Directiva NIS2 para empresas: obligaciones, sanciones y plazos en España
La Directiva NIS2 es la norma europea que obliga a miles de empresas a reforzar su ciberseguridad bajo amenaza de sanciones millonarias. Formalmente es la Directiva (UE) 2022/2555, en vigor desde enero de 2023. Amplía las obligaciones de ciberseguridad a entidades esenciales e importantes de 18 sectores. En España todavía no se ha transpuesto, pero ya es vinculante a nivel europeo y la ley nacional puede publicarse en cualquier momento. Si tu empresa tiene 50 o más empleados o factura más de 10 millones de euros y opera en un sector crítico, NIS2 te afecta. Esta guía explica a quién obliga, qué medidas exige, qué plazos marca y qué riesgo legal asume tu órgano de dirección.
Si necesitas Abogados nis2 ciberseguridad empresas, solicita una valoración inicial gratuita.
Tabla de contenidos
Qué es la Directiva NIS2 y por qué obliga ya a tu empresa
NIS2 es la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022. Sustituye a la primera directiva NIS de 2016 y entró en vigor el 16 de enero de 2023. Su objetivo es elevar de forma armonizada el nivel mínimo de ciberseguridad en la Unión Europea. Para ello amplía los sectores obligados, endurece las medidas técnicas y de gobernanza y unifica los plazos de notificación de incidentes.
La NIS1 solo cubría a un grupo reducido de operadores de servicios esenciales identificados manualmente por cada país. Esto generaba diferencias enormes entre Estados miembros. NIS2 corrige ese problema: define con precisión los sectores afectados, crea dos categorías de entidades y arma un régimen sancionador disuasorio y homogéneo.
Situación en España: directiva vinculante, ley nacional aún en tramitación
España no ha completado la transposición de NIS2. El plazo europeo venció el 17 de octubre de 2024 y el país no lo cumplió. El Consejo de Ministros aprobó el 14 de enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que es el vehículo legislativo para transponer la directiva y que crea un Centro Nacional de Ciberseguridad. A lo largo de 2026 ese anteproyecto sigue en tramitación parlamentaria, sin publicación en el Boletín Oficial del Estado.
El retraso tiene consecuencias. La Comisión Europea envió a España un dictamen motivado el 7 de mayo de 2025 por no transponer a tiempo. Es el paso previo a una demanda ante el Tribunal de Justicia de la Unión Europea, con posibles multas coercitivas al Estado. Para las empresas, el mensaje práctico es claro: la obligación material ya existe y, cuando la ley se publique, entrará en vigor sin un periodo transitorio largo. Quien empiece a prepararse el día de la publicación llegará tarde.
A qué empresas se aplica NIS2: entidad esencial frente a entidad importante
NIS2 se aplica a las entidades de 18 sectores recogidos en sus Anexos I y II que tengan 50 o más empleados o más de 10 millones de euros de facturación o balance anual. El Gobierno estima en más de 5.700 las empresas españolas dentro del ámbito directo. Por debajo de ese umbral, una empresa puede quedar igualmente obligada si presta servicios a una entidad esencial, ya que la cadena de suministro entra en el alcance de la norma.
Los sectores cubiertos se reparten entre dos anexos. El Anexo I agrupa los sectores de alta criticidad: energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio. El Anexo II recoge otros sectores críticos: servicios postales y de mensajería, gestión de residuos, fabricación y distribución de productos químicos, producción y distribución de alimentos, fabricación (de productos sanitarios, electrónica, maquinaria o vehículos), proveedores de servicios digitales e investigación. Si tu actividad encaja en cualquiera de estas categorías y superas el umbral de tamaño, estás dentro del ámbito.
La directiva divide a las entidades obligadas en dos categorías con distinto nivel de supervisión y de sanción. La diferencia no es menor: determina cómo te vigila la autoridad y cuánto arriesgas.
| Criterio | Entidad esencial (Anexo I) | Entidad importante (Anexo II) |
|---|---|---|
| Sectores típicos | Energía, transporte, banca, sanidad, agua, infraestructura digital, administración pública | Servicios postales, gestión de residuos, química, alimentación, fabricación, proveedores digitales, investigación |
| Supervisión | Proactiva (inspecciones y auditorías de oficio) | Reactiva (tras indicios o incidentes) |
| Sanción máxima | 10 millones de euros o el 2 % de la facturación mundial | 7 millones de euros o el 1,4 % de la facturación mundial |
En ambos casos se aplica la cuantía mayor entre el importe fijo y el porcentaje de facturación. Identificar a qué categoría perteneces es el primer paso de cualquier plan de cumplimiento, porque cambia el nivel de exigencia probatoria ante una inspección.
Qué obligaciones impone NIS2: las medidas del artículo 21
El artículo 21 de NIS2 obliga a adoptar medidas técnicas y organizativas proporcionadas al riesgo para proteger las redes y sistemas de información. No prescribe herramientas concretas, sino capacidades que la empresa debe demostrar. La proporcionalidad se mide según el tamaño, la exposición y la criticidad de cada organización.
Las medidas mínimas que toda entidad obligada debe implantar son las siguientes:
- Análisis de riesgos y políticas de seguridad de los sistemas de información.
- Gestión de incidentes, con procedimientos de detección, respuesta y recuperación.
- Continuidad de negocio: copias de seguridad, recuperación ante desastres y gestión de crisis.
- Seguridad de la cadena de suministro, incluida la relación con proveedores y prestadores de servicios.
- Seguridad en la adquisición, desarrollo y mantenimiento de sistemas, con gestión de vulnerabilidades.
- Políticas para evaluar la eficacia de las medidas de gestión de riesgos.
- Higiene básica de ciberseguridad y formación del personal.
- Criptografía y cifrado.
- Control de accesos, gestión de activos y autenticación multifactor.
Una empresa que ya cuente con un sistema de gestión bajo la ISO 27001 cubre buena parte de estas medidas. Los huecos habituales son tres: la notificación temprana al CSIRT, la formación específica del órgano de dirección y la gestión profundizada de la cadena de suministro. Cerrar esos huecos suele ser más rápido que construir el sistema desde cero.
La seguridad de la cadena de suministro es la novedad que más trabajo genera. NIS2 exige verificación, no una simple declaración firmada por el proveedor. En la práctica esto se traduce en revisar y reforzar los contratos tecnológicos: cláusulas de seguridad, obligaciones de notificación de incidentes del proveedor, derechos de auditoría y niveles de servicio. Si tu empresa es proveedora de una entidad obligada, recibirás esas exigencias por contrato aunque no superes los umbrales por ti misma.
Plazos de notificación de incidentes: 24 horas, 72 horas y un mes
NIS2 obliga a notificar los incidentes significativos en tres fases sucesivas ante el CSIRT competente. Un incidente es significativo cuando causa o puede causar una perturbación operativa grave o pérdidas financieras, o cuando afecta a terceros con daños materiales o inmateriales considerables.
- Alerta temprana (24 horas): aviso inicial desde que se tiene conocimiento del incidente, indicando si se sospecha de un acto ilícito o de un posible impacto transfronterizo.
- Notificación de incidente (72 horas): evaluación inicial de gravedad, impacto e indicadores de compromiso.
- Informe final (1 mes): descripción detallada, tipo de amenaza, causa raíz y medidas de mitigación aplicadas.
En España, la notificación se canaliza a través del CSIRT que corresponda: INCIBE-CERT para el sector privado, CCN-CERT para el sector público y ESPDEF-CERT para defensa. Tratar la alerta de 24 horas como un trámite informativo es un error: es una obligación legal cuyo incumplimiento puede sancionarse.
La responsabilidad personal de los administradores, lo que casi nadie cuenta
NIS2 traslada la responsabilidad del cumplimiento al órgano de dirección de la empresa. El consejo o equivalente debe aprobar las medidas de gestión de riesgos, supervisar su implantación y recibir formación específica en ciberseguridad. Esta responsabilidad no se delega: puede encargarse la ejecución a un CISO o a un CTO, pero la responsabilidad última permanece en la dirección.
Las consecuencias son personales. Ante infracciones graves y reiteradas, las autoridades competentes pueden suspender temporalmente a los directivos de sus funciones. Por eso conviene documentar las decisiones del consejo en actas y conservar evidencia de la diligencia debida. Sin esa trazabilidad, demostrar que se actuó correctamente es difícil.
Caso real: la sentencia del Tribunal Supremo 136/2025 y la responsabilidad por una brecha
El riesgo legal de una mala gestión de la ciberseguridad ya se materializa en los tribunales españoles, incluso sin NIS2 transpuesta. La sentencia del Tribunal Supremo 136/2025, de 19 de febrero de 2025 (Sala de lo Penal), confirmó la responsabilidad civil subsidiaria de una empresa por una brecha en su sistema informático.
Los hechos son ilustrativos. Unos ciberdelincuentes suplantaron la cuenta de correo de un empleado de Gamboa Automoción y enviaron instrucciones de pago falsas a otra empresa, que transfirió 32.594,75 euros a una cuenta fraudulenta. La empresa atacada había detectado una incidencia similar el día anterior y no alertó a sus socios comerciales. El Supremo consideró que los sistemas informáticos de una empresa son un «establecimiento» a efectos del artículo 120.3 del Código Penal y confirmó su responsabilidad civil subsidiaria por no actuar con la diligencia debida. En nuestra experiencia, este es el escenario que más subestiman las empresas: el daño no llega solo por la sanción administrativa, sino por la reclamación civil de un tercero perjudicado.
Qué pasa si no cumples: el régimen sancionador
El régimen sancionador de NIS2 distingue por categoría de entidad. Las entidades esenciales se exponen a multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial, la cuantía que sea mayor. Las entidades importantes, hasta 7 millones de euros o el 1,4 %. A estas cifras se suma la posibilidad de medidas administrativas como órdenes de remediación o la suspensión temporal de directivos.
El riesgo no es solo sancionador. Otros países ya actúan: Alemania ha abierto procedimientos por falta de notificación y Francia ha emitido apercibimientos formales. En paralelo, los clientes europeos en sectores regulados están incorporando cláusulas NIS2 en sus contratos de proveedores. Una empresa que no acredite cumplimiento puede quedar fuera de licitaciones y contratos antes incluso de recibir una multa.
Cómo prepararse antes de que la ley se publique
La preparación para NIS2 no debe esperar a la publicación en el BOE, porque las medidas técnicas requieren meses de implantación. La hoja de ruta razonable parte de cuatro pasos: determinar si la empresa está obligada y en qué categoría, realizar un análisis de brecha frente al artículo 21, cerrar los gaps prioritarios y construir la evidencia documental que se exigirá en una inspección.
El encaje con otras normas es clave. Muchos incidentes de NIS2 implican también una brecha de datos personales notificable a la Agencia Española de Protección de Datos bajo el RGPD, con plazos propios. Y la gestión contractual de la cadena de suministro conecta con la contratación tecnológica. Para una visión completa del marco de cumplimiento puedes consultar nuestra página de asesoramiento en ciberseguridad y NIS2 [ID: hub-ciberseguridad], y revisar cómo se relaciona con otras obligaciones regulatorias en nuestro análisis del Reglamento de Inteligencia Artificial [ID: C1].
Preguntas frecuentes
¿NIS2 ya es obligatoria en España?
La Directiva NIS2 es vinculante a nivel europeo desde enero de 2023, pero España aún no ha completado su transposición al derecho nacional. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado en enero de 2025, sigue en tramitación parlamentaria. Cuando se publique en el BOE, entrará en vigor sin un periodo transitorio prolongado.
¿Mi empresa está obligada si tiene menos de 50 empleados?
Por regla general, NIS2 se aplica a entidades de los sectores incluidos con 50 o más empleados o más de 10 millones de euros de facturación. Sin embargo, una empresa por debajo del umbral puede quedar obligada si es proveedora de una entidad esencial, porque la cadena de suministro entra en el ámbito de la norma. Determinadas entidades críticas quedan incluidas con independencia de su tamaño.
¿Qué diferencia hay entre entidad esencial e importante?
Las entidades esenciales (Anexo I) están sometidas a supervisión proactiva y a sanciones de hasta 10 millones de euros o el 2 % de la facturación mundial. Las entidades importantes (Anexo II) tienen supervisión reactiva y sanciones de hasta 7 millones de euros o el 1,4 %. La categoría depende del sector y del tamaño de la empresa.
¿NIS2 y el RGPD se solapan en la notificación de brechas?
Sí. Un mismo incidente puede activar dos obligaciones de notificación distintas: la de NIS2 ante el CSIRT competente, en fases de 24 horas, 72 horas y un mes, y la del RGPD ante la Agencia Española de Protección de Datos cuando se comprometen datos personales, en un plazo de 72 horas. Son marcos complementarios con plazos y autoridades diferentes.
¿Tu empresa entra en el ámbito de NIS2? Agenda una valoración inicial gratuita y recibe un diagnóstico de tus obligaciones, los gaps detectados y un plan de cumplimiento claro.
Marta Suárez-Mansilla, Socia Directora de Innovatech y abogada especializada en derecho tecnológico. Formada en Copyright por Harvard Law School y en Blockchain por BerkeleyX, acumula más de 8 años de experiencia asesorando a empresas tecnológicas.
