NIS2 en España: lo que tu empresa necesita saber antes de que sea aprobada

Hasta hace poco, la ciberseguridad era un asunto que muchos gerentes delegaban sin más. Se contrataba un antivirus, se hacía una copia de seguridad de vez en cuando, y el tema quedaba en manos del informático de turno. La Directiva NIS2 cambia esa lógica de raíz. Y lo hace de una manera que afecta directamente a quien firma las cuentas anuales, no solo a quien administra los servidores.

Qué es NIS2 y por qué importa ahora

La Directiva (UE) 2022/2555, conocida como NIS2, es la norma de ciberseguridad más exigente que ha aprobado la Unión Europea. Actualiza y amplía su predecesora de 2016, que en España se había traducido en obligaciones para un número limitado de operadores considerados críticos. NIS2 extiende ese alcance de forma significativa: más sectores, más empresas y obligaciones mucho más concretas.

España no completó la transposición en el plazo previsto, que era octubre de 2024. La Comisión Europea abrió un procedimiento de infracción y el Gobierno aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, actualmente en tramitación urgente. A abril de 2026, la ley aún no está en vigor, pero su aprobación es cuestión de meses. Las empresas que empiecen a prepararse ahora evitarán tener que hacer cambios bruscos cuando llegue.

A quién afecta: criterios de tamaño y el efecto cadena de suministro

NIS2 se aplica por defecto a todas las empresas medianas y grandes que operen en sectores considerados críticos. Una empresa mediana, según la definición de la UE, es la que tiene entre 50 y 249 empleados o hasta 50 millones de euros de facturación anual. Una gran empresa supera esos umbrales.

Los sectores afectados incluyen energía, transporte, banca, sanidad, agua, infraestructuras digitales, administración pública, servicios postales, industria alimentaria, química, proveedores de servicios digitales y seguridad privada, entre otros. Si tu empresa opera en alguno de estos ámbitos y supera el umbral de tamaño, estás dentro del alcance de la directiva.

Pero hay un punto que muchos gerentes pasan por alto: el efecto cadena de suministro. NIS2 obliga a las entidades reguladas a gestionar los riesgos de sus proveedores. En la práctica, eso significa que una empresa afectada por la directiva trasladará sus exigencias hacia abajo: pedirá garantías a sus subcontratistas, incluirá cláusulas de seguridad en los contratos y podrá auditar a sus proveedores. Una pyme de 30 empleados que gestione datos o sistemas de un cliente regulado puede verse obligada a cumplir requisitos equivalentes aunque la ley no le aplique directamente.

Qué exige NIS2 en la práctica

El artículo 21 de la directiva establece 10 áreas de control que las entidades deben implementar. Traducidas al lenguaje de quien gestiona una empresa, son estas:

• Tener documentadas las políticas de seguridad y haber realizado un análisis de riesgos.
• Contar con un procedimiento para detectar y responder a incidentes de seguridad.
• Disponer de copias de seguridad probadas y un plan de recuperación operativo.
• Evaluar y gestionar los riesgos de los proveedores que tienen acceso a tus sistemas.
• Mantener actualizados los sistemas y aplicar parches de seguridad de forma sistemática.
• Auditar periódicamente que los controles de seguridad siguen funcionando.
• Formar a los empleados en ciberhigiene básica — y también a los directivos.
• Cifrar los datos sensibles, tanto en los servidores como en los dispositivos.
• Controlar quién tiene acceso a qué sistemas y gestionar correctamente las altas y bajas.
• Activar el doble factor de verificación (MFA) en todos los accesos críticos.

Ninguno de estos requisitos es técnicamente imposible para una empresa mediana. Pero la mayoría requieren tiempo, documentación y decisiones que solo puede tomar la dirección — no el técnico de turno.

La responsabilidad del gerente: lo que dice la ley

Aquí está el cambio más relevante para quien gestiona una empresa. NIS2 no solo sanciona a las organizaciones: establece que los órganos de dirección deben aprobar y supervisar las medidas de seguridad, asistir a formaciones específicas en gestión de riesgos de ciberseguridad, y rendir cuentas ante la autoridad supervisora si se produce un incumplimiento grave.

El anteproyecto de ley español va más lejos: contempla la posibilidad de suspensión temporal de funciones directivas en casos de incumplimiento grave, y prevé que la responsabilidad pueda ser solidaria — recayendo directamente sobre el directivo aunque el incumplimiento sea formalmente de la empresa. Esto no es una amenaza retórica. En los países donde NIS2 ya está en vigor, las autoridades han empezado a utilizarla.

Por dónde empezar si tu empresa no ha hecho nada

Lo primero es saber en qué punto estás. Las tres brechas más comunes en pymes españolas sin departamento IT propio son: MFA no activado en los accesos críticos, copias de seguridad que nunca se han probado restaurando datos reales, y ausencia de cualquier procedimiento de respuesta ante un incidente.

Las tres se pueden abordar sin grandes inversiones y en un plazo razonable. El MFA se activa en horas si ya tienes Microsoft 365. Los backups se verifican con una prueba de restauración planificada. Y un procedimiento básico de respuesta a incidentes es un documento de dos páginas que define quién hace qué en las primeras horas de una crisis.

Lo que no tiene solución fácil es empezar desde cero cuando la ley ya está en vigor. La ventana para prepararse con calma existe hoy. En unos meses, puede que no.

Hemos preparado una guía práctica con autodiagnóstico para que cualquier gerente pueda evaluar en 15 preguntas el nivel de cumplimiento de su empresa. Sin tecnicismos, sin necesidad de conocimientos técnicos. Si quieres saber exactamente en qué punto estás, descárgala a continuación — es gratuita.