¿A quién aplica la Directiva NIS2 en España?

NIS2 aplica a empresas con 50 o más empleados o más de 10 M€ de facturación que operen en alguno de los 18 sectores de los Anexos I y II. También obliga independientemente del tamaño a MSP, DNS, proveedores de servicios de confianza, cloud y redes de comunicaciones.

¿Cuántas empresas están afectadas por NIS2 en España?

Se estima que entre 5.000 y 50.000 entidades en España podrían estar afectadas por NIS2, frente a los aproximadamente 500 operadores que cubrió NIS1.

¿Las pymes están obligadas por NIS2?

Las pymes pequeñas (menos de 50 empleados y menos de 10 M€) generalmente están excluidas de NIS2 salvo excepciones: proveedores únicos de servicios esenciales, entidades con impacto sistémico, DNS, servicios de confianza o proveedores de comunicaciones. Además, si son proveedoras de entidades obligadas, sufrirán presión contractual indirecta.

¿Cuál es la diferencia entre entidad esencial e importante en NIS2?

Las entidades esenciales son grandes empresas del Anexo I. Tienen supervisión activa con inspecciones regulares y auditorías cada 2 años, y multas de hasta 10 M€ o 2% de facturación. Las entidades importantes son medianas empresas de cualquier Anexo, con supervisión reactiva y multas de hasta 7 M€ o 1,4% de facturación.

¿Los MSP y proveedores cloud están obligados por NIS2?

Sí. Los proveedores de servicios gestionados (MSP), proveedores de seguridad gestionada (MSSP), servicios cloud, centros de datos y CDN están directamente en el Anexo I de NIS2 como 'infraestructura digital' o 'gestión de servicios TIC'. Si superan 50 empleados o 10 M€ de facturación, están obligados.

¿A quién aplica la NIS2 en España? Guía 2026

La primera pregunta que tiene que hacerse cualquier empresa cuando escucha "NIS2" es: ¿me afecta a mí? La respuesta depende de dos cosas: el sector en el que operas y el tamaño de tu organización. Esta guía explica exactamente cómo funciona ese filtro, con la lista completa de los 18 sectores.

¿Cómo determina NIS2 quién está obligado?

A diferencia del RGPD, que aplica a prácticamente cualquier empresa que trate datos personales, NIS2 usa dos criterios acumulativos:

Sector: tu actividad principal tiene que estar en los Anexos I o II de la directiva
Tamaño: tienes que superar los umbrales de empleados o facturación (con excepciones importantes)

Si no cumples ambos, en principio no estás directamente obligada. Aunque la cadena de suministro puede arrastrarte de todas formas.

¿Qué criterio de tamaño usa NIS2?

NIS2 usa la clasificación europea de tamaño de empresa:

Microempresa: menos de 10 empleados y menos de 2 M€ → excluida
Pequeña empresa: 10–49 empleados o 2–10 M€ → excluida (salvo excepciones)
Mediana empresa: 50–249 empleados o 10–50 M€ → puede ser entidad importante
Gran empresa: 250+ empleados o más de 50 M€ → puede ser entidad esencial o importante

Atención: El criterio es empleados o facturación, no los dos a la vez. Una empresa con 45 empleados pero 15 M€ de facturación entra en el umbral de mediana empresa.

¿Qué excepciones al criterio de tamaño existen en NIS2?

NIS2 obliga directamente a ciertas organizaciones independientemente de su tamaño:

Prestadores cualificados de servicios de confianza (certificados digitales, firma electrónica)
Registros de nombres de dominio (TLD) y proveedores de servicios DNS
Proveedores de redes públicas de comunicaciones electrónicas
Entidades que sean el único proveedor de un servicio esencial en un estado miembro
Entidades cuya interrupción podría tener un impacto sistémico significativo
Administraciones públicas a nivel central y, posiblemente, regional

Una empresa de 12 empleados que gestione el DNS de un sector crítico puede estar perfectamente en el ámbito de NIS2.

¿Qué diferencia hay entre entidades esenciales e importantes en NIS2?

Todas las empresas obligadas deben cumplir los mismos requisitos técnicos. Lo que cambia es el régimen de supervisión y el techo de sanciones:

¿Qué obligaciones especiales tienen las entidades esenciales?

Supervisión activa y preventiva: inspecciones y auditorías sin esperar a que pase nada
Auditorías de seguridad obligatorias al menos cada 2 años
Multas máximas: 10 millones € o 2% de la facturación anual global
Son entidades esenciales: grandes empresas del Anexo I y los tipos de tamaño independiente

¿Qué obligaciones tienen las entidades importantes?

Supervisión reactiva: la autoridad actúa tras incidente, denuncia o evidencia
Multas máximas: 7 millones € o 1,4% de la facturación anual global
Son entidades importantes: medianas empresas de cualquier Anexo y grandes empresas del Anexo II

¿Cuáles son los 18 sectores que cubre NIS2?

¿Qué sectores están en el Anexo I de alta criticidad?

Energía — productores, distribuidores y operadores de electricidad, gas, petróleo, hidrógeno y calefacción urbana
Transporte — operadores aéreos, ferroviarios, marítimos y de carretera; gestores de infraestructuras de transporte
Banca — entidades de crédito (bancos, cajas, cooperativas de crédito)
Infraestructura de mercados financieros — centros de negociación, contrapartes centrales (CCP), depositarios de valores
Sanidad — hospitales, laboratorios de referencia, fabricantes de medicamentos y dispositivos médicos críticos
Agua potable — proveedores y distribuidores de agua para consumo humano
Aguas residuales — empresas de recogida, depuración y tratamiento
Infraestructura digital — IXP, DNS, TLD, cloud, centros de datos, CDN, servicios de confianza, redes de comunicaciones
Gestión de servicios TIC B2B — proveedores de servicios gestionados (MSP) y de seguridad gestionada (MSSP)
Administración pública — administración central y regional (excluido poder judicial, parlamentos y bancos centrales)
Espacio — operadores de infraestructuras terrestres de apoyo a servicios espaciales

¿Qué sectores están en el Anexo II de otros sectores críticos?

Servicios postales y mensajería — operadores postales y de paquetería urgente
Gestión de residuos — empresas que gestionan residuos como actividad principal
Fabricación — productos químicos, dispositivos médicos, electrónica, maquinaria, vehículos
Producción y distribución de alimentos — producción alimentaria y distribución al por mayor
Proveedores de servicios digitales — marketplaces, motores de búsqueda, redes sociales
Investigación — organizaciones cuya actividad principal es la investigación científica
Química — fabricación y distribución de sustancias y mezclas peligrosas

MSP y proveedores cloud: Los MSP y MSSP están directamente en el Anexo I. Si tu empresa gestiona la infraestructura IT de otras empresas y superas los umbrales de tamaño, estás directamente regulado — no solo indirectamente por ser proveedor de alguien.

¿Cómo saber exactamente si NIS2 aplica a mi empresa?

Tres preguntas en orden:

¿Mi actividad principal está en alguno de los 18 sectores? Si no, en principio NIS2 no aplica directamente.
¿Tengo 50 o más empleados O facturo más de 10 M€? Si no, en principio excluida (salvo excepciones de tamaño independiente).
¿Soy MSP, MSSP, proveedor DNS, cloud o de servicios de confianza? Si sí, probablemente estás en el Anexo I independientemente del tamaño.

Hay un cuarto factor que mucha gente ignora: la cadena de suministro. Si eres proveedor de software, IT o servicios a una empresa obligada por NIS2, tu cliente deberá exigirte garantías contractuales de seguridad. Ver cómo NIS2 arrastra a los proveedores →

Siguiente paso: Confirmado que aplica, el siguiente artículo es las 10 medidas técnicas del artículo 21. Son el núcleo de lo que hay que implementar.