Login Probar gratis
Directiva NIS2: qué es y cómo afecta a las empresas en España

Directiva NIS2: qué es y cómo afecta a las empresas en España

por MataSpam Seguridad Empresarial

La Directiva NIS2 obliga a aproximadamente 15.000 empresas españolas a reforzar su ciberseguridad, notificar incidentes en 24 horas y asumir responsabilidad personal de la alta dirección por incumplimientos. España transpuso esta normativa europea mediante el Real Decreto-ley 7/2025, ampliando el alcance respecto a la antigua NIS1 a sectores como la administración pública, alimentación, fabricación o servicios postales. El cumplimiento NIS2 ya no es una recomendación voluntaria: las multas alcanzan los 10 millones de euros o el 2% de la facturación global para entidades esenciales. Si tu empresa factura más de 10 millones o tiene más de 50 empleados en alguno de los 18 sectores afectados, te afecta directamente.

Qué es exactamente la Directiva NIS2

La Directiva (UE) 2022/2555, conocida como NIS2, sustituye a la primera Directiva NIS de 2016. Bruselas la aprobó en diciembre de 2022 con un objetivo claro: armonizar la ciberseguridad en toda la Unión Europea tras comprobar que la versión anterior se aplicaba de forma desigual entre países.

El cambio es notable. La NIS1 cubría unos 700 operadores en España. La NIS2 multiplica esa cifra por veinte.

El plazo de transposición venció el 17 de octubre de 2024. España llegó tarde y aprobó el Real Decreto-ley en 2025. La Comisión Europea ya abrió procedimientos de infracción contra varios Estados miembros por el retraso.

La ley de ciberseguridad europa distingue dos categorías de entidades obligadas:

  • Entidades esenciales: energía, transporte, banca, infraestructuras de mercado financiero, sanidad, agua potable y residual, infraestructuras digitales, administración pública y espacio.
  • Entidades importantes: servicios postales, gestión de residuos, química, alimentación, fabricación de productos críticos, proveedores digitales e investigación.

A quién afecta realmente en España

No basta con operar en uno de esos 18 sectores. También hay umbrales de tamaño que determinan si tu empresa entra dentro del paraguas obligatorio.

Estarás dentro del ámbito de aplicación si cumples al menos uno de estos criterios:

  • Más de 250 empleados o facturación superior a 50 millones de euros (entidad esencial).
  • Entre 50 y 250 empleados o facturación entre 10 y 50 millones (entidad importante).
  • Cualquier tamaño si eres proveedor único de un servicio crítico en tu territorio.

El Incibe y el Centro Criptológico Nacional (CCN) son las autoridades competentes designadas. Si tu empresa está afectada, tienes obligación de registrarte en el censo nacional. El plazo inicial expiró en 2025, así que muchas organizaciones están actuando ahora con retraso.

Un punto que pilla por sorpresa a muchos: la directiva aplica también a proveedores de servicios gestionados de TI, fabricantes de hardware crítico y cualquier empresa que forme parte de la cadena de suministro de una entidad esencial. Esto convierte a la NIS2 en un efecto cascada que llega a pymes que jamás se habían planteado estar reguladas. Los ataques a la cadena de suministro son precisamente uno de los motivos por los que Bruselas amplió tanto el perímetro.

Las 10 medidas mínimas obligatorias

El artículo 21 de la directiva establece un catálogo de medidas técnicas, operativas y organizativas que toda entidad afectada debe implementar. No son sugerencias. Son obligaciones auditables.

  1. Análisis de riesgos y políticas de seguridad de los sistemas de información.
  2. Gestión de incidentes: prevención, detección y respuesta.
  3. Continuidad de negocio: copias de seguridad, recuperación ante desastres y gestión de crisis.
  4. Seguridad de la cadena de suministro, incluyendo aspectos relativos a proveedores directos.
  5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas, incluida la gestión de vulnerabilidades.
  6. Políticas de evaluación de la eficacia de las medidas de gestión de riesgos.
  7. Higiene cibernética básica y formación en ciberseguridad.
  8. Políticas de criptografía y, cuando proceda, cifrado.
  9. Seguridad de los recursos humanos, control de acceso y gestión de activos.
  10. Autenticación multifactor o autenticación continua, comunicaciones seguras y sistemas de comunicación de emergencia.

Muchas empresas ya cumplen varios de estos puntos por requisitos del RGPD o porque tienen ISO 27001. La NIS2 no inventa la rueda, pero la hace obligatoria por ley y con sanciones serias detrás.

Plazos de notificación: el reloj corre rápido

Una de las novedades más exigentes son los plazos de notificación de incidentes significativos. La autoridad competente (Incibe-CERT o CCN-CERT según el sector) debe recibir información en tres fases:

PlazoTipo de notificaciónContenido
24 horasAlerta tempranaIndicación inicial del incidente y si se sospecha causa maliciosa
72 horasNotificación de incidenteEvaluación inicial, gravedad, impacto y posibles indicadores de compromiso
1 mesInforme finalDescripción detallada, causa raíz, medidas de mitigación y consecuencias transfronterizas

Un incidente se considera "significativo" cuando causa o puede causar una perturbación operativa grave del servicio o pérdidas financieras importantes. También cuando afecta o puede afectar a terceros causando daños materiales o inmateriales considerables. La definición es deliberadamente amplia para evitar interpretaciones restrictivas.

Sanciones y responsabilidad directiva

Las sanciones económicas son contundentes y han hecho que muchos consejos de administración se tomen en serio el cumplimiento NIS2:

  • Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación mundial anual, lo que sea mayor.
  • Entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación mundial anual.

El cambio más disruptivo es la responsabilidad personal de la alta dirección. Los miembros del consejo y los directivos pueden ser inhabilitados temporalmente para ejercer funciones directivas si se demuestra negligencia en la supervisión de las medidas de ciberseguridad. Ya no vale el "yo no sabía nada".

La directiva exige que los órganos de dirección aprueben las medidas, supervisen su aplicación y reciban formación periódica en ciberseguridad. Quienes hayan delegado todo en el departamento de IT y miren hacia otro lado tienen un problema. Implementar un sistema de gestión documental y herramientas de monitorización propias resulta necesario reforzar, y muchas empresas están recurriendo a soluciones de inteligencia artificial para empresas que automatizan la detección de anomalías.

Cómo prepararse: hoja de ruta práctica

Si tu empresa entra en el ámbito de aplicación y aún no has hecho nada, esto es lo que recomiendan los especialistas del sector:

Fase 1 — Diagnóstico (1-2 meses). Análisis de aplicabilidad, inventario de activos críticos, gap analysis frente a las medidas del artículo 21 y mapeo de la cadena de suministro.

Fase 2 — Plan director (2-3 meses). Definición de políticas, designación del responsable de ciberseguridad, plan de inversión, formación del consejo y firma de adendas con proveedores críticos.

Fase 3 — Implementación (6-12 meses). Despliegue de MFA, segmentación de red, sistemas SIEM, EDR en endpoints, copias de seguridad inmutables y procedimientos de respuesta a incidentes.

Fase 4 — Operación y mejora continua. Auditorías periódicas, pentests anuales, simulacros de incidente y revisión por dirección al menos semestral.

Herramientas como Have I Been Pwned para detectar credenciales filtradas, VirusTotal para análisis de muestras o frameworks como MITRE ATT&CK y NIST CSF 2.0 son aliados naturales en esta hoja de ruta. La inversión también blinda contra amenazas habituales como el scareware, el ransomware y el phishing dirigido.

Preguntas frecuentes

Mi empresa tiene 40 empleados, ¿estoy fuera de la NIS2?

Por defecto sí, pero hay excepciones. Si eres proveedor único de un servicio esencial en tu territorio, registrador de nombres de dominio, proveedor de servicios DNS o de confianza, la NIS2 te aplica con independencia del tamaño. Tampoco te libras si formas parte de la cadena de suministro de una entidad esencial: te exigirán cumplimiento contractual.

¿Qué pasa si ya tengo ISO 27001 o ENS?

Buena noticia: tienes gran parte del trabajo hecho. Ambas normas cubren la mayoría de los requisitos del artículo 21. Aun así, la NIS2 añade obligaciones específicas como los plazos de notificación de 24/72 horas y la responsabilidad directiva que no están en esas certificaciones. Necesitarás complementar, no empezar de cero.

¿Cuándo empiezan a aplicarse las sanciones en España?

El Real Decreto-ley 7/2025 entró en vigor a los pocos meses de su publicación, aunque la autoridad competente ha establecido un periodo de adaptación razonable. Las sanciones por incumplimientos graves ya pueden imponerse, especialmente en casos de incidentes no notificados o negligencia manifiesta. Se espera mayor actividad sancionadora durante 2026.

¿Quién debe ser el responsable de ciberseguridad designado?

La directiva no exige un perfil concreto, pero recomienda que sea una persona con autoridad real, acceso directo al consejo y capacidad presupuestaria. En la práctica suele ser un CISO o un director de TI con competencias ampliadas. Lo que no vale es delegar en un técnico junior sin capacidad de decisión.

¿Tengo que auditar a todos mis proveedores?

No a todos, pero sí a los críticos. La directiva habla de "proveedores directos" cuyo fallo pueda comprometer tu servicio. Habitualmente esto incluye proveedores cloud, MSP, fabricantes de software embebido y servicios externalizados de seguridad. Las cláusulas contractuales de ciberseguridad pasan a ser un requisito legal, no una buena práctica opcional.

El siguiente paso

Descarga el cuestionario de autoevaluación del Incibe sobre aplicabilidad NIS2 y dedica una hora esta semana a completarlo con tu responsable de TI. En 60 minutos sabrás si tu empresa está dentro del ámbito, qué categoría te corresponde y cuáles son las tres medidas que deberías priorizar. Es gratis y te ahorra meses de incertidumbre.

nis2 directiva nis2 cumplimiento nis2 ciberseguridad nis2 ley ciberseguridad europa
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Seguridad informática para pymes: guía esencial de protección
Seguridad Empresarial

Seguridad informática para pymes: guía esencial de protección

Shadow IT: los riesgos de las aplicaciones no autorizadas en tu empresa
Seguridad Empresarial

Shadow IT: los riesgos de las aplicaciones no autorizadas en tu empresa

Pentesting: cómo un test de intrusión puede salvar tu empresa
Seguridad Empresarial

Pentesting: cómo un test de intrusión puede salvar tu empresa

← Volver al blog