NIS2: obligaciones empresas 2026
Si tu empresa supera los 50 empleados o factura más de 10 millones de euros y opera en un sector considerado esencial o importante, la Directiva NIS2 ya te afecta. La norma europea de ciberseguridad exige medidas técnicas concretas, obliga a notificar los incidentes graves en menos de 24 horas y hace personalmente responsable a la dirección. El plazo europeo de transposición venció en octubre de 2024 y España está cerrando su ley nacional, así que el margen para adecuarse se estrecha. En este artículo verás qué obliga NIS2 exactamente, qué plazos y sanciones maneja, y cómo llegar al final de 2026 con un nivel de cumplimiento que puedas demostrar ante una inspección.
Tabla de contenidos
- ¿Qué es NIS2 y a qué empresas obliga?
- Las 10 obligaciones de NIS2 que debes cumplir
- Plazos de notificación: 24 horas, 72 horas y un mes
- Sanciones y responsabilidad de la dirección
- Checklist: ¿está tu empresa preparada?
- Errores frecuentes
- Cómo puede ayudar Aicor
- Preguntas frecuentes
¿Qué es NIS2 y a qué empresas obliga?
NIS2 es la Directiva (UE) 2022/2555, la norma que eleva el nivel mínimo de ciberseguridad en toda la Unión Europea. Sustituye a la primera directiva NIS y amplía de forma notable su alcance.
Tu empresa entra en el ámbito de NIS2 si cumple dos condiciones a la vez: opera en uno de los 18 sectores cubiertos (energía, transporte, banca, sanidad, agua, infraestructura digital, servicios TIC, fabricación crítica, alimentación, gestión de residuos, entre otros) y tiene al menos 50 empleados o 10 millones de euros de facturación anual. La norma clasifica a las entidades como «esenciales» o «importantes», con distinto nivel de supervisión. Un dato que suele pasarse por alto: NIS2 también traslada exigencias a tus proveedores, porque la seguridad de la cadena de suministro es una obligación explícita.
Las 10 obligaciones de NIS2 que debes cumplir
El artículo 21 de la directiva concreta las medidas de gestión de riesgos que tu empresa debe implantar y mantener. No basta con tener un antivirus: se exige un enfoque completo y documentado.
| Medida NIS2 | Qué significa en la práctica |
|---|---|
| Análisis de riesgos | Identificar de forma continua tus vulnerabilidades reales |
| Gestión de incidentes | Tener un protocolo para detectar, contener y recuperar |
| Continuidad de negocio | Copias de seguridad probadas y plan de recuperación |
| Seguridad de la cadena de suministro | Controlar el acceso de proveedores a tus sistemas |
| Seguridad en el desarrollo y mantenimiento | Proteger redes y sistemas durante todo su ciclo de vida |
| Evaluación de eficacia | Medir si las medidas funcionan de verdad |
| Ciberhigiene y formación | Concienciar a plantilla y dirección |
| Criptografía y cifrado | Proteger datos en dispositivos y comunicaciones |
| Control de accesos y gestión de activos | Saber quién accede a qué y con qué permisos |
| Autenticación multifactor | Bloquear accesos no autorizados |
El beneficio real de cerrar estas diez medidas no es «cumplir por cumplir»: es reducir la probabilidad de que un incidente pare tu operación y te cueste clientes.
Plazos de notificación: 24 horas, 72 horas y un mes
Cuando sufres un incidente con impacto significativo, el reloj empieza a correr. NIS2 fija tres hitos de notificación al CSIRT de referencia (en España, INCIBE-CERT):
- Antes de 24 horas: alerta temprana indicando que hay un incidente.
- Antes de 72 horas: notificación con una primera evaluación de gravedad e impacto.
- Antes de 1 mes: informe final con causa, medidas aplicadas y repercusiones.
Cumplir estos plazos sin un plan preparado es prácticamente imposible. Por eso el valor de la monitorización continua no es técnico: es tener detectado y contenido el incidente antes de que se agote la primera ventana de 24 horas.
Sanciones y responsabilidad de la dirección
NIS2 introduce un cambio que afecta directamente a gerentes y consejeros: la responsabilidad personal. La dirección debe formarse en ciberseguridad, supervisar las medidas y puede ser considerada responsable del incumplimiento.
Las multas se dimensionan según el tipo de entidad:
- Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación anual global (la cifra más alta).
- Entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación.
Para una pyme mediana, una sanción de este tamaño, sumada al coste de un incidente de ransomware, es un riesgo que supera con creces la inversión en adecuarse.
Checklist: ¿está tu empresa preparada?
- Sabemos con certeza si NIS2 nos aplica (sector + tamaño).
- Tenemos un análisis de riesgos actualizado.
- Contamos con monitorización de red y endpoints en tiempo real.
- Existe un plan de respuesta a incidentes probado.
- La dirección ha recibido formación en ciberseguridad.
- Ciframos portátiles y dispositivos móviles.
- Tenemos autenticación multifactor en los accesos críticos.
- Podemos demostrar el cumplimiento con evidencia documentada.
Si marcas menos de seis casillas, tu empresa tiene un gap de cumplimiento que conviene cerrar cuanto antes.
Errores frecuentes
Pensar que un antivirus cubre NIS2. El antivirus toca una fracción mínima de los requisitos. Faltan monitorización, gestión de vulnerabilidades, cifrado, control de accesos y formación.
Esperar a la ley española. El plazo europeo ya venció y la exigencia va llegando. Empezar cuando aparezca la inspección deja sin margen para implantar medidas que tardan semanas.
Dejarlo todo en manos de un equipo de TI de 2 o 3 personas. Vigilar alertas 24/7, aplicar parches y mantener la normativa a la vez es inviable sin apoyo externo. El resultado suele ser detección tardía: la media sin monitorización avanzada supera los 200 días.
No documentar nada. Cumplir sin evidencia equivale a no cumplir ante un auditor.
Cómo puede ayudar Aicor
La mayoría de pymes no falla por falta de voluntad, sino porque su equipo interno no puede sostener la vigilancia continua que exige la norma. Ahí es donde entra un servicio de ciberseguridad para empresas gestionado.
Con detección y respuesta gestionada (MDR) y un centro de operaciones que monitoriza tus sistemas sin descanso, tu empresa detecta y contiene amenazas en minutos en lugar de meses, y llega a los plazos de notificación de NIS2 con margen. Aicor, como partner certificado de Sophos, cubre las diez medidas del artículo 21 con un único interlocutor: análisis de riesgos, endpoint, cifrado, control de accesos y formación de la dirección. Además, integramos la parte técnica con la de derecho digital y protección de datos, de modo que el cumplimiento normativo y la infraestructura IT avanzan en paralelo y con evidencia lista para auditoría.
El resultado que buscas: dormir tranquilo sabiendo que, si ocurre un incidente, hay un equipo experto respondiendo desde el primer minuto.
Preguntas frecuentes
¿Mi empresa está obligada a cumplir NIS2?
Sí, si operas en uno de los 18 sectores cubiertos y tienes 50 o más empleados o facturas 10 millones de euros o más al año. También pueden aplicarte obligaciones si eres proveedor de una entidad afectada.
¿NIS2 ya es obligatorio en España?
La transposición europea venció en octubre de 2024 y España está finalizando su ley nacional. Las obligaciones se vuelven exigibles de forma progresiva, por lo que conviene prepararse ahora y no esperar al texto definitivo.
¿Un antivirus es suficiente para cumplir NIS2?
No. El antivirus cubre solo una parte pequeña. La directiva exige monitorización continua, gestión de vulnerabilidades, cifrado, control de accesos, copias de seguridad y formación, entre otras medidas.
¿En cuánto tiempo hay que notificar un incidente?
Alerta temprana en 24 horas, notificación de incidente en 72 horas e informe final en un mes.
¿La dirección puede ser sancionada personalmente?
Sí. NIS2 establece responsabilidad de los órganos de dirección, que deben formarse y supervisar las medidas de gestión de riesgos.
Conclusión
NIS2 deja de ser una recomendación para convertirse en una obligación con plazos, sanciones y responsabilidad personal. Para una pyme de 50 a 250 empleados, el reto no es entender la norma, sino sostener a diario la vigilancia y la evidencia que exige. Adecuarse a tiempo no solo evita multas: protege tu continuidad operativa y tu reputación ante clientes y proveedores. El primer paso lógico es saber, con datos, en qué punto estás hoy.
Descubre en qué nivel de cumplimiento NIS2 está tu empresa. Solicita una auditoría de ciberseguridad sin compromiso y recibe un diagnóstico claro de tus brechas y las medidas prioritarias para cerrarlas. Habla con un especialista de Aicor.
