NIS2 en España: qué exige a tu pyme la ley de ciberseguridad
Normativa y cumplimiento28 de junio de 2026

NIS2 en España: qué exige a tu pyme la ley de ciberseguridad

La directiva NIS2 (Directiva UE 2022/2555) es la norma europea de ciberseguridad que obliga, con carácter general, a las empresas de 50 o más empleados o con más de 10 millones de euros de ingresos anuales que operan en 18 sectores esenciales o importantes: energía, transporte, banca, sanidad, agua, infraestructura digital, servicios TIC, alimentación, fabricación de productos críticos, servicios postales o gestión de residuos, entre otros. Exige gestionar el riesgo de ciberseguridad con medidas concretas, notificar los incidentes significativos en un máximo de 24 horas (alerta temprana) y 72 horas (notificación completa), y hace responsable directa a la dirección de la empresa. Las sanciones llegan hasta 10 millones de euros o el 2% de la facturación global.

Hay un matiz que descoloca a muchas pymes españolas: la directiva debía estar transpuesta en octubre de 2024, pero España todavía no ha aprobado su ley nacional. El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, presentado en enero de 2025, seguía pendiente de aprobación definitiva en 2026, según recoge el propio INCIBE. ¿Significa eso que puedes esperar? No exactamente, y en este artículo te explico por qué.

¿Qué empresas están obligadas por la directiva NIS2?

NIS2 clasifica a las organizaciones en dos categorías, con niveles de supervisión y sanción distintos:

  • Entidades esenciales: grandes empresas (250+ empleados o más de 50 M€ de facturación) de sectores de alta criticidad: energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio.
  • Entidades importantes: medianas empresas (50+ empleados o más de 10 M€ de ingresos) de esos mismos sectores, más los sectores llamados críticos: servicios postales, gestión de residuos, químico, alimentación, fabricación de dispositivos médicos y otros productos críticos, proveedores digitales e investigación.

Además, hay casos en los que el tamaño no importa: proveedores de redes públicas de comunicaciones, servicios de confianza o registros de nombres de dominio entran independientemente de su plantilla. Y ojo con el efecto cascada: aunque tu pyme quede fuera por tamaño, si eres proveedor de una entidad obligada, tu cliente te exigirá contractualmente medidas equivalentes, porque NIS2 le obliga a asegurar su cadena de suministro. Lo estamos viendo ya en pliegos y contratos de 2026.

¿Cuándo entra en vigor la NIS2 en España?

La directiva entró en vigor en la UE el 16 de enero de 2023 y fijaba el 17 de octubre de 2024 como fecha límite de transposición. España no llegó a tiempo: el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en enero de 2025, y su tramitación parlamentaria seguía abierta bien entrado 2026. La Comisión Europea abrió procedimiento de infracción a los Estados rezagados, España incluida.

¿Qué implica esto en la práctica? Tres cosas. Primera: las obligaciones materiales de la directiva ya son el estándar exigible de diligencia; un juez o un asegurador las tomará como referencia ante un incidente. Segunda: cuando la ley española se apruebe, los plazos de adaptación serán cortos, porque el mercado lleva desde 2023 avisado. Tercera: el Centro Criptológico Nacional (CCN) y el INCIBE ya actúan como autoridades de referencia y publican guías alineadas con NIS2 que conviene seguir desde hoy.

Las medidas mínimas que exige el artículo 21

NIS2 no se queda en generalidades: su artículo 21 enumera las medidas de gestión de riesgos que toda entidad obligada debe implantar. Son, como mínimo, estas:

  1. Políticas de análisis de riesgos y de seguridad de los sistemas de información.
  2. Procedimientos de gestión de incidentes.
  3. Continuidad de negocio: copias de seguridad, recuperación ante desastres y gestión de crisis.
  4. Seguridad de la cadena de suministro, incluidos los proveedores directos.
  5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas, con gestión de vulnerabilidades.
  6. Procedimientos para evaluar la eficacia de las propias medidas.
  7. Ciberhigiene básica y formación en ciberseguridad para la plantilla.
  8. Políticas de criptografía y, cuando proceda, cifrado.
  9. Seguridad de los recursos humanos, control de accesos y gestión de activos.
  10. Autenticación multifactor y comunicaciones seguras (voz, vídeo y texto).

Si diriges una pyme tecnológica, fíjate en el punto 5: el desarrollo seguro de software deja de ser una buena práctica opcional. En proyectos de ingeniería de software ya trabajamos con estos requisitos como base, porque los clientes obligados por NIS2 los trasladan a sus proveedores.

¿Qué sanciones tiene incumplir la NIS2?

El régimen sancionador distingue entre las dos categorías de entidades:

ConceptoEntidades esencialesEntidades importantes
Multa máxima10 M€ o el 2% del volumen de negocio mundial (la mayor)7 M€ o el 1,4% del volumen de negocio mundial (la mayor)
SupervisiónProactiva: auditorías e inspecciones periódicasReactiva: a posteriori, tras indicios o incidentes
Responsabilidad de la direcciónLos órganos de dirección aprueban y supervisan las medidas; pueden responder personalmente e incluso ser inhabilitados temporalmente en casos graves
Notificación de incidentesAlerta temprana en 24 h, notificación completa en 72 h e informe final en un mes

El punto de la responsabilidad personal de administradores y directivos es, en mi opinión, el que más va a cambiar comportamientos. Hasta ahora la ciberseguridad se delegaba en el departamento de TI; con NIS2, el consejo firma.

¿Qué debe hacer una pyme para cumplir la NIS2?

Si tu empresa entra en el ámbito de aplicación, o vende a empresas que entran, este es un orden de trabajo razonable:

  1. Determina tu encuadre: sector, tamaño y si eres esencial, importante o proveedor de una entidad obligada.
  2. Haz un análisis de riesgos honesto: inventario de activos, sistemas críticos y dependencias de terceros.
  3. Cierra lo básico primero: autenticación multifactor, copias de seguridad verificadas, parcheo y control de accesos resuelven la mayoría del riesgo real.
  4. Prepara el procedimiento de notificación: quién detecta, quién decide y quién comunica al CSIRT de referencia en menos de 24 horas. Ensáyalo.
  5. Forma a la dirección y a la plantilla: la formación deja de ser opcional; es una medida exigida por el artículo 21.
  6. Documenta todo: sin evidencias, para el supervisor no has hecho nada.

¿Puede la tecnología ayudar? Bastante. La automatización con IA permite monitorizar logs, detectar anomalías y generar la documentación de cumplimiento sin dedicar una persona a tiempo completo, algo que explicamos en nuestra guía de IA para empresas.

NIS2, AI Act y RGPD: cómo encajan las tres normas

Muchas pymes viven 2026 como una avalancha regulatoria, y es comprensible. La forma sencilla de ordenarlo: el RGPD protege los datos personales que tratas, el AI Act regula los sistemas de inteligencia artificial que usas o desarrollas, y NIS2 protege la infraestructura y los servicios sobre los que todo eso funciona. No son alternativas: se acumulan. La buena noticia es que comparten lógica (análisis de riesgos, medidas proporcionales, documentación), así que un mismo sistema de gestión bien planteado sirve de columna vertebral para las tres.

Preguntas frecuentes sobre la NIS2 en España

¿Afecta la NIS2 a las pymes de menos de 50 empleados?

En general no, salvo excepciones como proveedores de comunicaciones, servicios de confianza o registros de dominios. Pero sí les afecta indirectamente: si venden a entidades obligadas, estas deben asegurar su cadena de suministro y trasladarán requisitos de ciberseguridad a sus contratos con proveedores pequeños.

¿Quién supervisa el cumplimiento de la NIS2 en España?

El esquema previsto reparte la supervisión entre el Centro Criptológico Nacional para el sector público, el INCIBE para el sector privado a través de INCIBE-CERT y el Mando Conjunto del Ciberespacio en defensa, con un mecanismo de coordinación nacional que la futura ley de transposición debe concretar.

¿La NIS2 exige certificarse en alguna norma como ISO 27001?

No exige una certificación concreta, pero certificarse en ISO 27001 o adherirse al Esquema Nacional de Seguridad facilita demostrar el cumplimiento de las medidas del artículo 21. Muchas entidades obligadas ya piden estas certificaciones a sus proveedores como evidencia de diligencia.

¿Qué se considera un incidente significativo que hay que notificar?

Aquel que causa o puede causar una perturbación operativa grave de los servicios o pérdidas económicas para la entidad, o que afecta a terceros con daños materiales o inmateriales considerables. Ante la duda, la alerta temprana en 24 horas es la opción prudente: notificar no implica admitir culpa.

Si tu empresa está dentro del ámbito de NIS2, o tus clientes ya te piden garantías de ciberseguridad que no sabes por dónde coger, no lo dejes para cuando se publique la ley española: los plazos serán cortos. En IAmanos ayudamos a empresas españolas y europeas a poner orden técnico en su cumplimiento, desde el análisis de riesgos hasta la automatización de la monitorización y la documentación. Reserva una consultoría gratuita de 30 minutos y te decimos, sin compromiso, en qué punto estás y qué cerrar primero.

Sigue leyendo

AI Act europeo: qué obliga a tu empresa en 2026
Normativa y cumplimiento
AI Act europeo: qué obliga a tu empresa en 2026
RGPD e inteligencia artificial: guía práctica para pymes españolas
Normativa y cumplimiento
RGPD e inteligencia artificial: guía práctica para pymes españolas
VeriFactu 2027: guía clara para pymes y autónomos (sin agobios)
Normativa y cumplimiento
VeriFactu 2027: guía clara para pymes y autónomos (sin agobios)

Convierte este conocimiento en resultados

Nuestro equipo implementa soluciones de IA para empresas B2B. Agenda una consultoría gratuita.

Conversemos

¿No sabes por dónde empezar?

Déjanos tu correo y te contactamos para una consultoría gratuita.

🔒100% privado
Respuesta en 24h
Sin compromiso
+300 empresas ya empezaron así
Más artículos
1