NIS2 en España: lo que tu empresa necesita saber antes de que sea aprobada

Hasta hace poco, la ciberseguridad ocupaba un lugar secundario en la agenda de la mayoría de los equipos directivos. Bastaba con contar con un antivirus activo y realizar copias de seguridad periódicas para considerar que la organización estaba protegida. La responsabilidad, en la práctica, recaía sobre el responsable de sistemas o el proveedor tecnológico externo. La Directiva NIS2 cambia este enfoque de forma sustancial. Su alcance va más allá del ámbito técnico: establece obligaciones directas para quienes dirigen las organizaciones, convirtiendo la ciberseguridad en una materia de gestión empresarial, no solo de administración informática..

Qué es NIS2 y por qué importa ahora

La Directiva (UE) 2022/2555, conocida como NIS2, representa el marco normativo de ciberseguridad más ambicioso aprobado hasta la fecha por la Unión Europea. Actualiza y amplía su predecesora de 2016, cuya transposición en España afectaba a un número reducido de operadores considerados críticos. NIS2 amplía ese perímetro de forma considerable: incorpora nuevos sectores, incluye a un mayor número de organizaciones y concreta las obligaciones de cumplimiento de manera más específica que cualquier regulación anterior en esta materia.

España no completó la transposición en el plazo previsto, que era octubre de 2024. La Comisión Europea abrió un procedimiento de infracción y el Gobierno aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, actualmente en tramitación urgente. A abril de 2026, la ley aún no está en vigor, pero su aprobación es cuestión de meses. Las empresas que empiecen a prepararse ahora evitarán tener que hacer cambios bruscos cuando llegue.

A quién afecta: criterios de tamaño y el efecto cadena de suministro

NIS2 se aplica por defecto a todas las empresas medianas y grandes que operen en sectores considerados críticos. Una empresa mediana, según la definición de la UE, es la que tiene entre 50 y 249 empleados o hasta 50 millones de euros de facturación anual. Una gran empresa supera esos umbrales.

Los sectores afectados incluyen energía, transporte, banca, sanidad, agua, infraestructuras digitales, administración pública, servicios postales, industria alimentaria, química, proveedores de servicios digitales y seguridad privada, entre otros. Si tu empresa opera en alguno de estos ámbitos y supera el umbral de tamaño, estás dentro del alcance de la directiva.

Pero hay un punto que muchos gerentes pasan por alto: el efecto cadena de suministro. NIS2 obliga a las entidades reguladas a gestionar los riesgos de sus proveedores. En la práctica, eso significa que una empresa afectada por la directiva trasladará sus exigencias hacia abajo: pedirá garantías a sus subcontratistas, incluirá cláusulas de seguridad en los contratos y podrá auditar a sus proveedores. Una pyme de 30 empleados que gestione datos o sistemas de un cliente regulado puede verse obligada a cumplir requisitos equivalentes aunque la ley no le aplique directamente.

Qué exige NIS2 en la práctica

El artículo 21 de la directiva establece 10 áreas de control que las entidades deben implementar. Estas son, en términos prácticos:

• Tener documentadas las políticas de seguridad y haber realizado un análisis de riesgos.
• Contar con un procedimiento para detectar y responder a incidentes de seguridad.
• Disponer de copias de seguridad probadas y un plan de recuperación operativo.
• Evaluar y gestionar los riesgos de los proveedores que tienen acceso a tus sistemas.
• Mantener actualizados los sistemas y aplicar parches de seguridad de forma sistemática.
• Auditar periódicamente que los controles de seguridad siguen funcionando.
• Formar a los empleados en ciberhigiene básica — y también a los directivos.
• Cifrar los datos sensibles, tanto en los servidores como en los dispositivos.
• Controlar quién tiene acceso a qué sistemas y gestionar correctamente las altas y bajas.
• Activar el doble factor de verificación (MFA) en todos los accesos críticos.

Ninguno de estos requisitos es técnicamente imposible para una empresa mediana. Pero la mayoría requieren tiempo, documentación y decisiones que solo puede tomar la dirección — no el técnico de turno.

La responsabilidad del gerente: lo que dice la ley

Aquí está el cambio más relevante para quien gestiona una empresa. NIS2 no solo sanciona a las organizaciones: establece que los órganos de dirección deben aprobar y supervisar las medidas de seguridad, asistir a formaciones específicas en gestión de riesgos de ciberseguridad, y rendir cuentas ante la autoridad supervisora si se produce un incumplimiento grave.

El anteproyecto de ley español va más lejos: contempla la posibilidad de suspensión temporal de funciones directivas en casos de incumplimiento grave, y prevé que la responsabilidad pueda ser solidaria — recayendo directamente sobre el directivo aunque el incumplimiento sea formalmente de la empresa. Esto no es una amenaza retórica. En los países donde NIS2 ya está en vigor, las autoridades han empezado a utilizarla.

Por dónde empezar si tu empresa no ha hecho nada

Lo primero es saber en qué punto estás. Las tres brechas más comunes en pymes españolas son: MFA no activado en los accesos críticos, copias de seguridad que nunca se han probado restaurando datos reales, y ausencia de cualquier procedimiento de respuesta ante un incidente.

Las tres se pueden abordar sin grandes inversiones y en un plazo razonable. La autenticación multifactor se activa en pocas horas si la organización ya trabaja con Microsoft 365. La política de copias de seguridad se valida mediante una prueba de restauración planificada. Y un procedimiento básico de respuesta a incidentes no es más que un documento claro que establece quién hace qué durante las primeras horas de una crisis.

Lo que no admite solución sencilla es iniciar ese proceso cuando la normativa ya está en vigor. El margen para prepararse existe hoy. Dentro de unos meses, puede que no sea así.

Hemos preparado una guía práctica con autodiagnóstico para que cualquier gerente pueda evaluar en 15 preguntas el nivel de cumplimiento de su empresa. Sin tecnicismos, sin necesidad de conocimientos técnicos. Si quieres saber exactamente en qué punto estás, descárgala a continuación — es gratuita.