Si tu empresa tiene mas de 50 empleados o factura mas de 10 millones de euros, la directiva NIS2 probablemente te afecta. Y si operas en sectores como sanidad, energia, transporte, banca, infraestructura digital o industria alimentaria, es casi seguro.
La Directiva (UE) 2022/2555, conocida como NIS2, entro en vigor en enero de 2023 con plazo de transposicion para los Estados miembros hasta el 17 de octubre de 2024. Espana no llego a tiempo. El Consejo de Ministros aprobo un Anteproyecto de Ley de Coordinacion y Gobernanza de la Ciberseguridad en enero de 2025, pero la ley definitiva aun no esta publicada. Se espera su entrada en vigor a lo largo de 2026.
Eso no significa que puedas esperar. Significa que tienes una ventana que se cierra. Cuando la ley se publique, los plazos de cumplimiento seran cortos y las sanciones, considerables.
Dato clave: NIS2 amplia el alcance de la antigua directiva NIS1 de forma radical. Se calcula que el número de entidades afectadas en la UE pasa de unas 15.000 a mas de 160.000. En Espana, miles de empresas que antes estaban fuera del alcance ahora estan dentro.
Que es la directiva NIS2
NIS2 es la segunda versión de la directiva europea de seguridad de redes y sistemas de información. Sustituye a la NIS1 (2016) y nace con un objetivo claro: elevar el nivel de ciberseguridad en toda la UE de forma homogenea.
La primera directiva tenia problemas. Cada pais la transpuso de forma diferente, con criterios distintos para decidir quien estaba dentro del alcance. El resultado fue un mosaico regulatorio que dejaba agujeros enormes. NIS2 corrige eso con tres cambios fundamentales:
- Alcance mucho mas amplio. Mas sectores, mas tipos de entidades, criterios de inclusion claros basados en tamano.
- Obligaciones mas concretas. Ya no es un "aplica medidas adecuadas". NIS2 específica que medidas y que procesos deben existir.
- Sanciones reales. Multas de hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales. Y responsabilidad directa para la dirección.
A quien afecta en Espana
NIS2 clasifica a las entidades en dos categorías:
| Categoria | Sectores | Criterio de tamano |
|---|---|---|
| Entidades esenciales (Anexo I) | Energia, transporte, banca, infraestructura de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión servicios TIC (B2B), Administracion Publica, espacio | Grandes empresas (>250 empleados o >50M facturación) |
| Entidades importantes (Anexo II) | Servicios postales, gestión residuos, fabricacion (quimica, alimentaria, dispositivos medicos, electrónica, máquinaria, vehiculos), proveedores digitales (marketplaces, buscadores, redes sociales), investigacion | Medianas empresas (>50 empleados o >10M facturación) |
Si tu empresa cae en alguno de estos sectores y supera los umbrales de tamano, estas dentro. No necesitas registrarte en ningun sitio ni esperar a que te notifiquen. La obligación es automática por el tipo de actividad y el tamano.
Atencion PYMEs: Aunque el criterio general es 50+ empleados o 10M+ de facturación, hay excepciones. Algunas entidades entran independientemente de su tamano: proveedores de servicios DNS, registros de dominios TLD, proveedores de servicios de confianza y proveedores de redes publicas de comunicaciones electrónicas. Si tu empresa presta alguno de estos servicios, NIS2 te aplica aunque tengas 5 empleados.
Obligaciones principales
NIS2 estructura las obligaciones en tres bloques fundamentales: gobernanza, gestión de riesgos y notificación de incidentes.
1. Gobernanza (Artículo 20)
Los organos de dirección deben:
- Aprobar las medidas de gestión de riesgos de ciberseguridad.
- Supervisar su implementación.
- Recibir formación específica en ciberseguridad. No basta con delegar en el departamento de IT.
- Asumir responsabilidad personal si hay incumplimiento. NIS2 introduce la responsabilidad directa de los directivos.
Esto es un cambio de paradigma. Hasta ahora, la ciberseguridad era "cosa de IT". Con NIS2, es responsabilidad del consejo de administracion.
2. Gestion de riesgos de ciberseguridad (Artículo 21)
Las entidades deben implementar medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad. El artículo 21 es específico:
Politicas de analisis de riesgos y seguridad de los sistemas de información
Gestion de incidentes
Continuidad de negocio y gestión de crisis
Incluyendo copias de seguridad, recuperacion ante desastres y gestión de crisis.
Seguridad de la cadena de suministro
Evaluacion de proveedores con acceso a sistemas criticos. Esto incluye proveedores de software, cloud, y servicios gestionados.
Seguridad en la adquisicion, desarrollo y mantenimiento de redes y sistemas
Incluyendo gestión y divulgacion de vulnerabilidades.
Politicas y procedimientos para evaluar la eficacia de las medidas
Practicas basicas de ciber-higiene y formación en ciberseguridad
Politicas de uso de criptografia y cifrado
Seguridad de recursos humanos, control de acceso y gestión de activos
Autenticacion multifactor (MFA) y comunicaciones seguras
No es una lista de buenas intenciones. Son requisitos que deben estar documentados, implementados y auditables.
3. Notificacion de incidentes (Artículo 23)
Cuando se produce un incidente significativo, la entidad debe:
24h
Alerta temprana al CSIRT o autoridad competente desde que se tiene conocimiento del incidente
72h
Notificacion del incidente con evaluación inicial de gravedad e impacto
1 mes
Informe final con descripcion detallada, causa raiz, medidas de mitigacion e impacto transfronterizo
Un incidente se considera "significativo" si causa o puede causar perturbaciones operativas graves o perdidas financieras para la entidad, o si afecta o puede afectar a otras personas fisicas o juridicas al causar danos materiales o inmateriales considerables.
Calendario y transposicion en Espana
El calendario ha sido accidentado:
16 de enero de 2023
NIS2 entra en vigor a nivel europeo.
17 de octubre de 2024
Plazo límite para la transposicion nacional. Espana no llega.
Enero 2025
El Consejo de Ministros aprueba el Anteproyecto de Ley de Coordinacion y Gobernanza de la Ciberseguridad.
2026 (previsto)
Entrada en vigor de la ley nacional que transpone NIS2. Los plazos de cumplimiento empezaran a correr desde esa fecha.
No esperes a la ley. El hecho de que Espana vaya con retraso no te protege. La Comision Europea ya ha abierto procedimientos de infracción contra los Estados que no han transpuesto a tiempo. Y cuando la ley se publique, los plazos de adaptacion seran cortos. Las empresas que ya tienen implementadas las medidas del artículo 21 partiran con ventaja. Las que no, tendran que correr.
Sanciones: hasta 10 millones de euros
NIS2 introduce un regimen sanciónador serio:
| Tipo de entidad | Sanción maxima |
|---|---|
| Entidades esenciales | Hasta 10 millones EUR o el 2% de la facturación global anual (la mayor de las dos cifras) |
| Entidades importantes | Hasta 7 millones EUR o el 1,4% de la facturación global anual (la mayor de las dos cifras) |
Pero las sanciones economicas no son lo unico. NIS2 también contempla:
- Suspension temporal de certificaciones o autorizaciones de la entidad.
- Prohibicion temporal de ejercicio para directivos responsables.
- Auditorias de seguridad obligatorias ordenadas por la autoridad competente.
- Publicacion de incumplimientos. La autoridad puede hacer publicas las infracciones, con el dano reputacional que eso conlleva.
La responsabilidad de la dirección es nueva y significativa. Los directivos no pueden simplemente delegar la ciberseguridad y olvidarse. Deben aprobar las medidas, supervisarlas y, si no lo hacen, pueden ser personalmente sanciónados.
Diferencias entre NIS1 y NIS2
| Aspecto | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Alcance | ~15.000 entidades en la UE | ~160.000+ entidades en la UE |
| Sectores | 7 sectores | 18 sectores (11 esenciales + 7 importantes) |
| Criterio de inclusion | Designacion por cada Estado | Automatico por tamano y sector |
| Medidas de seguridad | Genericas ("medidas adecuadas") | 10 medidas especificas obligatorias |
| Cadena de suministro | No regulada | Evaluacion obligatoria de proveedores |
| Notificacion de incidentes | "Sin demora indebida" | 24h alerta + 72h notificación + 1 mes informe |
| Sanciones | Las que decida cada Estado | Hasta 10M EUR / 2% facturación |
| Responsabilidad directiva | No | Si, personal y directa |
Como preparar tu empresa
No necesitas esperar a que se publique la ley nacional. Las obligaciones estan claras en la directiva europea. Esto es lo que puedes hacer ahora:
Determina si estas dentro del alcance
Revisa los Anexos I y II de la directiva. Cruza el sector de tu empresa con los criterios de tamano (50+ empleados o 10M+ facturación). Si caes dentro, sigue leyendo. Si tienes dudas, consulta con un especialista.
Haz un analisis de brechas (gap analysis)
Compara las 10 medidas del artículo 21 con lo que ya tienes implementado. Identifica donde estas fuerte y donde tienes huecos. Si ya tienes ISO 27001 o ENS, muchas medidas ya estaran cubiertas, pero no todas.
Evalua tu cadena de suministro
Identifica a los proveedores criticos con acceso a tus sistemas o datos. Evalua su nivel de ciberseguridad. Establece requisitos contractuales minimos. Esto es nuevo respecto a NIS1 y muchas empresas aun no lo han abordado.
Implementa un plan de respuesta a incidentes
Necesitas un proceso documentado y probado para detectar, clasificar, notificar y responder a incidentes en los plazos de NIS2 (24h + 72h + 1 mes). Incluye simulacros regulares.
Forma a tu equipo directivo
NIS2 exige que la dirección reciba formación en ciberseguridad y supervise las medidas. No vale con que el CISO sepa que pasa. Los directivos deben entender los riesgos y aprobar las medidas formalmente.
Realiza una auditoría de ciberseguridad
Un pentesting externo y una auditoría de seguridad te daran una foto real de tu postura de ciberseguridad. Mejor descubrir las vulnerabilidades tu que las descubra un atacante o un inspector.
NIS2 e ISO 27001: como se complementan
Si tu empresa ya tiene ISO 27001 certificada, estas en buena posicion. Hay un solapamiento significativo entre los controles de ISO 27001:2022 y las medidas del artículo 21 de NIS2. Pero no es una equivalencia total.
Lo que ISO 27001 ya cubre:
- Analisis de riesgos y sistema de gestión de seguridad de la información (SGSI).
- Gestion de incidentes.
- Continuidad de negocio.
- Control de acceso y gestión de activos.
- Criptografia.
- Seguridad de recursos humanos.
Lo que NIS2 anade y puede requerir ajustes:
- Seguridad de la cadena de suministro con evaluación formal de proveedores (mas específica que ISO 27001 A.15).
- Plazos de notificación rigidos (24h/72h/1 mes) que requieren procesos y contactos preestablecidos con el CSIRT nacional.
- Responsabilidad de la dirección con formación obligatoria para directivos.
- MFA obligatoria cuando sea apropiado.
En Delbion trabajamos con empresas que ya tienen ISO 27001 para hacer el gap analysis específico contra NIS2 y cerrar los huecos. Si necesitas la certificación ISO 27001 en Barcelona, podemos prepararte para ambas normativas en paralelo. Y si tu empresa trabaja con la administracion publica, la certificación ENS comparte un 70% de controles con ISO 27001, lo que reduce significativamente el esfuerzo.
Ventaja competitiva: Las empresas que ya cumplen con NIS2 antes de que la ley entre en vigor podran demostrarlo a clientes y socios. En sectores regulados como sanidad, banca o industria, esto se convierte en un diferenciador comercial. "Cumplimos con NIS2" sera el nuevo "cumplimos con RGPD".
Además de NIS2, las empresas que usan inteligencia artificial deben cumplir con el EU AI Act, que exige formación obligatoria en IA para toda la plantilla antes de agosto de 2026. Son dos normativas distintas, pero muchas empresas en sectores regulados están sujetas a ambas.
Auditoria de Ciberseguridad
¿Sabes si tu empresa cumple con NIS2?
Hacemos un analisis de brechas contra las 10 medidas del artículo 21 de NIS2 y te entregamos un informe con tu nivel de cumplimiento, los gaps criticos y un plan de accion priorizado. Si ya tienes ISO 27001, podemos hacer el gap analysis específico.
Solicitar Auditoria NIS2 →Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.
