto de inspección por parte del Centro Criptológico Nacional (CCN) si pertenecen a sectores críticos, y las obligaciones serán exigibles desde el día en que la ley sea aprobada, sin período transitorio adicional garantizado.
Las diez obligaciones que exige la NIS2
La directiva no dice “mejorad la ciberseguridad” en abstracto. Exige implantar medidas concretas en diez categorías:
- Gobernanza y políticas de ciberseguridad. La dirección debe aprobar y supervisar las políticas. Los directivos son personalmente responsables del cumplimiento.
- Gestión de riesgos. Análisis de riesgos periódicos y plan de tratamiento documentado y actualizado.
- Gestión de incidentes. Procedimientos para detectar, contener y recuperarse de incidentes, con registro y análisis posterior.
- Continuidad de negocio. Planes de recuperación ante desastres probados regularmente, con objetivos de tiempo de recuperación definidos.
- Seguridad de la cadena de suministro. Evaluación y gestión de los riesgos que representan los proveedores TIC. Las entidades esenciales deben auditar activamente a sus proveedores críticos.
- Adquisición y desarrollo seguros. Aplicación de prácticas de desarrollo seguro y criterios de seguridad en la compra de soluciones tecnológicas.
- Gestión de vulnerabilidades. Política de actualización, parcheado y comunicación responsable de vulnerabilidades.
- Ciberhigiene y formación. Formación básica obligatoria para todos los empleados; uso de cifrado en datos en tránsito y en reposo.
- Autenticación multifactor (MFA). Obligatoria para el acceso a sistemas críticos, especialmente en accesos remotos y cuentas privilegiadas.
- Copias de seguridad y control de accesos. Estrategia de backup documentada y probada, inventario de activos actualizado y gestión de identidades con mínimos privilegios.
Para una empresa de 50 a 100 empleados, implementar estas medidas desde cero requiere entre 3 y 6 meses de trabajo estructurado. Las que ya tienen un servicio de ciberseguridad para empresas activo reducen ese plazo porque muchas de las medidas ya están en marcha.
La obligación 1 —gobernanza y políticas— es el punto de partida documental. Si necesitas saber exactamente qué secciones debe tener ese documento y quién debe firmarlas, la guía sobre qué debe incluir una política de ciberseguridad empresarial lo desglosa apartado por apartado.
Plazos de notificación de incidentes: los más exigentes hasta ahora
La NIS2 introduce los plazos de notificación más cortos que ninguna normativa española ha exigido:
| Plazo | Acción requerida |
|---|---|
| 24 horas | Alerta temprana al CSIRT o autoridad competente. Basta con indicar que existe un incidente significativo y su naturaleza |
| 72 horas | Notificación inicial con evaluación de severidad, alcance preliminar e impacto estimado |
| 1 mes | Informe final completo: causa raíz, medidas adoptadas, impacto real y lecciones aprendidas |
Un incidente es significativo si causa interrupción operativa grave, pérdidas económicas considerables o afecta a un número relevante de entidades. Una empresa que sufre ransomware tiene 24 horas para notificarlo a la autoridad competente, aunque en ese momento aún no conozca el alcance total del ataque.
Esto requiere tener preparado de antemano un procedimiento de notificación: contactos de la autoridad competente, plantillas de comunicación, responsable designado y criterios claros para determinar cuándo un incidente es significativo.
¿Tu empresa tiene un procedimiento de respuesta a incidentes documentado y un plan de cumplimiento NIS2 en marcha? En IBERSYA diseñamos la consultoría NIS2 completa: evaluación de brecha, hoja de ruta de cumplimiento y soporte en la implantación. Hablamos esta semana.
Errores frecuentes en la preparación para NIS2
Esperar a que España apruebe la ley. La directiva es vinculante desde enero de 2023. Las autoridades pueden inspeccionar ya, y la ley puede aprobarse sin período transitorio adicional. Prepararse tarde no elimina el riesgo; lo acumula con el tiempo.
Tratar la NIS2 como una auditoría puntual. No es un certificado que se obtiene una vez. Exige procesos continuos: análisis de riesgos periódicos, revisión anual de proveedores, formación recurrente a empleados y actualización del plan de respuesta a incidentes. Las empresas que lo tratan como un proyecto de un mes están en incumplimiento al año siguiente.
No implicar a la dirección. La directiva establece que los directivos son personalmente responsables. Si la implementación queda solo en el departamento IT sin aprobación de la dirección, la empresa está expuesta aunque tenga controles técnicos desplegados. En inspecciones reales, lo primero que se pide es evidencia de que la dirección aprueba y supervisa las políticas.
Ignorar la cadena de suministro. Las entidades esenciales deben evaluar a sus proveedores TIC críticos. Si tu empresa es proveedor de una entidad esencial, puede recibir cuestionarios de seguridad o ser retirada de la cadena de suministro si no acredita medidas adecuadas. Muchas empresas que no están directamente obligadas por la NIS2 tendrán que demostrar cumplimiento a sus clientes.
No tener inventario actualizado de activos. Es imposible proteger lo que no se conoce. El inventario de activos es el punto de partida de cualquier análisis de riesgos serio. Consulta también: qué logs deberías guardar en una PYME.
Preguntas frecuentes sobre la directiva NIS2
¿A qué empresas afecta la NIS2 en España?
La NIS2 afecta a entidades esenciales (más de 250 empleados o más de 50 millones de euros de facturación en sectores críticos como energía, salud, transporte o infraestructura digital) y a entidades importantes (entre 50 y 250 empleados o entre 10 y 50 millones de euros de facturación en esos mismos sectores). Por debajo de 50 empleados o 10 millones de facturación, la empresa generalmente queda fuera del ámbito obligatorio, salvo que preste servicios considerados críticos.
¿Cuándo entra en vigor la NIS2 en España?
España debía transponer la NIS2 antes del 17 de octubre de 2024, plazo que no cumplió. A abril de 2026, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado por el Consejo de Ministros en enero de 2025, sigue en tramitación parlamentaria. La Comisión Europea emitió un dictamen motivado contra España en mayo de 2025. Las empresas deben prepararse ahora: la directiva es vinculante a nivel europeo desde enero de 2023.
¿Qué pasa si no cumplimos la NIS2?
Las sanciones para entidades esenciales alcanzan hasta 10 millones de euros o el 2% de la facturación global anual, la cifra que sea mayor. Para entidades importantes, hasta 7 millones o el 1,4% de la facturación global. Además, los directivos pueden ser declarados responsables personalmente e inhabilitados temporalmente para ejercer funciones de gestión.
¿Cuáles son las principales obligaciones de la NIS2?
La NIS2 exige implementar diez categorías de medidas de gestión de riesgos: gobernanza y estrategia de ciberseguridad, gestión de incidentes, seguridad de la cadena de suministro, desarrollo seguro, criptografía, autenticación multifactor, inventario de activos, control de accesos, copias de seguridad y continuidad de negocio. Además, obliga a notificar incidentes graves en tres plazos: alerta temprana en 24 horas, notificación inicial en 72 horas e informe final en un mes.
Las obligaciones de la NIS2 serán exigibles en España en cuanto se complete la transposición. Cuanto antes empiece una empresa a trabajar en el cumplimiento, menor será el coste y el riesgo. En IBERSYA realizamos una primera evaluación del estado de cumplimiento sin compromiso: identificamos en qué categoría entra la empresa, qué medidas ya están cubiertas y cuáles son los pasos prioritarios. Hablamos esta semana.