NIS2 (Directiva UE 2022/2555) obliga desde 2026 a pymes esenciales e importantes en sectores críticos de toda la UE a reforzar ciberseguridad.
¿A qué pymes españolas obliga NIS2?
Entidades esenciales (>250 emp o >50 M€ facturación) en sectores: energía, transporte, banca, sanidad, agua, infraestructura digital, espacio. Entidades importantes (50-250 emp o 10-50 M€) en sectores ampliados: alimentación crítica, productos químicos, postal/courier, residuos, manufactura equipos médicos. Algunas pymes pequeñas en infraestructura digital también entran.
¿Qué obligaciones técnicas exige NIS2?
Diez áreas: política de seguridad de sistemas, gestión de incidentes (notificación 24h INCIBE/CCN-CERT), continuidad de negocio + recuperación ante desastres, cadena de suministro (proveedores y dependencias), seguridad en adquisición/desarrollo de sistemas, evaluación eficacia, prácticas cibersanidad básica + formación, cifrado, control de acceso y autenticación multifactor, comunicaciones seguras.
¿Qué pasa si una pyme no cumple NIS2?
Multas administrativas hasta 10 millones de euros o 2 % de facturación anual mundial (lo mayor). Responsabilidad personal del órgano de gestión: dirección puede ser personalmente responsable si no implanta las medidas. Suspensión de actividad en casos graves.
Sectores esenciales vs importantes: obligaciones y régimen sancionador
La distinción entre entidad esencial e importante no es cosmética: determina el régimen de supervisión, el tope de las multas y la intensidad del control. Esta tabla resume las dos categorías que define la Directiva UE 2022/2555 y su traslación al modelo español de supervisión coordinado por el CCN-CERT y el INCIBE-CERT.
| Aspecto | Entidad esencial | Entidad importante |
|---|---|---|
| Sectores | Energía, transporte, banca, mercados financieros, sanidad, agua potable y residual, infraestructura digital, gestión TIC B2B, AAPP, espacio | Servicios postales, gestión de residuos, productos químicos, alimentación, fabricación (equipos médicos, electrónica, maquinaria), proveedores digitales, investigación |
| Umbral de tamaño | >250 empleados o >50 M€ facturación o >43 M€ balance | 50-250 empleados o 10-50 M€ facturación |
| Supervisión | Proactiva: inspecciones, auditorías de seguridad y solicitudes de información sin necesidad de indicio previo | Reactiva: actuación tras evidencia de incumplimiento o incidente |
| Multa máxima | 10 M€ o 2 % de la facturación anual mundial (la mayor) | 7 M€ o 1,4 % de la facturación anual mundial (la mayor) |
| Obligación común | Las 10 medidas del artículo 21, notificación de incidentes significativos en 24h (alerta temprana) / 72h (informe) / 1 mes (informe final), registro ante la autoridad competente y formación de la dirección | |
Conviene leer NIS2 dentro del mapa normativo completo de ciberseguridad española. La guía de normativa de ciberseguridad en España (RGPD, ENS, NIS2 y DORA) sitúa cada obligación y evita solapamientos de inversión.
Caso real: industria agroalimentaria en Aranda de Duero
Una empresa de transformación cárnica situada en el polígono industrial de Aranda de Duero, con 140 empleados y 28 M€ de facturación, encajaba como entidad importante dentro del sector alimentación. La dirección asumía que NIS2 era "cosa de bancos y eléctricas" y no había hecho ningún diagnóstico.
El punto de partida tras el primer análisis fue claro: copias de seguridad sin pruebas de restauración, acceso remoto al ERP sin doble factor, ningún contrato con cláusulas de seguridad frente a los tres proveedores TIC principales y ausencia total de un procedimiento de notificación de incidentes. En la práctica, ante un cifrado por ransomware, la empresa no habría podido reportar nada en el plazo de 24 horas.
El proyecto de adecuación se ejecutó en 7 meses con un presupuesto de 34.000 €: 19.000 € de consultoría y gestión del proyecto, 9.000 € de refuerzo técnico (MFA, segmentación de red OT/IT y bastionado del ERP) y 6.000 € de formación y simulacro. Doce meses después, un proveedor de logística sufrió una brecha que afectó a su plataforma de pedidos; la empresa detectó el incidente en su perímetro, lo contuvo y emitió la alerta temprana al CSIRT de referencia en menos de 18 horas. El coste del incidente se limitó a dos días de operativa degradada, frente a una estimación previa de paralización de 9-12 días sin las medidas implantadas.
Checklist práctico de adecuación a NIS2
Itinerario de 12 pasos para una pyme que parte de cero. Cada punto es accionable y verificable en una auditoría.
- Determinar si la entidad está sujeta: cruzar sector (anexos I y II de la directiva) con umbral de tamaño y registrarse ante la autoridad competente.
- Designar un responsable de seguridad con interlocución directa con la dirección y presupuesto asignado.
- Inventariar activos TIC: sistemas, servicios, datos críticos y dependencias externas (cloud, SaaS, mantenimiento).
- Realizar un análisis de riesgos documentado, con probabilidad, impacto y nivel de riesgo aceptable aprobado por la dirección.
- Aprobar una política de seguridad de la información y procedimientos derivados (control de acceso, copias, cifrado).
- Implantar autenticación multifactor en todos los accesos remotos, privilegiados y de administración.
- Definir el plan de continuidad y recuperación con RTO y RPO por proceso crítico, y probar la restauración de copias.
- Establecer un procedimiento de gestión de incidentes con flujo de notificación 24h/72h/1 mes al CSIRT de referencia.
- Revisar la cadena de suministro: incluir cláusulas de seguridad en los contratos de proveedores TIC y evaluar su nivel.
- Formar a la plantilla y a la dirección; la formación del órgano de gestión es obligación expresa de NIS2.
- Ejecutar al menos un simulacro anual de incidente y registrar las lecciones aprendidas.
- Programar la revisión y mejora continua: medir la eficacia de las medidas y actualizar el análisis de riesgos cada año.
Errores comunes al afrontar NIS2
- Creer que NIS2 no aplica a "una pyme normal". Consecuencia: la entidad descubre que está sujeta cuando la autoridad solicita información, sin margen para adecuarse y expuesta a sanción.
- Confundir cumplir NIS2 con comprar un antivirus o un firewall. Consecuencia: inversión técnica sin gobernanza, sin análisis de riesgos ni procedimientos, que no supera una auditoría.
- Ignorar la cadena de suministro. Consecuencia: un proveedor TIC mal protegido se convierte en la vía de entrada del ataque y en responsabilidad propia frente al regulador.
- No probar nunca la restauración de copias. Consecuencia: ante un ransomware, las copias resultan corruptas o incompletas y el plazo de notificación de 24h se incumple por no poder valorar el alcance.
- Dejar la ciberseguridad fuera de la agenda de la dirección. Consecuencia: NIS2 establece responsabilidad personal del órgano de gestión; la falta de implicación expone a los administradores a sanciones individuales.
Preguntas técnicas frecuentes sobre NIS2
¿NIS2 sustituye al Esquema Nacional de Seguridad (ENS)? No. El ENS rige para el sector público y sus proveedores; NIS2 cubre entidades esenciales e importantes del sector privado y parte del público. Una entidad puede estar sujeta a ambos. Quien ya tiene ENS de nivel medio o alto parte con buena parte de los controles cubiertos.
¿Sirve la ISO 27001 para cumplir NIS2? Cubre en torno al 75 % de los requisitos, sobre todo gestión del riesgo, control de acceso, cifrado y gestión de incidentes. Si además se suma una ISO 27001 implantada con su guía completa y un sistema de continuidad ISO 22301, la brecha frente a NIS2 se reduce a la notificación reglada de incidentes y a determinadas obligaciones de cadena de suministro.
¿Cuál es exactamente el plazo de notificación de un incidente? Tres hitos: alerta temprana en 24 horas desde que se tiene conocimiento, informe de incidente en 72 horas y informe final en el plazo de un mes. El cómputo arranca cuando la entidad es consciente del incidente significativo, no cuando lo confirma técnicamente.
¿Qué relación tiene NIS2 con DORA y con el EU AI Act? DORA es el régimen específico de resiliencia operativa digital del sector financiero y prevalece como lex specialis sobre NIS2 para esas entidades. El EU AI Act regula los sistemas de inteligencia artificial y se combina con NIS2 cuando una pyme usa IA en procesos críticos.
¿Cuánto cuesta adecuar una pyme a NIS2? Para una entidad importante de 50-250 empleados, el rango habitual es 25.000-60.000 € en el primer año, incluyendo consultoría, refuerzo técnico y formación. El coste baja de forma notable si ya existe una certificación ISO 27001 o un cumplimiento ENS previo.
Fuentes oficiales
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.