Agentes IA Ciberseguridad Formación Insights Hablemos
🇪🇸 ES 🇬🇧 EN CA
NIS2 · Ciberseguridad 24 de marzo de 2026 12 min de lectura

Directiva NIS2 en Espana: obligaciones, plazos y sanciones para empresas en 2026

Espana lleva retraso en la transposicion de NIS2. Pero cuando la ley nacional entre en vigor, miles de empresas tendran que demostrar que cumplen con medidas de ciberseguridad que muchas ni han empezado a implementar. Este articulo te da el mapa completo: que dice NIS2, a quien aplica, que hay que hacer y cuanto cuesta no hacerlo.

CS
Carlos Salgado CEO & Co-founder · Delbion

Si tu empresa tiene mas de 50 empleados o factura mas de 10 millones de euros, la directiva NIS2 probablemente te afecta. Y si operas en sectores como sanidad, energia, transporte, banca, infraestructura digital o industria alimentaria, es casi seguro.

La Directiva (UE) 2022/2555, conocida como NIS2, entro en vigor en enero de 2023 con plazo de transposicion para los Estados miembros hasta el 17 de octubre de 2024. Espana no llego a tiempo. El Consejo de Ministros aprobo un Anteproyecto de Ley de Coordinacion y Gobernanza de la Ciberseguridad en enero de 2025, pero la ley definitiva aun no esta publicada. Se espera su entrada en vigor a lo largo de 2026.

Eso no significa que puedas esperar. Significa que tienes una ventana que se cierra. Cuando la ley se publique, los plazos de cumplimiento seran cortos y las sanciones, considerables.

Dato clave: NIS2 amplia el alcance de la antigua directiva NIS1 de forma radical. Se calcula que el numero de entidades afectadas en la UE pasa de unas 15.000 a mas de 160.000. En Espana, miles de empresas que antes estaban fuera del alcance ahora estan dentro.

Que es la directiva NIS2

NIS2 es la segunda version de la directiva europea de seguridad de redes y sistemas de informacion. Sustituye a la NIS1 (2016) y nace con un objetivo claro: elevar el nivel de ciberseguridad en toda la UE de forma homogenea.

La primera directiva tenia problemas. Cada pais la transpuso de forma diferente, con criterios distintos para decidir quien estaba dentro del alcance. El resultado fue un mosaico regulatorio que dejaba agujeros enormes. NIS2 corrige eso con tres cambios fundamentales:

  • Alcance mucho mas amplio. Mas sectores, mas tipos de entidades, criterios de inclusion claros basados en tamano.
  • Obligaciones mas concretas. Ya no es un "aplica medidas adecuadas". NIS2 especifica que medidas y que procesos deben existir.
  • Sanciones reales. Multas de hasta 10 millones de euros o el 2% de la facturacion global para entidades esenciales. Y responsabilidad directa para la direccion.

A quien afecta en Espana

NIS2 clasifica a las entidades en dos categorias:

Categoria Sectores Criterio de tamano
Entidades esenciales (Anexo I) Energia, transporte, banca, infraestructura de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestion servicios TIC (B2B), Administracion Publica, espacio Grandes empresas (>250 empleados o >50M facturacion)
Entidades importantes (Anexo II) Servicios postales, gestion residuos, fabricacion (quimica, alimentaria, dispositivos medicos, electronica, maquinaria, vehiculos), proveedores digitales (marketplaces, buscadores, redes sociales), investigacion Medianas empresas (>50 empleados o >10M facturacion)

Si tu empresa cae en alguno de estos sectores y supera los umbrales de tamano, estas dentro. No necesitas registrarte en ningun sitio ni esperar a que te notifiquen. La obligacion es automatica por el tipo de actividad y el tamano.

Atencion PYMEs: Aunque el criterio general es 50+ empleados o 10M+ de facturacion, hay excepciones. Algunas entidades entran independientemente de su tamano: proveedores de servicios DNS, registros de dominios TLD, proveedores de servicios de confianza y proveedores de redes publicas de comunicaciones electronicas. Si tu empresa presta alguno de estos servicios, NIS2 te aplica aunque tengas 5 empleados.

Obligaciones principales

NIS2 estructura las obligaciones en tres bloques fundamentales: gobernanza, gestion de riesgos y notificacion de incidentes.

1. Gobernanza (Articulo 20)

Los organos de direccion deben:

  • Aprobar las medidas de gestion de riesgos de ciberseguridad.
  • Supervisar su implementacion.
  • Recibir formacion especifica en ciberseguridad. No basta con delegar en el departamento de IT.
  • Asumir responsabilidad personal si hay incumplimiento. NIS2 introduce la responsabilidad directa de los directivos.

Esto es un cambio de paradigma. Hasta ahora, la ciberseguridad era "cosa de IT". Con NIS2, es responsabilidad del consejo de administracion.

2. Gestion de riesgos de ciberseguridad (Articulo 21)

Las entidades deben implementar medidas tecnicas, operativas y organizativas para gestionar los riesgos de seguridad. El articulo 21 es especifico:

a

Politicas de analisis de riesgos y seguridad de los sistemas de informacion

b

Gestion de incidentes

c

Continuidad de negocio y gestion de crisis

Incluyendo copias de seguridad, recuperacion ante desastres y gestion de crisis.

d

Seguridad de la cadena de suministro

Evaluacion de proveedores con acceso a sistemas criticos. Esto incluye proveedores de software, cloud, y servicios gestionados.

e

Seguridad en la adquisicion, desarrollo y mantenimiento de redes y sistemas

Incluyendo gestion y divulgacion de vulnerabilidades.

f

Politicas y procedimientos para evaluar la eficacia de las medidas

g

Practicas basicas de ciber-higiene y formacion en ciberseguridad

h

Politicas de uso de criptografia y cifrado

i

Seguridad de recursos humanos, control de acceso y gestion de activos

j

Autenticacion multifactor (MFA) y comunicaciones seguras

No es una lista de buenas intenciones. Son requisitos que deben estar documentados, implementados y auditables.

3. Notificacion de incidentes (Articulo 23)

Cuando se produce un incidente significativo, la entidad debe:

24h

Alerta temprana al CSIRT o autoridad competente desde que se tiene conocimiento del incidente

72h

Notificacion del incidente con evaluacion inicial de gravedad e impacto

1 mes

Informe final con descripcion detallada, causa raiz, medidas de mitigacion e impacto transfronterizo

Un incidente se considera "significativo" si causa o puede causar perturbaciones operativas graves o perdidas financieras para la entidad, o si afecta o puede afectar a otras personas fisicas o juridicas al causar danos materiales o inmateriales considerables.

Calendario y transposicion en Espana

El calendario ha sido accidentado:

1

16 de enero de 2023

NIS2 entra en vigor a nivel europeo.

2

17 de octubre de 2024

Plazo limite para la transposicion nacional. Espana no llega.

3

Enero 2025

El Consejo de Ministros aprueba el Anteproyecto de Ley de Coordinacion y Gobernanza de la Ciberseguridad.

4

2026 (previsto)

Entrada en vigor de la ley nacional que transpone NIS2. Los plazos de cumplimiento empezaran a correr desde esa fecha.

No esperes a la ley. El hecho de que Espana vaya con retraso no te protege. La Comision Europea ya ha abierto procedimientos de infraccion contra los Estados que no han transpuesto a tiempo. Y cuando la ley se publique, los plazos de adaptacion seran cortos. Las empresas que ya tienen implementadas las medidas del articulo 21 partiran con ventaja. Las que no, tendran que correr.

Sanciones: hasta 10 millones de euros

NIS2 introduce un regimen sancionador serio:

Tipo de entidad Sancion maxima
Entidades esenciales Hasta 10 millones EUR o el 2% de la facturacion global anual (la mayor de las dos cifras)
Entidades importantes Hasta 7 millones EUR o el 1,4% de la facturacion global anual (la mayor de las dos cifras)

Pero las sanciones economicas no son lo unico. NIS2 tambien contempla:

  • Suspension temporal de certificaciones o autorizaciones de la entidad.
  • Prohibicion temporal de ejercicio para directivos responsables.
  • Auditorias de seguridad obligatorias ordenadas por la autoridad competente.
  • Publicacion de incumplimientos. La autoridad puede hacer publicas las infracciones, con el dano reputacional que eso conlleva.

La responsabilidad de la direccion es nueva y significativa. Los directivos no pueden simplemente delegar la ciberseguridad y olvidarse. Deben aprobar las medidas, supervisarlas y, si no lo hacen, pueden ser personalmente sancionados.

Diferencias entre NIS1 y NIS2

Aspecto NIS1 (2016) NIS2 (2022)
Alcance ~15.000 entidades en la UE ~160.000+ entidades en la UE
Sectores 7 sectores 18 sectores (11 esenciales + 7 importantes)
Criterio de inclusion Designacion por cada Estado Automatico por tamano y sector
Medidas de seguridad Genericas ("medidas adecuadas") 10 medidas especificas obligatorias
Cadena de suministro No regulada Evaluacion obligatoria de proveedores
Notificacion de incidentes "Sin demora indebida" 24h alerta + 72h notificacion + 1 mes informe
Sanciones Las que decida cada Estado Hasta 10M EUR / 2% facturacion
Responsabilidad directiva No Si, personal y directa

Como preparar tu empresa

No necesitas esperar a que se publique la ley nacional. Las obligaciones estan claras en la directiva europea. Esto es lo que puedes hacer ahora:

1

Determina si estas dentro del alcance

Revisa los Anexos I y II de la directiva. Cruza el sector de tu empresa con los criterios de tamano (50+ empleados o 10M+ facturacion). Si caes dentro, sigue leyendo. Si tienes dudas, consulta con un especialista.

2

Haz un analisis de brechas (gap analysis)

Compara las 10 medidas del articulo 21 con lo que ya tienes implementado. Identifica donde estas fuerte y donde tienes huecos. Si ya tienes ISO 27001 o ENS, muchas medidas ya estaran cubiertas, pero no todas.

3

Evalua tu cadena de suministro

Identifica a los proveedores criticos con acceso a tus sistemas o datos. Evalua su nivel de ciberseguridad. Establece requisitos contractuales minimos. Esto es nuevo respecto a NIS1 y muchas empresas aun no lo han abordado.

4

Implementa un plan de respuesta a incidentes

Necesitas un proceso documentado y probado para detectar, clasificar, notificar y responder a incidentes en los plazos de NIS2 (24h + 72h + 1 mes). Incluye simulacros regulares.

5

Forma a tu equipo directivo

NIS2 exige que la direccion reciba formacion en ciberseguridad y supervise las medidas. No vale con que el CISO sepa que pasa. Los directivos deben entender los riesgos y aprobar las medidas formalmente.

6

Realiza una auditoria de ciberseguridad

Un pentesting externo y una auditoria de seguridad te daran una foto real de tu postura de ciberseguridad. Mejor descubrir las vulnerabilidades tu que las descubra un atacante o un inspector.

NIS2 e ISO 27001: como se complementan

Si tu empresa ya tiene ISO 27001 certificada, estas en buena posicion. Hay un solapamiento significativo entre los controles de ISO 27001:2022 y las medidas del articulo 21 de NIS2. Pero no es una equivalencia total.

Lo que ISO 27001 ya cubre:

  • Analisis de riesgos y sistema de gestion de seguridad de la informacion (SGSI).
  • Gestion de incidentes.
  • Continuidad de negocio.
  • Control de acceso y gestion de activos.
  • Criptografia.
  • Seguridad de recursos humanos.

Lo que NIS2 anade y puede requerir ajustes:

  • Seguridad de la cadena de suministro con evaluacion formal de proveedores (mas especifica que ISO 27001 A.15).
  • Plazos de notificacion rigidos (24h/72h/1 mes) que requieren procesos y contactos preestablecidos con el CSIRT nacional.
  • Responsabilidad de la direccion con formacion obligatoria para directivos.
  • MFA obligatoria cuando sea apropiado.

En Delbion trabajamos con empresas que ya tienen ISO 27001 para hacer el gap analysis especifico contra NIS2 y cerrar los huecos. Si necesitas la certificacion ISO 27001 en Barcelona, podemos prepararte para ambas normativas en paralelo. Y si tu empresa trabaja con la administracion publica, la certificacion ENS comparte un 70% de controles con ISO 27001, lo que reduce significativamente el esfuerzo.

Ventaja competitiva: Las empresas que ya cumplen con NIS2 antes de que la ley entre en vigor podran demostrarlo a clientes y socios. En sectores regulados como sanidad, banca o industria, esto se convierte en un diferenciador comercial. "Cumplimos con NIS2" sera el nuevo "cumplimos con RGPD".

Auditoria de Ciberseguridad

¿Sabes si tu empresa cumple con NIS2?

Hacemos un analisis de brechas contra las 10 medidas del articulo 21 de NIS2 y te entregamos un informe con tu nivel de cumplimiento, los gaps criticos y un plan de accion priorizado. Si ya tienes ISO 27001, podemos hacer el gap analysis especifico.

Solicitar Auditoria NIS2 →
CS

Autor

Carlos Salgado

CEO & Co-founder · Delbion

Carlos lidera las auditorias de ciberseguridad en Delbion. Con mas de 20 anos de experiencia en certificaciones ISO 27001, ENS y cumplimiento normativo, ayuda a empresas a adoptar marcos de seguridad robustos y cumplir con la regulacion europea.

Articulos relacionados

EU AI Act 22 Mar 2026

EU AI Act: Calendario Completo de Obligaciones para Empresas en Espana

Leer →
Ciberseguridad 27 Feb 2026

7 Aspectos Clave para Securizar un Agente de IA

Leer →
Consultoria

Assessment Gratuito: Analiza tu Postura de Ciberseguridad y Cumplimiento

Solicitar →

Siguiente paso

Prepara tu empresa para NIS2

Auditoria de ciberseguridad, gap analysis contra NIS2, implementacion de medidas del articulo 21, pentesting y formacion para directivos. Todo lo que necesitas para cumplir con la directiva antes de que entre en vigor la ley nacional.

Ver Servicios de Ciberseguridad Solicitar Auditoria Gratuita