Blog·Regulatorio

Qué es NIS2 y cómo afecta a tu empresa en España

La directiva NIS2 obliga a miles de empresas españolas a reforzar su ciberseguridad. Te explicamos a quién afecta, qué obligaciones impone y cómo prepararte para cumplirla.

Equipo Segurami15 de abril de 20264 min de lectura
NIS2complianceEspañaregulaciónciberseguridad
Qué es NIS2 y cómo afecta a tu empresa en España

Qué es NIS2

La Directiva NIS2 (Network and Information Security 2) es la actualización de la directiva europea de ciberseguridad aprobada en diciembre de 2022. Sustituye a la NIS1 de 2016 y amplía significativamente su alcance: donde antes afectaba a unos cientos de operadores críticos en España, NIS2 cubre a decenas de miles de entidades.

Su objetivo es elevar el nivel mínimo de ciberseguridad en toda la Unión Europea, armonizar las respuestas ante incidentes transfronterizos y establecer sanciones efectivas para quienes incumplan.

A quién afecta en España

NIS2 divide las entidades obligadas en dos categorías según su tamaño e importancia:

Entidades esenciales

Son las que operan en sectores de mayor criticidad. En España, incluyen:

  • Energía: operadores eléctricos, gasistas, petroleros
  • Transporte: aéreo, ferroviario, marítimo, carreteras
  • Banca y mercados financieros
  • Sanidad: hospitales, laboratorios, fabricantes de productos sanitarios
  • Agua potable y aguas residuales
  • Infraestructura digital: IXPs, DNS, TLDs, proveedores de cloud, CDN, data centers

Las entidades esenciales con más de 250 empleados o más de 50 M€ de facturación están sujetas a supervisión proactiva por parte de las autoridades.

Entidades importantes

Cubren sectores adicionales como servicios postales, gestión de residuos, fabricación (alimentaria, química, médica), proveedores digitales (marketplaces, motores de búsqueda, redes sociales) y servicios de investigación.

Las entidades importantes con entre 50 y 249 empleados o entre 10 y 50 M€ de facturación están sujetas a supervisión reactiva.

Regla práctica: si tu empresa tiene más de 50 empleados, opera en alguno de estos sectores y presta servicios a otras empresas o a la ciudadanía, lo más probable es que NIS2 te aplique.

Obligaciones principales

1. Medidas de gestión de riesgos

Las entidades deben implementar medidas técnicas y organizativas proporcionales al riesgo:

  • Políticas de seguridad de la información y análisis de riesgos
  • Gestión de incidentes (detección, respuesta, recuperación)
  • Continuidad del negocio y gestión de crisis
  • Seguridad de la cadena de suministro
  • Seguridad en el desarrollo y mantenimiento de sistemas
  • Uso de criptografía y cifrado donde sea relevante
  • Seguridad en recursos humanos (formación, concienciación)
  • Autenticación multifactor (MFA) y gestión de accesos privilegiados

2. Notificación de incidentes

NIS2 establece plazos estrictos para la notificación:

Plazo Acción requerida
24 horas Alerta inicial al CSIRT nacional (CCN-CERT o INCIBE-CERT) si el incidente es significativo
72 horas Notificación con evaluación inicial, indicadores de compromiso y medidas adoptadas
1 mes Informe final con análisis completo, impacto real y lecciones aprendidas

3. Responsabilidad de la dirección

A diferencia de NIS1, NIS2 establece que los órganos de dirección (consejo de administración, comités directivos) son responsables directos del cumplimiento. Deben:

  • Aprobar las medidas de gestión de riesgos
  • Supervisar su implementación
  • Recibir formación específica en ciberseguridad

Los directivos pueden ser declarados personalmente responsables de los incumplimientos.

Sanciones

Las multas máximas bajo NIS2 son:

  • Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación global anual
  • Entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación global anual

Además, en casos graves, las autoridades pueden suspender temporalmente las actividades o revocar certificaciones.

Calendario en España

La directiva debía transponerse al derecho nacional de los estados miembros antes del 17 de octubre de 2024. España comenzó el proceso legislativo con el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, actualmente en tramitación parlamentaria.

Mientras no se aprueba la ley nacional, las empresas deben prepararse aplicando los requisitos de la directiva directamente, ya que los incumplimientos serán exigibles desde la entrada en vigor de la ley española.

Por dónde empezar

Si tu empresa puede estar afectada por NIS2, los primeros pasos son:

  1. Determinar si aplica: revisa sector, tamaño y tipo de servicios prestados
  2. Análisis de brechas (gap analysis): compara tu situación actual con los requisitos de NIS2
  3. Priorizar medidas técnicas básicas: MFA, parcheo regular, copias de seguridad, gestión de incidentes
  4. Formar al equipo directivo y técnico: NIS2 exige formación específica en ciberseguridad para los órganos de gobierno
  5. Revisar contratos con proveedores: la seguridad de la cadena de suministro es un requisito explícito

El cumplimiento de NIS2 no es un proyecto puntual sino un programa continuo de gestión del riesgo. Las empresas que ya tienen implementado un SGSI según ISO 27001 tienen una ventaja significativa.

¿Listo para profundizar?

Aprende ciberseguridad de forma estructurada con cursos interactivos, quizzes y certificados.

Ver especialidades