Si diriges una pyme y has oído hablar de la NIS2, probablemente tengas la misma duda que casi todo el mundo: «¿esto me obliga a mí o es cosa de las grandes infraestructuras?». La respuesta no es ni un sí rotundo ni un no tranquilizador. Depende de tres factores —tu sector, tu tamaño y el papel que juegas en la cadena— y la mala noticia es que muchas empresas que se creen fuera están dentro, a veces por la puerta de atrás de ser proveedor de alguien que sí está obligado. Este artículo es un test de autodiagnóstico para que salgas de dudas en cinco minutos, con las fuentes normativas delante.

¿Cómo sé si la NIS2 obliga a mi pyme? Estás dentro del ámbito de la NIS2 si cumples tres condiciones a la vez: (1) operas en uno de los 18 sectores de sus anexos (energía, transporte, sanidad, banca, agua, infraestructura digital, fabricación, servicios postales, etc.); (2) alcanzas el umbral de tamaño —al menos 50 empleados o más de 10 millones de € de volumen de negocio o balance—; y (3) prestas tus servicios en la UE. Hay excepciones que eliminan el umbral de tamaño (ciertos servicios críticos están dentro sean del tamaño que sean) y un efecto cadena de suministro: aunque no estés obligada directamente, tu cliente obligado te exigirá cumplir por contrato.

Qué es la NIS2 y por qué te incumbe ahora

La NIS2 es la Directiva (UE) 2022/2555, la norma europea que sustituye a la primera directiva de ciberseguridad (NIS1, de 2016) para elevar y armonizar el nivel de protección en toda la Unión. Su lógica es directa: hay sectores cuya caída por un ciberataque afecta a toda la sociedad —que se quede sin luz un hospital, que se pare la cadena de suministro de agua, que reviente un operador logístico— y a esos sectores la UE les impone obligaciones mínimas de ciberseguridad y de notificación de incidentes.

El cambio respecto a NIS1 es de escala. Se pasa de unos 7 sectores a 18, y se incorporan de lleno medianas empresas que antes quedaban fuera. Las estimaciones hablan de que en España podrían verse afectadas entre 5.000 y 50.000 entidades, muchas de ellas pymes que nunca se habían planteado estar reguladas en materia de ciberseguridad.

Y aquí está la parte que genera más confusión: la directiva ya es exigible a nivel europeo desde el 17 de octubre de 2024, pero España no la ha transpuesto en plazo. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en Consejo de Ministros en enero de 2025 y, a mediados de 2026, sigue en tramitación parlamentaria; la Comisión Europea llegó a emitir un dictamen motivado por el retraso. Que la ley española aún no esté en vigor no es excusa para esperar: cuando se apruebe, muchas obligaciones serán exigibles desde el primer día, y prepararse lleva meses. Para el panorama completo de normas que conviven aquí, tengo una guía sobre la normativa de ciberseguridad en España (RGPD, ENS, NIS2 y DORA).

El test: ¿te obliga la NIS2? Tres preguntas

Para saber si estás dentro, la directiva te obliga a pasar tres filtros. Si fallas alguno de los dos primeros, en principio quedas fuera del ámbito directo (ojo a las excepciones del apartado siguiente). Recórrelos en orden.

Pregunta 1 · ¿Operas en un sector de los anexos? La NIS2 ordena los sectores en dos anexos. El Anexo I reúne los sectores de alta criticidad (donde caen las entidades «esenciales»): energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC entre empresas, administración pública y espacio. El Anexo II reúne otros sectores críticos (donde caen las «importantes»): servicios postales y de mensajería, gestión de residuos, fabricación y distribución de productos químicos, producción y distribución de alimentos, fabricación (de productos sanitarios, electrónica, maquinaria, vehículos…), proveedores digitales (mercados en línea, buscadores, redes sociales) e investigación. Si tu actividad no encaja en ninguno, el primer filtro te deja fuera.

Pregunta 2 · ¿Alcanzas el umbral de tamaño? Con carácter general, la NIS2 se aplica a entidades medianas o grandes. El umbral mínimo es: 50 o más empleados, o bien un volumen de negocio anual o balance superior a 10 millones de euros. Basta con superar uno de los dos criterios. Por debajo de ahí, la microempresa y la pequeña empresa quedan, por regla general, fuera del ámbito directo. Importante: el criterio es disyuntivo (o empleados o facturación), no acumulativo.

Pregunta 3 · ¿Prestas servicio en la UE? La directiva aplica a entidades que ofrecen sus servicios o desarrollan su actividad dentro de la Unión Europea. Para una pyme española con clientes en España y la UE, este filtro casi siempre se cumple; está pensado para resolver casos de empresas de fuera de la UE que operan aquí.

Si has respondido sí a las tres, estás dentro del ámbito de la NIS2. Si has fallado la 1 o la 2, no cantes victoria todavía: te quedan las excepciones.

Infografía con el árbol de decisión de la NIS2: sector de los anexos, umbral de tamaño de 50 empleados o 10 millones de euros, y prestación de servicio en la UE, con el resultado obligado o no obligado
Árbol de decisión simplificado para saber si la NIS2 obliga a tu empresa.

Las excepciones que cambian el resultado

El test de las tres preguntas funciona para el caso general, pero la NIS2 tiene matices que meten dentro a empresas que el umbral de tamaño dejaría fuera. Si has fallado la pregunta 2 por ser pequeña, repasa estas situaciones antes de relajarte.

Servicios críticos sin importar el tamaño. Ciertas entidades quedan sujetas independientemente de su número de empleados o facturación, porque lo que prestan es tan crítico que su tamaño es irrelevante. Es el caso típico de proveedores de servicios DNS, registros de nombres de dominio de primer nivel, operadores de comunicaciones electrónicas o algunas entidades de la Administración pública. Si eres un actor único o indispensable en tu territorio, puedes estar dentro aunque seas una micropyme.

El efecto cadena de suministro. Esta es la vía por la que más pymes acaban afectadas de facto. La NIS2 obliga a las entidades reguladas a gestionar la seguridad de su cadena de suministro. ¿Qué significa para ti? Que si eres proveedor —de software, de servicios TIC, de mantenimiento, de logística— de una empresa esencial o importante, esa empresa te exigirá por contrato requisitos de ciberseguridad para poder seguir trabajando con ella. No te obliga la ley directamente, pero te obliga tu cliente, y el efecto práctico es el mismo.

Designación por la autoridad. La autoridad competente puede identificar entidades concretas como sujetas aunque no cumplan los umbrales, por su papel en un sector. Es menos frecuente, pero existe.

La conclusión práctica: si trabajas en o para alguno de los 18 sectores, asume que tarde o temprano la ciberseguridad dejará de ser opcional para ti, ya sea por obligación legal directa o por exigencia de tus clientes. Esperar a que «llegue la carta» es la peor estrategia.

Sala de servidores y equipos de red de una infraestructura digital sujeta a la directiva NIS2
Las infraestructuras digitales figuran entre los sectores de alta criticidad del Anexo I de la NIS2. Foto: DeclanTM (CC BY).

Esencial o importante: qué cambia según tu categoría

Si el test te ha situado dentro, el siguiente paso es saber en qué categoría caes, porque determina la intensidad de la supervisión y el tope de las sanciones. La NIS2 distingue dos tipos de entidad.

Entidades esenciales frente a importantes en la NIS2: principales diferencias
Aspecto Entidad esencial (Anexo I, grandes) Entidad importante (Anexo II o medianas)
Quién entra Grandes empresas de sectores de alta criticidad (Anexo I) y ciertos actores críticos por defecto Medianas empresas de Anexo I y entidades de los sectores del Anexo II
Tipo de supervisión Proactiva: la autoridad puede inspeccionar y auditar sin incidente previo Reactiva: la supervisión se activa ante indicios o tras un incidente
Tope de sanción Hasta 10 millones de € o el 2 % de la facturación mundial (el mayor) Hasta 7 millones de € o el 1,4 % de la facturación mundial (el mayor)
Medidas exigidas Las mismas para ambas: gestión de riesgos, notificación de incidentes, continuidad, seguridad de la cadena de suministro, control de accesos, MFA, cifrado, formación

El matiz clave es que las obligaciones técnicas son idénticas para esenciales e importantes; lo que cambia es cómo te vigilan y cuánto te puede costar incumplir. Y un punto que sorprende a muchos directivos: la NIS2 introduce responsabilidad personal de la dirección. Los órganos de administración deben aprobar y supervisar las medidas de ciberseguridad, y pueden responder por su incumplimiento. La ciberseguridad deja de ser «cosa de informática» y pasa a ser materia de consejo.

Qué obligaciones concretas tendrás que cumplir

Estar dentro de la NIS2 no es una etiqueta: se traduce en medidas concretas. La directiva fija un mínimo de medidas técnicas y organizativas que toda entidad obligada debe implantar, basadas en un enfoque de gestión de riesgos. Las principales:

A esto se suma la obligación estrella en la práctica: la notificación de incidentes significativos en un esquema de tres tiempos —alerta temprana en 24 horas, informe inicial en 72 horas e informe final en un mes— ante la autoridad competente, que en España serán el INCIBE-CERT (para el sector privado) y el CCN-CERT (para el sector público), bajo la coordinación del nuevo Centro Nacional de Ciberseguridad. Si todo esto te suena conocido es porque buena parte coincide con lo que ya exige el Esquema Nacional de Seguridad: si trabajas con la Administración, tener resuelta la conformidad con el ENS te deja medio camino andado para la NIS2.

Si estás obligado, ¿por dónde empiezas?

Descubrir que estás dentro puede agobiar, pero el camino es manejable si se ordena. La forma sensata de abordarlo no es comprar herramientas a lo loco, sino seguir la misma lógica de gestión de riesgos que pide la propia directiva, en cuatro pasos.

Primero, confirma tu situación por escrito: documenta a qué sector perteneces, si superas umbrales y si eres esencial o importante. Ese análisis de aplicabilidad es la base de todo y lo primero que te pedirá cualquier autoridad o cliente. Segundo, haz un diagnóstico de brecha: compara lo que la NIS2 exige con lo que ya tienes; rara vez se parte de cero. Tercero, prioriza por riesgo: ataca primero lo que más expone (accesos, copias, respuesta a incidentes). Cuarto, documéntalo y mantenlo vivo, porque la NIS2 es un marco de mejora continua, no un certificado que se cuelga en la pared.

Ese diagnóstico inicial es, en esencia, un plan director de seguridad adaptado a la directiva. Lo desarrollo en la página sobre el plan director de seguridad, que es la herramienta con la que ordeno este tipo de proyectos. Y si la duda es de fondo —si la directiva te aplica y cómo afecta a tu modelo de negocio—, lo explico con más detalle en el artículo pilar sobre la directiva NIS2 para pymes españolas.

Preguntas frecuentes

¿La NIS2 afecta a las pymes o solo a las grandes empresas?

Afecta también a pymes. El umbral general es de 50 empleados o más de 10 millones de € de facturación o balance, lo que incluye a muchas medianas empresas que antes quedaban fuera de la NIS1. Además, las microempresas y pequeñas empresas pueden estar dentro si prestan servicios críticos (como DNS o telecomunicaciones) sin importar su tamaño, o verse obligadas de hecho por ser proveedores de una empresa esencial o importante que les exigirá medidas de ciberseguridad por contrato.

Mi empresa tiene 30 empleados, ¿estoy fuera de la NIS2?

En principio sí, porque no alcanzas el umbral de 50 empleados, pero comprueba dos cosas antes de descartarlo: si superas los 10 millones de € de volumen de negocio o balance (el criterio es disyuntivo, basta con uno), y si prestas un servicio considerado crítico que entre sin umbral de tamaño. Además, aunque legalmente quedes fuera, si eres proveedor de una empresa obligada, esta te exigirá requisitos de seguridad para seguir trabajando contigo. Conviene prepararse igualmente.

¿Desde cuándo es obligatoria la NIS2 en España?

La directiva europea (UE 2022/2555) es exigible desde el 17 de octubre de 2024, pero España no la transpuso en plazo. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en enero de 2025 y a mediados de 2026 sigue en tramitación parlamentaria. Cuando la ley española entre en vigor, muchas obligaciones serán exigibles de inmediato. Por eso conviene no esperar a la publicación para empezar a prepararse, ya que adecuarse lleva meses.

¿Qué pasa si estoy obligado y no cumplo?

Las sanciones son elevadas: hasta 10 millones de € o el 2 % de la facturación mundial para entidades esenciales, y hasta 7 millones de € o el 1,4 % para entidades importantes (se aplica la cuantía mayor). Además, la NIS2 introduce responsabilidad de los órganos de dirección, que deben aprobar y supervisar las medidas y pueden responder por su incumplimiento. Más allá de la multa, un incidente no gestionado conforme a la norma puede acarrear pérdida de contratos y daño reputacional.

¿La NIS2 es lo mismo que el ENS o el RGPD?

No, pero se solapan. El RGPD protege datos personales; el ENS regula la seguridad de los sistemas que tratan información del sector público y de quien le presta servicios; la NIS2 regula la ciberseguridad de sectores críticos. Comparten muchas medidas (gestión de riesgos, control de accesos, notificación de incidentes), así que cumplir uno facilita los demás. Si ya tienes la conformidad con el ENS, buena parte del trabajo para la NIS2 está hecho. Lo aclaro en mi guía de normativa de ciberseguridad en España.

Fuentes