Normativa

Directiva NIS2: nuevas obligaciones de ciberseguridad para empresas

BY TECNOCIM INNOVA PUBLISHED ON 3 DE MAYO DE 2026

Multas de hasta 10 millones de euros o el 2% de la facturación global. La Directiva NIS2 (Directiva 2022/2555) impone las obligaciones de ciberseguridad más exigentes de la historia de la UE, ampliando el alcance de 7 a 18 sectores y afectando a todas las empresas medianas y grandes de esos sectores.

España lleva más de 16 meses de retraso en la transposición. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025, pero sigue pendiente de tramitación parlamentaria. La Comisión Europea ya ha enviado un dictamen motivado a España por este retraso (mayo 2025). Mientras tanto, las obligaciones de la directiva son de aplicación directa en muchos aspectos.

¿Qué es la Directiva NIS2 y por qué importa a tu empresa?

La NIS2 sustituye a la anterior Directiva NIS (2016) y eleva radicalmente el nivel de exigencia en ciberseguridad para empresas y organizaciones europeas. Los cambios principales son:

Más sectores: de 7 a 18 sectores obligados
Más empresas: todas las medianas y grandes de esos sectores, no solo operadores críticos
Más obligaciones: medidas técnicas y organizativas concretas, con plazos de notificación estrictos
Más sanciones: multas equiparables a las del RGPD, con responsabilidad personal de los directivos

La directiva responde a un contexto de amenazas crecientes: los ciberataques a empresas europeas se han multiplicado, y la dependencia digital hace que un incidente en una empresa pueda afectar a toda su cadena de valor.

¿A qué empresas afecta la NIS2? Sectores y umbrales

La NIS2 clasifica los sectores en dos categorías y las empresas en dos niveles de obligación:

Sectores de alta criticidad (Anexo I)

Energía (electricidad, petróleo, gas, hidrógeno, calefacción)
Transporte (aéreo, ferroviario, marítimo, por carretera)
Banca e infraestructuras de mercados financieros
Sector sanitario
Agua potable y aguas residuales
Infraestructura digital (DNS, IXP, cloud, centros de datos)
Gestión de servicios TIC (B2B)
Administración pública
Espacio

Otros sectores críticos (Anexo II)

Servicios postales y de mensajería
Gestión de residuos
Fabricación y distribución de productos químicos
Producción y distribución de alimentos
Fabricación (dispositivos médicos, electrónica, maquinaria, vehículos)
Proveedores de servicios digitales (marketplaces, buscadores, redes sociales)
Investigación

Umbrales de tamaño

Tipo	Empleados	Facturación anual
Empresa mediana (mínimo)	50 o más	10M€ o más
Gran empresa	250 o más	50M€ o más

Las empresas por debajo de estos umbrales quedan, en principio, fuera del alcance directo de la NIS2. Sin embargo, los estados miembros pueden designar entidades más pequeñas si las consideran críticas para su sector.

¿Tu empresa pertenece a uno de estos 18 sectores? Nuestro equipo de consultoría especializada puede evaluar tu nivel de exposición a la NIS2.

Obligaciones principales: qué exige la NIS2

Medidas de gestión de riesgos

Las entidades afectadas deben implementar medidas técnicas, operativas y organizativas proporcionadas al riesgo. La directiva detalla un mínimo de diez áreas:

Políticas de seguridad de la información y análisis de riesgos
Gestión de incidentes de seguridad
Continuidad de negocio y gestión de crisis
Seguridad de la cadena de suministro
Seguridad en la adquisición y desarrollo de sistemas
Evaluación de la eficacia de las medidas adoptadas
Prácticas de ciberhigiene y formación del personal
Políticas de criptografía y cifrado
Seguridad de los recursos humanos y control de accesos
Autenticación multifactor y comunicaciones seguras

Notificación de incidentes

Cuando ocurre un incidente significativo, la empresa debe seguir un proceso escalonado:

Fase	Plazo	Contenido
Alerta temprana	24 horas desde el conocimiento	Comunicación inicial al CSIRT de referencia
Notificación formal	72 horas	Evaluación de gravedad, impacto y posible causa
Informe final	1 mes	Análisis completo, medidas de mitigación adoptadas

Un incidente es "significativo" cuando causa una perturbación operativa grave del servicio o afecta — o puede afectar — a otras personas físicas o jurídicas causando perjuicios considerables.

Responsabilidad de los directivos

La NIS2 introduce la responsabilidad personal de los órganos de dirección. Los directivos de entidades esenciales deben aprobar las medidas de ciberseguridad, supervisar su implementación y recibir formación específica. El incumplimiento puede derivar en la prohibición temporal del ejercicio de funciones directivas.

Sanciones por incumplimiento: hasta 10 millones de euros

El régimen sancionador distingue entre los dos tipos de entidades:

Tipo de entidad	Multa máxima	Alternativa
Esencial	10.000.000€	o 2% de la facturación global anual (la mayor)
Importante	7.000.000€	o 1,4% de la facturación global anual (la mayor)

Además de las multas económicas, las autoridades pueden:

Ordenar la publicación del incumplimiento
Suspender certificaciones o autorizaciones
Prohibir temporalmente el ejercicio de funciones directivas (solo entidades esenciales)

Estas sanciones son equiparables a las del RGPD y representan un salto enorme respecto a la NIS original, que dejaba el régimen sancionador casi enteramente a cada estado miembro.

Estado de la NIS2 en España: transposición pendiente

El plazo de transposición venció el 17 de octubre de 2024. España no lo cumplió. El estado actual:

Enero 2025: el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad
Mayo 2025: la Comisión Europea envió un dictamen motivado a España por el retraso
Mayo 2026: el texto sigue pendiente de debate parlamentario en las Cortes

La ley española creará el Centro Nacional de Ciberseguridad y asignará competencias al CCN (Centro Criptológico Nacional), INCIBE y la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior.

Mientras no se complete la transposición, las empresas deben considerar que muchas obligaciones de la directiva tienen efecto directo, especialmente las relativas a la notificación de incidentes y las medidas mínimas de seguridad. La prudencia aconseja prepararse sin esperar a la ley nacional.

¿Quieres adelantarte al cumplimiento? Contacta con nuestro equipo para diseñar tu hoja de ruta de ciberseguridad NIS2.

Cómo prepararse: pasos y ayudas disponibles

Plan de adaptación en 5 pasos

Determinar si tu empresa está afectada: verificar sector (18 sectores) y tamaño (≥50 empleados o >10M€)
Clasificar tu entidad: esencial o importante, según sector y tamaño
Realizar un análisis de riesgos: evaluar el estado actual de ciberseguridad frente a las 10 áreas de la directiva
Implementar las medidas técnicas y organizativas: políticas de seguridad, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro
Establecer el protocolo de notificación: preparar los procedimientos para cumplir los plazos de 24h/72h/1 mes

Ayudas para financiar la adaptación

La inversión en ciberseguridad puede apoyarse con programas de ayudas vigentes:

Kit Consulting: incluye un bloque de ciberseguridad básica (6.000€) con evaluación de riesgos, políticas de seguridad y plan de formación
Kit Digital: la categoría de ciberseguridad para empresas cubre herramientas de protección y detección
Deducciones fiscales: la inversión en software y sistemas de seguridad puede acogerse a deducciones por innovación tecnológica

En Tecnocim Innova podemos ayudarte a evaluar tu exposición a la NIS2, diseñar un plan de adaptación y conectarlo con las ayudas públicas disponibles para financiar la inversión.

Contacta con nosotros para una valoración inicial sin compromiso.

¿Necesitas ayuda con este tema?

Nuestro equipo lleva más de 30 años ayudando a empresas a maximizar sus incentivos fiscales.

Solicita un diagnóstico gratuito

NIS2directiva NIS2ciberseguridad empresasciberseguridad directiva europea

AnteriorGestión documental para empresas: digitalización y subvenciones

SiguienteProtección de datos en empresas: obligaciones RGPD y cómo cumplir