Ciberseguridad · Cumplimiento normativo · Directiva NIS2
Directiva NIS2: a quién obliga, qué sanciones prevé y por qué conviene anticiparse
La NIS2 ya marca el nuevo nivel de exigencia en ciberseguridad para miles de organizaciones en Europa. En España, 2025 mantiene el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad —transpuesto parcialmente mediante el Real Decreto-ley 7/2025— y el texto sigue en tramitación parlamentaria. Ese retraso no exonera a nadie: las inspecciones están comenzando y los reguladores europeos ya aplican criterios coherentes con la directiva.
Tiempo de lectura: 8 minutos

Resumen de contenido
En este artículo encontrarás quién está obligado por la NIS2, qué obligaciones técnicas impone, qué sanciones puede acarrear el incumplimiento y qué ventajas obtiene una organización que se adelanta al cumplimiento.
- ¿A qué empresas afecta la NIS2?
- Qué obligaciones técnicas impone.
- Sanciones: cuánto puede costar el incumplimiento.
- Ventajas de cumplir la NIS2 antes de que te obliguen.
- Errores frecuentes, preguntas frecuentes y conclusión.
Respuesta rápida: La NIS2 afecta, con carácter general, a organizaciones de sectores esenciales e importantes que superen los 50 empleados o los 10 millones de euros de facturación o balance anual. Las sanciones pueden alcanzar hasta 10 millones de euros o el 2% de la facturación mundial anual.
Resumen ejecutivo
- La NIS2 aplica según una combinación de tamaño y sector.
- Las entidades se clasifican como esenciales o importantes, con distintos niveles de supervisión.
- La directiva exige medidas concretas de gestión de riesgos, continuidad de negocio y seguridad en la cadena de suministro.
- La notificación de incidentes tiene plazos estrictos: 24 horas, 72 horas y un mes.
- Las multas pueden llegar a 10 M€ o al 2% de la facturación mundial anual.
- Los directivos pueden asumir responsabilidad personal si existe negligencia en la supervisión.
¿A qué empresas afecta la NIS2 en España?
El criterio de aplicación combina tamaño y sector. Con carácter general, la norma aplica si tu organización supera alguno de estos umbrales:
- 50 o más empleados, o
- Facturación o balance anual superior a 10 millones de euros.
Además, debe operar en uno de los sectores cubiertos por los Anexos I o II de la directiva.
| Categoría | Sectores (selección) | Tipo de supervisión |
|---|---|---|
| Entidades esenciales (Anexo I) | Energía, transporte, banca, salud, agua, infraestructuras digitales, TIC B2B, AAPP y espacio. | Proactiva, con auditorías sin previo aviso. |
| Entidades importantes (Anexo II) | Servicios postales, residuos, química, alimentación, fabricación industrial, proveedores digitales e investigación. | Reactiva, con intervención tras incidente o señal. |
Las microempresas y pequeñas empresas, con menos de 50 empleados y menos de 10 M€, quedan fuera del ámbito general. Aun así, existen excepciones: proveedores de DNS, registros de TLD, servicios de confianza cualificados y determinados proveedores TIC críticos pueden estar obligados con independencia de su tamaño.
Un dato especialmente relevante para empresas medianas es que, si eres proveedor habitual de una entidad esencial, la NIS2 exige que esa entidad verifique que tu seguridad no representa un riesgo para su cadena de suministro. La presión puede llegar antes de una notificación formal.
Qué obligaciones técnicas impone
El artículo 21 de la directiva define las medidas mínimas. No son opcionales ni graduables según presupuesto. Entre las más relevantes para la mayoría de organizaciones:
Gestión de riesgos
Análisis de riesgos y políticas de seguridad documentadas.
Gestión de incidentes
Procedimientos definidos, probados y operativos para responder ante incidentes.
Continuidad de negocio
Copias de seguridad verificadas y plan de recuperación ante desastres.
Protección técnica
Seguridad en la cadena de suministro, MFA, cifrado de comunicaciones y datos sensibles.
Otras exigencias relevantes
- Autenticación multifactor en todos los accesos críticos.
- Cifrado de comunicaciones y datos sensibles.
- Formación obligatoria del órgano de dirección en ciberseguridad.
El régimen de notificación de incidentes es estricto: alerta temprana en 24 horas, notificación completa en 72 horas e informe final en un mes. Incumplir estos plazos es, por sí solo, una infracción sancionable.
Sanciones: cuánto puede costar el incumplimiento
La NIS2 es la primera norma europea de ciberseguridad con un régimen sancionador comparable al del RGPD en severidad.
| Categoría de entidad | Multa máxima |
|---|---|
| Entidades esenciales | 10 M€ o 2% de la facturación mundial anual, la cifra mayor. |
| Entidades importantes | 7 M€ o 1,4% de la facturación mundial anual, la cifra mayor. |
Responsabilidad personal de los directivos
Si se acredita negligencia en la supervisión del cumplimiento, los directivos pueden ser sancionados individualmente e incluso inhabilitados temporalmente de sus funciones. El anteproyecto español es especialmente estricto en este punto.
Doble sanción con el RGPD
Un ciberincidente que comprometa datos personales puede derivar en dos procedimientos paralelos: uno por NIS2 y otro ante la AEPD por incumplimiento del RGPD. Esa acumulación no es teórica y ya tiene precedentes en otros Estados miembros.
Ventajas de cumplir la NIS2 antes de que te obliguen
El cumplimiento forzado genera coste y estrés. El cumplimiento anticipado genera ventaja competitiva. Estas son algunas de las más concretas:
- Acceso a contratos con entidades esenciales: las grandes entidades reguladas están trasladando requisitos NIS2 a sus proveedores. Sin un nivel mínimo acreditable de seguridad, puedes quedar fuera de licitaciones y renovaciones.
- Reducción del riesgo operativo real: MFA, copias de seguridad verificadas y gestión de incidentes reducen directamente la probabilidad y el impacto de un incidente grave.
- Diferenciación en ventas B2B: poder acreditar cumplimiento —o el proceso documentado hacia él— es ya un argumento comercial.
- Eficiencia en compliance: la NIS2 se solapa con RGPD, ENS e ISO 27001, por lo que una postura de seguridad madura reduce el coste marginal de cumplimiento.
Errores frecuentes
Esperar a la ley española definitiva
La obligación material existe desde la directiva. El retraso legislativo en España no paraliza inspecciones ni exigencias contractuales de clientes regulados.
Delegar el cumplimiento solo en IT
La NIS2 exige aprobación y supervisión explícita del órgano de dirección. Sin actas y evidencias documentadas, la responsabilidad personal queda expuesta.
Tratar la notificación de 24 horas como opcional
No lo es. Omitirla constituye una infracción independiente del incidente.
Firmar declaraciones con proveedores sin verificar
La directiva exige evidencia de gestión de la cadena de suministro, no solo cláusulas contractuales.
Solución Aicor
Cómo puede ayudar Aicor
Saber si estás obligado es el primer paso. El segundo es saber cuánto te falta. Muchas organizaciones descubren en esa evaluación que ya cubren buena parte de los requisitos con controles implementados, pero no documentados ni probados.
Desde ciberseguridad para empresas trabajamos con equipos IT y dirección en las dos fases que más se retrasan: el análisis de brecha real frente al artículo 21 y la implementación de los controles técnicos prioritarios.
Para organizaciones que además gestionan datos personales, el equipo de derecho digital y protección de datos alinea el cumplimiento de la NIS2 con el RGPD para evitar duplicidades y reducir el riesgo de doble procedimiento sancionador.
+ Análisis de brecha frente al artículo 21
+ Implantación de MFA y controles prioritarios
+ Gestión de incidentes y backups verificados
+ Alineación NIS2 y RGPD
Preguntas frecuentes
¿Mi empresa está obligada si tiene menos de 50 empleados?
En general, no. La norma excluye a microempresas y pequeñas empresas salvo excepciones tasadas, como proveedores DNS, servicios de confianza cualificados, TLDs o entidades designadas por su criticidad.
¿La NIS2 aplica aunque España aún no haya publicado la ley definitiva?
Sí. El Real Decreto-ley 7/2025 ya transpone obligaciones parciales y, además, reguladores y clientes regulados están aplicando criterios consistentes con la directiva.
¿Un incidente de ciberseguridad puede generar sanciones por NIS2 y por RGPD a la vez?
Sí. Si el incidente implica una brecha de datos personales, las autoridades de ciberseguridad pueden informar a la AEPD y activar un procedimiento paralelo bajo el RGPD.
¿En qué se diferencia una entidad esencial de una importante?
El sector y el tamaño determinan la categoría. La diferencia práctica clave es la supervisión: proactiva en esenciales y reactiva en importantes.
¿Los directivos pueden ser sancionados personalmente?
Sí. La directiva exige que el órgano de dirección apruebe y supervise las medidas de seguridad. Si se acredita negligencia, puede haber sanciones individuales e inhabilitación temporal.
Conclusión
La NIS2 no es una norma de futuro: es una obligación activa para miles de empresas en España, con sanciones que llegan al 2% de la facturación mundial y responsabilidad personal para los directivos.
El retraso en la transposición española ha generado incertidumbre jurídica, pero no ha detenido las inspecciones ni las exigencias de la cadena de suministro. Las organizaciones que ya han iniciado su adecuación están en mejor posición competitiva, tienen menos exposición ante un incidente y acreditan un nivel de madurez que muchos competidores aún no pueden demostrar.
¿Sabes realmente cuánto te falta para cumplir la NIS2?
Solicita una auditoría de ciberseguridad y obtén un mapa claro de tu situación frente al artículo 21: qué controles tienes ya cubiertos, cuáles son prioritarios y un plan de acción realista.
