NIS2 en España: a quién aplica y plazos de transposición

·

La Directiva NIS2 (Directiva UE 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022) es el marco europeo de ciberseguridad más ambicioso aprobado hasta la fecha. Deroga y sustituye a la primera Directiva NIS de 2016 y multiplica por dos el número de sectores obligados, endurece las sanciones y exige notificación de incidentes en plazos de horas. Si diriges una empresa en España y has escuchado hablar de NIS2 sin saber con certeza si te afecta, este artículo responde la pregunta directamente: a quién aplica, con qué umbrales, en qué sectores y cuándo.

¿Qué es la Directiva NIS2 y en qué se diferencia de NIS1?

La primera Directiva NIS (2016) creó un marco mínimo que cubría siete sectores y dejaba fuera a la mayoría de las empresas europeas. Solo afectaba a los llamados operadores de servicios esenciales y a algunos proveedores de servicios digitales de gran tamaño. El resultado fue una fragmentación normativa notable entre Estados miembros y una cobertura insuficiente ante la escalada de ciberataques de los últimos años.

NIS2 corrige esos fallos de raíz: amplía los sectores de 7 a 18, introduce el concepto de entidad esencial y entidad importante con obligaciones diferenciadas, fija umbrales de tamaño claros y armoniza las sanciones en toda la Unión Europea. Además, obliga a las entidades afectadas a gestionar la ciberseguridad de su cadena de suministro, lo que arrastra indirectamente a muchos proveedores que, por tamaño, quedarían fuera del ámbito directo.

Estado de la transposición en España (2025-2026)

El plazo para que los Estados miembros transpusieran NIS2 a su ordenamiento interno era el 17 de octubre de 2024. España no cumplió ese plazo. En enero de 2025, el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el texto que incorporará la directiva al derecho español. A mediados de 2026 ese anteproyecto sigue su tramitación parlamentaria, por lo que la ley definitiva aún no ha sido publicada en el BOE.

Esto no significa que las empresas españolas puedan ignorar NIS2. La directiva tiene efecto directo parcial para los Estados que no transponen a tiempo y la Comisión Europea puede abrir procedimientos de infracción. Más importante aún: las entidades que ya operan en sectores regulados (energía, banca, telecomunicaciones, sanidad) están siendo requeridas por sus reguladores sectoriales para acreditar madurez en ciberseguridad conforme a los estándares NIS2 aunque la ley nacional no esté publicada. Esperar a que el BOE lo exija formalmente es una estrategia arriesgada.

Si necesitas acompañamiento para evaluar tu exposición y preparar la documentación exigida, en Summum Consultoria lo gestionamos de principio a fin: consulta nuestro servicio NIS2 y DORA y conoce cómo estructuramos el proceso.

A quién aplica NIS2: las dos categorías clave

NIS2 distingue dos tipos de entidades obligadas con distintos niveles de exigencia:

Entidades esenciales

Son las organizaciones cuyo fallo tendría un impacto especialmente grave en la sociedad o la economía. Se incluyen aquí las grandes empresas (más de 250 empleados o más de 50 millones de euros de facturación anual) que operan en los sectores de alta criticidad listados en el Anexo I de la directiva. También quedan incluidas con independencia de su tamaño determinadas infraestructuras críticas, proveedores de redes públicas de comunicaciones electrónicas y prestadores de servicios de confianza cualificados.

Entidades importantes

Son las empresas medianas (entre 50 y 250 empleados, o entre 10 y 50 millones de euros de facturación) que operan en los sectores del Anexo I o en los sectores de criticidad elevada del Anexo II. Las obligaciones son similares a las de las entidades esenciales, pero el régimen de supervisión es reactivo en lugar de proactivo: las autoridades intervienen principalmente cuando se detectan incumplimientos, en vez de auditar de forma periódica.

El umbral mínimo general

Quedan fuera del ámbito de aplicación directo las microempresas (menos de 10 empleados y menos de 2 millones de euros de facturación) y las pequeñas empresas (menos de 50 empleados y menos de 10 millones de euros), salvo que la normativa nacional las designe expresamente por ser críticas o presten servicios de los que depende la seguridad pública, la defensa nacional o actividades reguladas.

Los 18 sectores afectados por NIS2

La tabla siguiente resume los sectores obligados y si corresponden al Anexo I (alta criticidad) o al Anexo II (criticidad elevada):

Sector Categoría Ejemplos de entidades
Energía Anexo I — Esencial Electricidad, gas, petróleo, hidrógeno, calefacción urbana
Transporte Anexo I — Esencial Aéreo, ferroviario, marítimo, por carretera
Banca Anexo I — Esencial Entidades de crédito
Infraestructuras de mercados financieros Anexo I — Esencial Centros de negociación, entidades de contrapartida central
Sanidad Anexo I — Esencial Hospitales, laboratorios, fabricantes de dispositivos médicos críticos
Agua potable Anexo I — Esencial Suministradores y distribuidores de agua potable
Aguas residuales Anexo I — Esencial Empresas de saneamiento y depuración
Infraestructura digital Anexo I — Esencial IXPs, DNS, TLD, centros de datos, CDN, servicios de confianza, redes de comunicación
Gestión de servicios TIC (B2B) Anexo I — Esencial Proveedores de servicios gestionados (MSP) y de seguridad gestionada (MSSP)
Administración pública Anexo I — Esencial Administración central y, en su caso, autonómica y local
Espacio Anexo I — Esencial Operadores de infraestructura terrestre para servicios espaciales
Servicios postales y mensajería Anexo II — Importante Operadores de correos y paquetería
Gestión de residuos Anexo II — Importante Recogida, tratamiento y eliminación de residuos
Fabricación Anexo II — Importante Dispositivos médicos, informáticos, electrónicos, maquinaria, vehículos de motor
Producción y distribución de alimentos Anexo II — Importante Grandes productores y distribuidores alimentarios
Química Anexo II — Importante Fabricación y distribución de sustancias peligrosas
Proveedores digitales Anexo II — Importante Plataformas en línea, motores de búsqueda, redes sociales, mercados en línea
Investigación Anexo II — Importante Organismos de investigación (especialmente con fondos públicos o contratos de defensa)

¿Afecta NIS2 a las pymes?

Esta es la pregunta que más inquieta a los directivos de pequeñas y medianas empresas en España. La respuesta es matizada:

Directamente: solo si superas los umbrales de tamaño (50 empleados o 10 millones de euros de facturación) y operas en uno de los 18 sectores. Una pyme de 30 empleados que fabrica muebles no está obligada directamente por NIS2.

Indirectamente: si eres proveedor de una entidad esencial o importante, NIS2 exige a esa entidad que gestione activamente los riesgos de su cadena de suministro. En la práctica, tus clientes grandes te pedirán cuestionarios de seguridad, auditorías o evidencias de cumplimiento. No cumplir puede costarte contratos. Los sectores donde este efecto de arrastre es más intenso son TIC, industria manufacturera de componentes críticos, logística y servicios profesionales (incluidas las consultoras que gestionan datos de entidades esenciales).

Por designación expresa: la ley española podrá incluir entidades de pequeño tamaño cuya actividad sea crítica para la seguridad nacional o la prestación de servicios esenciales. No está descartado que, por ejemplo, determinadas clínicas o laboratorios de análisis de tamaño reducido queden dentro.

Obligaciones principales que impone NIS2

Con independencia de si tu entidad es esencial o importante, las obligaciones de fondo son equivalentes. La diferencia está en la intensidad de la supervisión. Las medidas exigidas incluyen:

Sanciones: cuánto pueden multar

El régimen sancionador de NIS2 es significativamente más duro que el de NIS1:

El umbral del 2 % equipara estas sanciones, en su escala relativa, a las del RGPD (que alcanza el 4 % para las infracciones más graves), lo que da una idea de la seriedad con que el legislador europeo trata esta materia.

NIS2 y el Esquema Nacional de Seguridad (ENS)

En España, el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, es la norma de referencia para la ciberseguridad en las administraciones públicas y sus proveedores. NIS2 y el ENS comparten muchos principios y controles, pero no son lo mismo ni tienen el mismo ámbito de aplicación.

El ENS es obligatorio para la Administración Pública y para las empresas que prestan servicios o gestionan sistemas de información de entidades públicas. Si ya tienes el ENS, partes con ventaja para NIS2, pero necesitarás hacer un análisis de brechas específico: hay requisitos de NIS2 (como la gestión de la cadena de suministro o la notificación de incidentes en 24 horas) que el ENS no cubre de forma idéntica.

Pasos prácticos para preparar tu empresa ahora

Aunque la ley española de transposición no esté publicada en el BOE, el tiempo que queda para actuar es limitado. Estos son los pasos que recomendamos desde Summum Consultoria basándonos en nuestra experiencia acompañando a empresas en procesos de adecuación normativa:

  1. Determina si estás en el ámbito: cruza tu sector de actividad con los Anexos I y II de la directiva y comprueba si superas los umbrales de tamaño. En caso de duda, la respuesta conservadora es asumir que sí estás dentro.
  2. Haz un análisis de brechas (gap analysis): compara tu estado de seguridad actual con las obligaciones NIS2. El INCIBE ofrece herramientas de autodiagnóstico gratuitas que sirven como punto de partida.
  3. Implica a la dirección: NIS2 exige que el órgano de gobierno apruebe las políticas de seguridad y sea consciente de los riesgos. No es solo un tema de IT.
  4. Audita tu cadena de suministro: identifica los proveedores críticos y revisa sus contratos para incluir cláusulas de ciberseguridad.
  5. Prepara el protocolo de notificación de incidentes: 24 horas es muy poco tiempo si no tienes el proceso definido y entrenado de antemano.
  6. Documenta todo: política de seguridad, análisis de riesgos, planes de continuidad, registros de incidentes. La documentación es lo que demuestra el cumplimiento ante los supervisores.

Para una hoja de ruta personalizada y el acompañamiento completo en la adecuación, consulta nuestro servicio de cumplimiento NIS2 y DORA, donde abordamos desde el diagnóstico inicial hasta el soporte en la notificación de incidentes.

Preguntas frecuentes

¿NIS2 ya está en vigor en España aunque no se haya publicado en el BOE?

La Directiva NIS2 es de aplicación directa en sus aspectos esenciales desde el vencimiento del plazo de transposición (octubre de 2024), aunque la ley española que la desarrolla esté pendiente de publicación. En la práctica, los reguladores sectoriales (CNMC para telecomunicaciones y energía, Banco de España y CNMV para el sector financiero, etc.) ya están exigiendo estándares NIS2 a las entidades bajo su supervisión. Además, si la ley definitiva se aprueba con un plazo de adaptación de nueve meses, como se prevé en el anteproyecto, las empresas que empiecen ahora tendrán ventaja.

¿Una empresa con menos de 50 empleados puede quedar obligada por NIS2?

Sí, en dos supuestos. Primero, si la legislación española la designa expresamente como entidad crítica por razón de su actividad (por ejemplo, un proveedor de servicios de confianza cualificados o una infraestructura digital de carácter único). Segundo, si es proveedor de una entidad esencial y esta le exige acreditaciones de cumplimiento en materia de ciberseguridad como condición contractual. El efecto de arrastre en la cadena de suministro es uno de los aspectos más relevantes de NIS2 para las pymes españolas.

¿Qué relación tiene NIS2 con el RGPD y la ISO 27001?

NIS2 y el RGPD son normas complementarias pero distintas. El RGPD regula el tratamiento de datos personales; NIS2 regula la seguridad de las redes y sistemas de información, incluyendo las infraestructuras que no tratan datos personales. Dicho esto, un incidente de ciberseguridad que comprometa datos personales puede activar al mismo tiempo las obligaciones de notificación del RGPD (72 horas a la AEPD) y las de NIS2 (24 horas al CSIRT). Por su parte, la ISO 27001 es la norma de referencia para los sistemas de gestión de seguridad de la información: su implantación no equivale automáticamente al cumplimiento de NIS2, pero cubre una parte muy significativa de los controles exigidos y facilita enormemente la adecuación.

¿Qué es DORA y en qué se diferencia de NIS2?

El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es la norma de ciberseguridad y resiliencia operativa digital específica para el sector financiero europeo: bancos, aseguradoras, fondos de inversión, empresas de pagos y sus proveedores críticos de TIC. DORA entró en vigor el 17 de enero de 2025 y tiene efecto directo sin necesidad de transposición nacional. Si tu empresa opera en el sector financiero, DORA es la norma prioritaria, aunque NIS2 sigue siendo relevante como marco general. Si tu empresa es proveedora tecnológica de entidades financieras, DORA te afecta como proveedor crítico de terceros.