Regulación
NIS2 en la práctica: qué necesita realmente tu empresa para cumplir
NIS2 dejó de ser teoría en octubre de 2024. Desde entonces, los reguladores europeos han empezado a aplicar sanciones reales a empresas que no han hecho los deberes. La directiva eleva el nivel de exigencia respecto a su predecesora —NIS1— en tres frentes: amplía los sectores cubiertos, endurece las sanciones (hasta el 2% del volumen de negocio anual mundial o 10 millones de euros, lo que sea mayor), e introduce responsabilidad personal para los miembros del consejo.
En España, la transposición se completó con retraso respecto al plazo del 17 de octubre de 2024 que fijaba la directiva. Eso no exime a las empresas: el régimen de obligaciones aplica desde que la norma nacional entra en vigor, y los reguladores ya han empezado a inspeccionar. Si tu empresa entra en el ámbito de aplicación, llegar tarde tiene un coste cuantificable.
Esta guía no es un resumen legal. Es una guía operativa para que un comité de dirección sepa: (1) si NIS2 le aplica, (2) qué tiene que hacer en concreto, (3) en qué plazos, y (4) qué riesgo real corre si no lo hace. Está pensada para directores de operaciones, CISOs y responsables de cumplimiento que necesitan tomar decisiones esta semana, no leer un informe de 80 páginas.
NIS2 no es un obstáculo burocrático. Es la presión regulatoria que muchas empresas necesitaban para hacer lo que debían haber hecho hace años.
— José Enrique Ibarra¿Tu empresa entra en NIS2? El test rápido
NIS2 aplica a entidades esenciales e importantes. La diferencia importa porque el régimen sancionador y la supervisión son más duros para las primeras.
Criterios combinados: tu empresa entra si cumple (a) sector + (b) tamaño, salvo excepciones específicas que detallamos abajo.
| Categoría | Sectores principales | Ejemplos B2B |
|---|---|---|
| Esenciales | Energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio | Operadores eléctricos, hospitales, bancos, ISPs, data centers |
| Importantes | Servicios postales y mensajería, gestión de residuos, fabricación química, alimentación, manufactura crítica, proveedores digitales (marketplaces, motores de búsqueda, redes sociales), investigación | E-commerce con logística propia, fabricantes farmacéuticos, MSPs |
Umbral de tamaño:
- Mediana empresa o superior: más de 50 empleados o más de 10 millones de euros de facturación anual.
- Por debajo de esos umbrales: en general no aplica, salvo casos especiales (proveedor único de un servicio crítico, riesgo sistémico, designación expresa por el regulador).
Casos límite frecuentes en proyectos B2B:
- MSP que gestiona infraestructura de un cliente NIS2: el MSP entra como entidad importante por proveer servicios TIC gestionados, aunque su cliente directo lo supere en tamaño.
- Empresa industrial con planta inferior a 50 empleados pero matriz superior a 250: aplica el criterio de grupo. Suele entrar.
- Fabricante alimentario con 60 empleados: entra como importante si fabrica productos críticos.
- SaaS B2B con 30 empleados pero facturación superior a 10 M€: entra por el umbral de facturación.
Test de 30 segundos (responde sí/no):
- ¿Tu empresa supera 50 empleados o 10 M€ de facturación?
- ¿Operas en alguno de los sectores listados arriba?
- ¿Prestas servicios TIC gestionados a un tercero que cumple 1 y 2?
Dos "sí" → revisión obligada con asesoría jurídica especializada.
Plazos NIS2 que importan en 2026
Los plazos NIS2 se mueven en tres planos: directiva europea, transposición nacional, y obligaciones operativas internas que cuelgan de cada uno. Resumen útil para una hoja de ruta interna:
| Hito | Fecha | Qué implica |
|---|---|---|
| Entrada en vigor directiva | 17 oct 2024 | Las medidas son exigibles en países con transposición completada |
| Transposición ES | Completada en 2025 (con retraso) | A partir de la entrada en vigor nacional, el régimen sancionador es plenamente aplicable |
| Registro de entidades esenciales/importantes | Plazo determinado por norma nacional, en general 2025-2026 | Si no te has registrado y entras en ámbito, ya hay incumplimiento formal |
| Primer ciclo de informes de incidentes significativos | A partir de transposición | Notificación inicial en 24h, informe completo en 72h, informe final en 1 mes |
| Inspecciones reactivas y proactivas | En curso desde 2025 | Las autoridades pueden iniciar inspecciones sin necesidad de incidente previo |
Lo que muchos comités directivos no saben:
- Las sanciones no son progresivas. La directiva permite multas máximas desde el primer expediente firme; no hay un periodo de gracia formal.
- La responsabilidad personal del consejo es real. Algunos Estados Miembros han incluido en su transposición la posibilidad de inhabilitación temporal de directivos por incumplimientos graves reiterados.
- El registro tardío no se "regulariza" sin más. Una vez vencido el plazo de registro, el regulador puede iniciar expediente por la propia falta de registro.
Si tu empresa entra en ámbito y todavía no ha hecho el registro formal, esa es la primera tarea de esta semana. No la décima.
Las 10 medidas técnicas mínimas del Artículo 21, explicadas
El Artículo 21 de NIS2 establece diez ámbitos de medidas técnicas y organizativas que toda entidad esencial o importante debe implementar. La directiva no entra en detalle técnico —deja margen al regulador nacional y a guías sectoriales— pero la lista es de mínimos. No cumplir uno solo de los diez ámbitos es incumplimiento.
Lo que sigue no es la lista literal del texto legal. Es la traducción a qué hace falta hacer en la práctica, con ejemplo PYME y ejemplo gran empresa.
1. Políticas de análisis de riesgos y de seguridad de los sistemas de información
Qué exige: Existencia documentada de un proceso periódico de análisis de riesgos, con metodología trazable y revisión al menos anual.
Ejemplo PYME: Análisis basado en MAGERIT simplificado o NIST CSF, mantenido en hoja de cálculo viva, revisado en comité trimestral.
Ejemplo gran empresa: GRC tooling (RSA Archer, ServiceNow IRM, OneTrust), integrado con inventario de activos y catálogo de amenazas, revisión continua.
2. Gestión de incidentes
Qué exige: Capacidad de detección, contención, erradicación, recuperación y notificación. Notificación inicial en 24h, informe en 72h, final en 1 mes.
Ejemplo PYME: Playbook escrito de respuesta, contacto activo con un MDR externo, simulacro anual.
Ejemplo gran empresa: SOC propio o híbrido 24/7, runbooks por tipo de incidente, ejercicios trimestrales con dirección.
3. Continuidad de negocio y gestión de crisis
Qué exige: Planes de continuidad y recuperación ante desastres, copias de seguridad probadas, gestión de crisis con cadena de mando definida.
Ejemplo PYME: Backups 3-2-1, RTO/RPO documentados por sistema crítico, prueba de restauración semestral.
Ejemplo gran empresa: BCP/DRP por proceso crítico, sites secundarios activos o calientes, ejercicios anuales con dirección.
4. Seguridad de la cadena de suministro
Qué exige: Evaluar y gestionar el riesgo de proveedores que tengan acceso a sistemas o datos relevantes. Es uno de los puntos donde más empresas suspenden.
Ejemplo PYME: Cuestionario de seguridad estandarizado para proveedores TIC críticos + cláusulas contractuales mínimas.
Ejemplo gran empresa: Programa formal de TPRM (Third Party Risk Management) con evaluaciones periódicas y planes de remediación.
5. Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas
Qué exige: Ciclo de vida seguro del software (SDLC), gestión de vulnerabilidades, parcheo, divulgación coordinada.
Ejemplo PYME: Inventario de software, parches mensuales planificados, suscripción a feeds de vulnerabilidades.
Ejemplo gran empresa: SAST/DAST/SCA en pipeline CI/CD, programa de bug bounty, equipo de gestión de vulnerabilidades dedicado.
6. Políticas y procedimientos para evaluar la eficacia de las medidas
Qué exige: Medir si lo que has implementado funciona. Métricas, indicadores, auditorías.
Ejemplo PYME: KPIs básicos (tiempo medio de parcheo, % activos cubiertos por EDR), revisión semestral.
Ejemplo gran empresa: Cuadro de mando de seguridad, auditorías internas y externas anuales, certificaciones (ISO 27001, ENS si aplica).
7. Higiene básica de ciberseguridad y formación
Qué exige: Prácticas básicas (MFA, gestión de contraseñas, parcheo, mínimo privilegio) y formación periódica del personal, incluida la dirección. La formación obligatoria al consejo es uno de los puntos más olvidados. Es exigible.
Ejemplo PYME: MFA en 100% accesos remotos, formación anual obligatoria, simulación de phishing semestral.
Ejemplo gran empresa: Programa de awareness continuo, formación específica por rol, métricas de adherencia.
8. Criptografía y cifrado
Qué exige: Políticas de uso de criptografía, cifrado en reposo y tránsito de datos sensibles, gestión de claves.
Ejemplo PYME: TLS en todos los servicios externos, cifrado de portátiles y backups, gestor de secretos básico.
Ejemplo gran empresa: PKI interna, HSM para claves críticas, política de criptografía documentada y revisada.
9. Seguridad de los recursos humanos, control de accesos y gestión de activos
Qué exige: Procedimientos de alta/baja, control de acceso basado en roles, inventario de activos.
Ejemplo PYME: SSO + MFA, revisión trimestral de accesos, inventario de activos en CMDB ligera.
Ejemplo gran empresa: IAM corporativo, PAM para accesos privilegiados, revisión continua de derechos.
10. Autenticación multifactor o continua, comunicaciones seguras y de emergencia
Qué exige: MFA en todos los accesos, especialmente privilegiados y remotos. Canales de comunicación seguros, incluso para incidentes.
Ejemplo PYME: MFA obligatorio para correo, VPN y todas las cuentas administrativas.
Ejemplo gran empresa: MFA resistente a phishing (FIDO2) para roles críticos, canales out-of-band para gestión de crisis.
Resumen operativo: si tuvieras que priorizar en un proyecto de 90 días, los ámbitos 1, 2, 4, 7 y 10 son los que más se inspeccionan y los que más rápido se pueden cerrar. Los ámbitos 3, 5, 6, 8 y 9 requieren proyectos más largos pero suelen partir de bases más maduras en empresas con cierto recorrido.
Sanciones NIS2: lo que te puede pasar realmente
El régimen sancionador de NIS2 es uno de los puntos donde más se nota el salto respecto a NIS1. Los rangos no son orientativos: están en la directiva y los Estados Miembros los han trasladado en su transposición.
| Tipo de entidad | Multa máxima |
|---|---|
| Entidades esenciales | El mayor entre 10 millones de euros o el 2% del volumen de negocio anual mundial del grupo |
| Entidades importantes | El mayor entre 7 millones de euros o el 1,4% del volumen de negocio anual mundial del grupo |
El criterio "volumen de negocio anual mundial del grupo" es el que sorprende a muchos comités directivos. Una filial española mediana puede ver multas calculadas sobre la facturación consolidada del grupo, no sobre la suya propia.
Más allá de la multa: las consecuencias menos visibles
- Responsabilidad personal de los miembros del consejo: NIS2 obliga a los Estados Miembros a establecer mecanismos de responsabilidad para órganos de gobierno. En algunos países, esto incluye la posibilidad de inhabilitación temporal de directivos por incumplimientos graves reiterados.
- Publicación del incumplimiento: el regulador puede ordenar la publicación de la sanción y el incumplimiento. El daño reputacional suele ser superior a la multa misma, especialmente en sectores B2B donde los clientes corporativos exigen due diligence.
- Suspensión temporal de actividades: en casos graves, los reguladores tienen facultad para suspender certificaciones, autorizaciones o servicios concretos hasta que se acrediten medidas correctoras.
- Efecto cascada en contratos B2B: los clientes empresariales sometidos a NIS2 están obligados a evaluar a sus proveedores. Una sanción pública o un incumplimiento conocido puede activar cláusulas de salida en contratos vivos.
¿Qué tipo de incumplimientos están sancionando los reguladores europeos?
Los expedientes públicos en distintos Estados Miembros desde 2025 muestran patrones repetidos:
- Falta de registro formal como entidad esencial o importante dentro del plazo nacional. Es el incumplimiento más sencillo de detectar y el más fácil de sancionar.
- Notificación tardía de incidentes significativos, fuera del plazo de 24 horas para la notificación inicial.
- Ausencia de análisis de riesgos documentado o análisis claramente desactualizado.
- Falta de medidas básicas en cadena de suministro: ningún cuestionario, ninguna cláusula contractual, ningún proceso de evaluación de proveedores.
- Ausencia de formación obligatoria del órgano de gobierno en ciberseguridad.
El patrón es consistente: los primeros expedientes no van contra fallos técnicos sofisticados, van contra ausencia de los básicos documentados. Tener el control implementado pero no documentado equivale, a efectos del expediente, a no tenerlo.
NIS2 vs ENS vs ISO 27001: ¿qué necesitas si ya tienes uno?
Es la pregunta más frecuente en comités de dirección con recorrido en cumplimiento: "si ya tenemos ISO 27001 o ENS, ¿estamos cubiertos para NIS2?". La respuesta corta es no, pero estás mucho más cerca de lo que crees.
| Dimensión | NIS2 | ENS | ISO 27001 |
|---|---|---|---|
| Naturaleza | Directiva UE de obligado cumplimiento | Marco normativo español (sector público y proveedores) | Estándar internacional voluntario |
| Alcance | Sectores críticos UE | Administraciones públicas españolas y sus proveedores | Cualquier organización |
| Ámbito territorial | UE | España | Internacional |
| Certificación | No certifica; obligación legal directa | Certificación obligatoria por niveles (Bajo/Medio/Alto) | Certificación voluntaria por entidad acreditada |
| Foco | Resiliencia operativa de servicios esenciales | Protección de información en sector público | Sistema de gestión de seguridad de la información |
| Sanciones | Multas hasta 2% volumen negocio + responsabilidad personal | Régimen sancionador propio + pérdida de contratos públicos | No aplica (es voluntario) |
| Notificación incidentes | 24h inicial, 72h informe, 1 mes final | Sí, según nivel | Recomendada, no obligatoria |
| Cadena de suministro | Obligatoria | Obligatoria | Recomendada (Anexo A.5.19-A.5.23) |
Si ya tienes ISO 27001 certificada: tienes cubierto entre el 60-70% de las medidas técnicas del Artículo 21 NIS2. Lo que te falta principalmente es el régimen de notificación específico (24h/72h/1 mes), la formación obligatoria del consejo documentada, el registro formal como entidad esencial o importante, y algunos puntos de cadena de suministro que NIS2 trata con más exigencia.
Si ya tienes ENS Medio o Alto certificado: el solapamiento con NIS2 es alto, especialmente en gestión de incidentes y continuidad. ENS te aporta una base sólida pero NIS2 no te exime ni te certifica: son obligaciones paralelas. Lo que tienes que hacer es alinear procesos para no duplicar esfuerzos (un único análisis de riesgos que sirva para ambos, un único proceso de notificación con doble cauce).
Si no tienes ninguno: no hace falta certificar ISO 27001 ni ENS para cumplir NIS2. NIS2 es exigible per se. Pero certificar ISO 27001 en paralelo ofrece dos ventajas: ordena el proyecto interno y da una señal de cumplimiento útil de cara a clientes B2B y reguladores.
Recomendación operativa: empieza por NIS2 (es obligatorio y sancionable). Si tu sector o cliente lo justifica, certifica ISO 27001 después usando el trabajo ya hecho.
Roadmap NIS2 de 90 días para empezar
No es un plan completo de cumplimiento. Es lo que tiene que pasar en los primeros 90 días para que el comité directivo pueda demostrar diligencia debida si el regulador llama a la puerta. Asume que partes de cero o casi cero.
Días 1-15 — Diagnóstico y registro formal
- Confirmar con asesoría jurídica especializada si la empresa entra en ámbito de aplicación, en qué categoría (esencial / importante) y qué Real Decreto o norma autonómica aplica.
- Si entra: completar el registro formal ante la autoridad competente nacional. Esta es la prioridad cero.
- Designar un responsable interno de NIS2 con autoridad real para coordinar áreas (TI, legal, operaciones, RRHH, cumplimiento).
- Crear un comité NIS2 con periodicidad quincenal durante los primeros 6 meses.
Días 15-30 — Análisis de riesgos y gap-analysis
- Inventario de activos digitales críticos (sistemas, datos, servicios, proveedores TIC clave).
- Análisis de riesgos documentado con metodología trazable (MAGERIT simplificado, NIST CSF, ISO 27005).
- Gap-analysis frente a los 10 ámbitos del Artículo 21: dónde estás, dónde te falta, qué impacto tiene cada gap.
- Estimación de coste y plazos para cerrar gaps prioritarios.
Días 30-60 — Implementación de básicos exigibles
- MFA obligatorio en todos los accesos remotos y privilegiados, sin excepciones.
- Plan de respuesta a incidentes documentado, con flujo de notificación 24h/72h/1 mes y contactos del regulador.
- Procedimiento de evaluación de proveedores TIC críticos (cuestionario + cláusulas mínimas).
- Backups probados al menos una vez antes de día 60 (no basta con tenerlos, hay que demostrar que se restauran).
- Formación inicial del comité directivo en obligaciones NIS2 y responsabilidad personal.
Días 60-90 — Documentación, métricas y simulacro
- Política de seguridad de la información actualizada y aprobada por el órgano de gobierno (acta).
- Cuadro de mando con KPIs mínimos: % activos cubiertos por EDR, tiempo medio de parcheo, cobertura MFA, % proveedores evaluados, tiempo de detección y respuesta a incidentes.
- Simulacro de incidente con cronómetro real: ¿podemos notificar en 24h? ¿quién hace qué? ¿está contactada la dirección?
- Informe formal al órgano de gobierno: estado de cumplimiento, riesgos residuales, plan a 6-12 meses.
Lo que no entra en 90 días y deberías planificar para el horizonte 6-18 meses: programa formal de TPRM con plataforma dedicada, implantación o madurez de SOC propio o externalizado, certificación ISO 27001 si aplica, ejercicios red team / purple team y bug bounty, programa continuo de awareness y phishing simulado.
7 errores frecuentes en proyectos NIS2
Son patrones que se repiten en proyectos que arrancan tarde o sin la priorización adecuada. Casi todos vienen de tratar NIS2 como un proyecto de TI cuando en realidad es un proyecto de gobierno corporativo.
- Tratarlo como un proyecto del CISO o del IT Manager. NIS2 obliga al órgano de gobierno, no al CISO. Si el comité de dirección no aprueba, no se forma y no rinde cuentas, el proyecto está mal montado desde el inicio. La responsabilidad personal de los directivos no se delega.
- Ignorar el registro formal. El registro de entidades esenciales/importantes es trámite, pero es el primer punto donde inspeccionan. Empresas con cumplimiento técnico decente han recibido apercibimientos por no estar registradas.
- Subestimar la cadena de suministro. Es el ámbito donde más empresas suspenden. Tener un único proveedor crítico sin evaluación es un punto de fallo y un argumento sancionador directo.
- Confundir "tener controles" con "tener controles documentados". Si no está escrito, no existe a efectos del expediente. La carga de la prueba es de la empresa.
- Mezclar NIS2 con RGPD y tratarlos como lo mismo. Comparten algunos requisitos pero el régimen es distinto. La notificación NIS2 va a la autoridad de ciberseguridad, no a la AEPD. Los plazos son diferentes. El alcance es diferente.
- Comprar herramientas antes de tener procesos. Comprar SIEM, EDR o GRC sin procesos previos genera deuda operativa. Primero el proceso, después la herramienta.
- No formar al consejo de administración. Es exigible y es una de las cosas más fáciles de demostrar (o de echar en falta). Una sesión anual documentada con orden del día y firma de asistencia cubre el mínimo.
Preguntas frecuentes sobre NIS2
¿Cuándo entra en vigor NIS2 en España?
La directiva entró en vigor en la UE el 17 de octubre de 2024. La transposición española se completó en 2025 con retraso respecto a ese plazo. Desde la entrada en vigor de la norma nacional, las obligaciones y el régimen sancionador son plenamente aplicables.
¿Qué pasa si mi empresa no se registra como entidad esencial o importante?
El no-registro es en sí mismo un incumplimiento administrativo. Los reguladores europeos están iniciando los primeros expedientes precisamente por esta vía: es la más fácil de detectar. La regularización tardía no exime del expediente abierto.
¿Tengo que cumplir NIS2 si tengo menos de 50 empleados?
En general no, salvo que tu empresa sea proveedor único de un servicio crítico, presente riesgo sistémico, o haya sido designada expresamente por el regulador. Hay sectores específicos donde el umbral baja. Confirma con asesoría jurídica.
¿NIS2 sustituye a NIS1?
Sí. NIS2 deroga NIS1 y amplía su alcance. Si tu empresa cumplía con NIS1, parte del trabajo está hecho, pero NIS2 añade obligaciones que NIS1 no exigía (cadena de suministro, formación del consejo, régimen sancionador endurecido).
¿Quién es la autoridad competente en España?
Depende del sector. Existe una autoridad nacional de coordinación y autoridades sectoriales con competencias específicas (financiero, energía, salud, telecomunicaciones). La asignación concreta la define la transposición nacional.
¿Cuánto cuesta cumplir con NIS2?
Depende del punto de partida y del tamaño. En PYMEs medianas con ISO 27001, los gaps suelen cerrarse con 30.000-80.000 euros en el primer año. En empresas sin marco previo, puede superar los 200.000 euros incluyendo herramientas, consultoría y formación. El coste de no cumplir, sancionable hasta el 2% del volumen de negocio del grupo, suele ser muy superior.
¿NIS2 obliga a tener SOC propio?
No. La directiva exige capacidad de detección, respuesta y notificación. Esa capacidad puede estar internalizada (SOC propio), externalizada (MDR, MSSP) o híbrida. Lo que no se acepta es no tenerla.
¿Aplica NIS2 a proveedores cloud y SaaS?
Sí, los proveedores de infraestructura digital y servicios digitales están explícitamente cubiertos como entidades importantes. Además, los clientes NIS2 están obligados a evaluar a sus proveedores cloud y SaaS críticos, lo que crea presión cascada incluso sobre proveedores que no entrarían por sus propios umbrales.
Más recursos sobre NIS2 y cumplimiento
Plantillas, checklists y guías prácticas para acompañar este artículo en nuestra sección de recursos.
Ver recursos NIS2¿Tu empresa tiene que adaptarse a NIS2?
Si necesitas un diagnóstico operativo o acompañar el proyecto de cumplimiento, hablemos.
Solicitar diagnóstico NIS2