¿Qué es la Directiva NIS2 y por qué afecta a más pymes españolas de las que crees?
NIS2 es la directiva europea que obliga a empresas de sectores críticos a cumplir requisitos serios de ciberseguridad. En España la transpone una Ley específica con plazos cortos y multas reales.
Actualizado mayo 2026
NIS2: el nuevo marco europeo de ciberseguridad obligatoria.
La Directiva NIS2 (Directiva UE 2022/2555) es la norma europea que sustituye a NIS1 y eleva el listón de ciberseguridad para empresas de sectores considerados esenciales o importantes. Entró en vigor en enero de 2023 y los Estados miembros tenían hasta octubre de 2024 para transponerla. España la ha incorporado mediante el Real Decreto-ley y un proyecto de Ley específico que ya se aplica en 2026.
A diferencia de NIS1, que afectaba a pocos operadores muy grandes, NIS2 amplía dramáticamente el ámbito: incluye 18 sectores (energía, transporte, banca, sanidad, infraestructura digital, gestión TIC, administración pública, espacio, postal, residuos, química, alimentación, manufactura, digital, investigación) y baja el umbral hasta empresas medianas (>50 empleados o >10M€ de facturación). Muchas pymes B2B españolas entran sin saberlo.
Las obligaciones incluyen: gestión de riesgos documentada, notificación de incidentes a INCIBE-CERT en 24/72h, medidas técnicas y organizativas (cifrado, control de acceso, formación, MFA, copias de seguridad probadas), responsabilidad directa del órgano de administración y supervisión de la cadena de suministro. Las multas pueden llegar a 10M€ o 2% de la facturación.
NIS2 se cruza con RGPD (parte de los incidentes a notificar afectan a datos personales), con ISO 27001 (certificarse cubre buena parte de los requisitos) y con DORA (ámbito financiero específico).
Cómo saber si NIS2 te aplica
Tres preguntas que determinan si entras en el ámbito de aplicación.
Sector dentro de los 18 listados
Energía, transporte, banca, infraestructuras de mercado, sanidad, agua potable y residuales, infraestructura digital (DNS, hosting, IaaS, data centers), gestión TIC B2B, administración pública, espacio, postal, gestión residuos, química, alimentación, manufactura crítica, proveedores digitales (cloud, marketplaces, motores de búsqueda), investigación.
Tamaño igual o superior a mediana empresa
En general: <strong>>50 empleados o >10M€ de facturación</strong>. Excepciones: algunas pymes pequeñas también entran si son únicos proveedores de un servicio crítico o si su afectación tendría impacto transfronterizo.
Clasificación: esencial o importante
Entidades <strong>esenciales</strong> (energía, sanidad, banca, infraestructura digital grande): supervisión proactiva, multas hasta 10M€/2%. Entidades <strong>importantes</strong> (resto): supervisión reactiva, multas hasta 7M€/1,4%. Tu organismo regulador depende del sector.
Cadena de suministro: te puede arrastrar
Aunque tu pyme no entre directamente, si eres proveedor de una entidad esencial o importante, ella debe controlar tu seguridad. Recibirás cuestionarios y auditorías. NIS2 te aplica indirectamente vía contrato.
Registro obligatorio
Las entidades NIS2 deben registrarse ante la autoridad nacional competente (en España, INCIBE u órgano sectorial). No estar registrado siendo sujeto pasivo ya es infracción.
Responsabilidad personal del consejo
El órgano de administración aprueba y supervisa medidas de gestión de riesgos. Formación específica obligatoria. Responsabilidad personal de directivos por incumplimiento (no solo multa a la empresa).
Diez medidas mínimas exigidas por NIS2
Lo que el artículo 21 detalla como base de gestión de riesgos.
Análisis y políticas de riesgo
Documento formal de análisis de riesgos por activo (sistemas, datos, servicios). Política aprobada por dirección, revisada al menos anualmente y tras incidentes.
Gestión de incidentes
Procedimiento escrito de detección, contención, erradicación, recuperación y lecciones aprendidas. Notificación a INCIBE-CERT en 24h (alerta inicial) y 72h (informe detallado).
Continuidad y copias de seguridad
Plan de continuidad probado, copias de seguridad cifradas y restauración verificada. Sin pruebas de restauración no cumples — tener backups no basta si no los pruebas.
Seguridad cadena de suministro
Evaluación de proveedores TIC críticos (cloud, software, MSP). Cláusulas contractuales de ciberseguridad. Monitorización de vulnerabilidades en su software.
Seguridad en adquisición y mantenimiento
Procesos seguros de desarrollo, gestión de vulnerabilidades y parcheo. Inventario actualizado de activos. Gestión de configuración.
Políticas de eficacia y formación
Medición periódica de la eficacia de medidas. Formación obligatoria de personal — incluida la del órgano de administración. Concienciación cíclica.
Higiene básica y criptografía
MFA en accesos críticos, gestión de credenciales, cifrado de datos en tránsito y reposo, control de acceso basado en roles, segmentación de red.
Seguridad de RRHH y control de acceso
Procesos de alta/baja de personal con revocación inmediata de accesos. Acuerdos de confidencialidad. Verificación de antecedentes en posiciones críticas.
Uso de soluciones de autenticación seguras
MFA en cuentas con privilegios y en accesos remotos (VPN, escritorio remoto). Single sign-on con MFA. Comunicaciones seguras (voz, vídeo, texto cifradas).
Hoja de ruta NIS2 para pyme afectada
Cuatro fases. Entre 4 y 9 meses si se ataca con prioridad.
Diagnóstico y gap analysis
Mapear activos, identificar sector y clasificación NIS2 aplicable, comparar estado actual con requisitos. Salida: lista priorizada de carencias y plan de cumplimiento. 3-5 semanas.
Quick wins y registro
MFA en todo lo crítico, copias de seguridad probadas, plan de respuesta a incidentes mínimo, política de seguridad aprobada por dirección, registro ante autoridad. 4-6 semanas.
Sistema de gestión
Documentar política completa, gestión de riesgos, procedimientos operativos, gestión de proveedores, formación. Aquí <a href="/glosario/que-es-iso-27001" class="text-magnetia-red underline">ISO 27001</a> es la palanca natural. 3-6 meses.
Operación, auditoría y mejora
Operar el sistema, medir KPIs (incidentes, tiempos de respuesta, formación, cobertura de controles), auditoría interna anual, simulacros, revisión por dirección. Recurrente.
NIS2 en el ecosistema regulatorio.
NIS2 se solapa con varios marcos. Con ISO 27001: certificarse cubre el 70-80% de los requisitos NIS2 — es el atajo más usado en pymes. Con ENS: si trabajas con administración pública, ya tienes parte del trabajo hecho. Con SOC 2: comparte controles pero no es equivalente directo.
Con RGPD: los incidentes que afectan a datos personales se notifican a AEPD por RGPD y a INCIBE por NIS2 — dos notificaciones, no excluyentes. Con DORA: si eres entidad financiera, DORA tiene prioridad como lex specialis.
NIS2 también encaja con auditorías de pentest que validen las medidas técnicas, con DPA para gestionar cadena de suministro y con auditorías regulares de proveedores TIC críticos.
En Magnetia ayudamos a pymes B2B a desbrozar NIS2 sin convertirlo en proyecto eterno. Combinamos consultoría, automatización razonable y partners certificadores cuando hace falta. Más en comparativa NIS2 vs ISO 27001 vs SOC 2.
Dudas que nos hacéis llegar
¿Sabes si tu pyme entra en NIS2?
Hacemos diagnóstico gratuito de aplicabilidad NIS2: sector, tamaño, cadena de suministro y nivel de cumplimiento actual. Te entregamos plan realista priorizado.