¿A quién afecta NIS2 en España?

NIS2 afecta a empresas con 50 o más empleados o más de 10 M€ de facturación que operen en alguno de los 18 sectores de los Anexos I y II. También obliga independientemente del tamaño a MSP, registros de dominio, proveedores de servicios de confianza y cloud.

¿Cuáles son las multas por incumplir NIS2?

Las multas llegan hasta 10 millones de euros o el 2% de la facturación anual global para entidades esenciales. Para entidades importantes, hasta 7 millones de euros o el 1,4% de la facturación global. Los directivos también pueden ser sancionados personalmente.

¿Qué diferencia hay entre entidad esencial e importante en NIS2?

Las entidades esenciales son grandes empresas del Anexo I con supervisión activa y auditorías obligatorias cada 2 años. Las entidades importantes son medianas empresas de cualquier Anexo con supervisión reactiva. Las obligaciones técnicas son prácticamente las mismas en ambos casos.

¿Qué relación tiene NIS2 con ISO 27001?

Tener la certificación ISO 27001 cubre aproximadamente el 60-70% de los requisitos de NIS2. Las diferencias principales son los plazos específicos de notificación de incidentes y los requisitos explícitos de seguridad en la cadena de suministro que NIS2 añade.

NIS2 España: guía completa para empresas 2026

La Directiva NIS2 es la norma de ciberseguridad más ambiciosa que ha aprobado la Unión Europea. Obliga a miles de empresas a implantar medidas de seguridad concretas, notificar incidentes en horas y responder con el patrimonio personal de los directivos si no se cumple. En España la ley lleva retraso, pero las inspecciones están en marcha y las sanciones llegan en 2026.

¿Qué es la Directiva NIS2?

NIS2 es la Directiva (UE) 2022/2555, aprobada en diciembre de 2022. Sus siglas significan Network and Information Security, segunda versión. Sustituye a la NIS1 de 2016 y corrige sus debilidades principales: cobertura demasiado estrecha, sanciones ridículas y diferencias enormes entre países.

El punto de partida es simple: los ciberataques ya no son un riesgo teórico. El ransomware paraliza hospitales, los ataques a infraestructuras críticas cortan suministros, y las brechas en proveedores de software afectan a cientos de empresas de golpe. Europa decidió que no puede depender solo de la buena voluntad de cada empresa.

En números: NIS2 amplía la cobertura de NIS1 de unos 500 operadores por país a potencialmente 5.000–50.000 entidades en España. Un orden de magnitud de diferencia.

¿Cuándo entra en vigor NIS2 en España?

La situación real, sin eufemismos:

16 enero 2023: La Directiva NIS2 entra en vigor en la UE.
17 octubre 2024: Fecha límite de transposición. España incumplió el plazo.
Noviembre 2024: La Comisión Europea abre expediente de infracción contra España.
14 enero 2025: El Consejo de Ministros aprueba el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
7 mayo 2025: La Comisión envía un dictamen motivado a España — primer paso formal hacia el Tribunal de Justicia de la UE.
Real Decreto-ley 7/2025: Transposición parcial urgente mientras la ley completa sigue en trámite parlamentario.
2026: Se espera la ley definitiva en el BOE. Entrará en vigor al día siguiente de su publicación.

Importante: Que la ley española aún no sea definitiva no significa que puedas ignorarla. INCIBE-CERT ya opera con criterios NIS2. El retraso legislativo es tiempo para prepararse, no para esperar.

¿Qué diferencia hay entre NIS1 y NIS2?

NIS2 no es una actualización menor. Es una reescritura profunda que cambia cuatro cosas fundamentales:

¿Por qué NIS2 afecta a muchas más empresas que NIS1?

NIS1 solo cubría a los "operadores de servicios esenciales", seleccionados caso a caso por cada estado. NIS2 usa criterios objetivos: si tienes 50 empleados o más de 10 M€ de facturación y operas en uno de los 18 sectores, estás dentro. Sin excepciones discrecionales.

¿Qué nuevos sectores incluye NIS2 respecto a NIS1?

NIS1 cubría 7 sectores. NIS2 añade espacio, residuos, química, alimentación, fabricación de dispositivos médicos y electrónica, servicios postales e investigación. En total, 18 sectores en dos anexos.

¿Cómo cambia la responsabilidad de la dirección en NIS2?

En NIS1, la responsabilidad era institucional. NIS2 la personaliza: los miembros del consejo y la alta dirección deben aprobar personalmente las medidas de ciberseguridad, formarse regularmente y pueden ser sancionados a título individual por negligencia. La dirección ya no puede delegar en IT y despreocuparse.

¿Por qué las sanciones de NIS2 son tan diferentes a las de NIS1?

NIS1 dejaba las sanciones a cada estado y muchos las fijaron ridículamente bajas. NIS2 establece un suelo europeo: hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales. Cifras similares al RGPD.

¿Qué tipos de entidades define NIS2?

NIS2 clasifica a todas las entidades obligadas en dos categorías que determinan el nivel de supervisión y las sanciones máximas:

¿Qué es una entidad esencial bajo NIS2?

Son las organizaciones de mayor criticidad: grandes empresas (más de 250 empleados o facturación superior a 50 M€) en sectores del Anexo I, más prestadores de servicios de confianza, registros de dominio y proveedores de redes de comunicaciones (independientemente de tamaño). Tienen supervisión activa: inspecciones regulares y auditorías obligatorias cada 2 años. Multas máximas: 10 M€ o 2% de facturación global.

¿Qué es una entidad importante bajo NIS2?

Son empresas medianas (50–250 empleados o 10–50 M€ de facturación) en sectores de ambos anexos, o grandes empresas del Anexo II. Supervisión reactiva: la autoridad solo actúa tras un incidente o denuncia. Las obligaciones técnicas son prácticamente las mismas. Multas máximas: 7 M€ o 1,4% de facturación global.

¿Cuáles son los 18 sectores cubiertos por NIS2?

¿Qué sectores están en el Anexo I de NIS2?

El Anexo I incluye 11 sectores de alta criticidad:

Energía: electricidad, gas, petróleo, hidrógeno, calefacción urbana
Transporte: aéreo, ferroviario, marítimo, carretera
Banca: entidades de crédito
Infraestructura financiera: centros de negociación, contrapartes centrales
Sanidad: hospitales, laboratorios, fabricantes farmacéuticos y de dispositivos médicos
Agua potable: suministro y distribución
Aguas residuales: recogida, tratamiento y depuración
Infraestructura digital: IXP, DNS, TLD, cloud, centros de datos, CDN
Gestión de servicios TIC (B2B): MSP y MSSP
Administración pública: administración central y regional
Espacio: infraestructuras terrestres de apoyo a servicios espaciales

¿Qué sectores están en el Anexo II de NIS2?

El Anexo II incluye 7 sectores críticos adicionales:

Servicios postales y mensajería
Gestión de residuos
Fabricación: química, dispositivos médicos, electrónica, maquinaria, vehículos
Producción y distribución de alimentos
Proveedores digitales: marketplaces, motores de búsqueda, redes sociales
Investigación: organizaciones de investigación científica
Química: fabricación y distribución de sustancias peligrosas

¿Qué tiene que hacer una empresa obligada por NIS2?

¿Qué medidas técnicas exige el artículo 21 de NIS2?

El artículo 21 establece 10 categorías de medidas obligatorias: análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, desarrollo seguro, evaluación de eficacia, formación, criptografía, control de accesos y autenticación multifactor. Ver las 10 medidas en detalle →

¿Qué incidentes hay que notificar y en qué plazo?

Cuando un incidente interrumpe la operación o afecta a terceros, hay tres plazos legales:

24 horas: alerta temprana a INCIBE-CERT (sector privado) o CCN-CERT (sector público)
72 horas: notificación formal con evaluación inicial de impacto y gravedad
1 mes: informe final con análisis completo y medidas adoptadas

¿Qué obligaciones tiene la dirección bajo NIS2?

La dirección debe aprobar formalmente las medidas de seguridad, supervisar su aplicación y formarse regularmente en ciberseguridad. No es un trámite burocrático: implica responsabilidad personal.

¿Cómo registrarse ante la autoridad competente de NIS2?

Las entidades obligadas deben identificarse y registrarse ante la autoridad nacional: INCIBE para el sector privado, CCN para el sector público, y las autoridades sectoriales para sectores regulados como banca o energía.

¿Qué pasa si no cumples NIS2?

Entidades esenciales: hasta 10 millones € o 2% de la facturación global (la cifra mayor)
Entidades importantes: hasta 7 millones € o 1,4% de la facturación global
Directivos: prohibición temporal de ejercer funciones directivas en casos de negligencia grave
Publicidad del incumplimiento: la autoridad puede publicar el nombre y los incumplimientos

Riesgo real: Una empresa con 50 M€ de facturación que incumpla NIS2 se expone a multas de hasta 1 millón € (2% de 50 M€). Para una pyme de 5 M€, hasta 100.000 €. La Comisión Europea ya demostró con el RGPD que las multas se ejecutan.

¿Qué relación tienen NIS2, ENS e ISO 27001?

NIS2: obligatorio para empresas privadas de sectores críticos y administración pública. Foco en resiliencia operacional y notificación de incidentes.
ENS: obligatorio para administraciones públicas y sus proveedores tecnológicos. Muy prescriptivo sobre controles exactos.
ISO 27001: norma internacional voluntaria. Tenerla cubre el 60–70% del camino hacia NIS2, pero no lo garantiza automáticamente.

¿Y si soy una pyme pequeña que no cumple los umbrales?

Que no estés directamente obligada no significa que seas inmune. Si eres proveedor tecnológico o de servicios para una entidad obligada, tu cliente deberá auditar tu seguridad y exigirte contractualmente medidas equivalentes. En la práctica, la normativa arrastra a toda la cadena de suministro. Cómo afecta NIS2 a los proveedores →

¿Cuáles son los próximos pasos para cumplir NIS2?

Verificar si aplica: sector y tamaño. Guía de sectores →
Entender qué implementar: Las 10 medidas del artículo 21 →
Gap analysis y plan de acción: Plan de acción paso a paso →
Revisar cadena de suministro: NIS2 y los proveedores →

¿Necesitas ayuda? En AI Security evaluamos si NIS2 aplica a tu empresa y diseñamos el plan de cumplimiento más eficiente. Consulta gratuita →