Si diriges una pyme y has oído hablar de la NIS2, probablemente tengas la misma duda que casi todo el mundo: «¿esto me obliga a mí o es cosa de las grandes infraestructuras?». La respuesta no es ni un sí rotundo ni un no tranquilizador. Depende de tres factores —tu sector, tu tamaño y el papel que juegas en la cadena— y la mala noticia es que muchas empresas que se creen fuera están dentro, a veces por la puerta de atrás de ser proveedor de alguien que sí está obligado. Este artículo es un test de autodiagnóstico para que salgas de dudas en cinco minutos, con las fuentes normativas delante.
¿Cómo sé si la NIS2 obliga a mi pyme? Estás dentro del ámbito de la NIS2 si cumples tres condiciones a la vez: (1) operas en uno de los 18 sectores de sus anexos (energía, transporte, sanidad, banca, agua, infraestructura digital, fabricación, servicios postales, etc.); (2) alcanzas el umbral de tamaño —al menos 50 empleados o más de 10 millones de € de volumen de negocio o balance—; y (3) prestas tus servicios en la UE. Hay excepciones que eliminan el umbral de tamaño (ciertos servicios críticos están dentro sean del tamaño que sean) y un efecto cadena de suministro: aunque no estés obligada directamente, tu cliente obligado te exigirá cumplir por contrato.
Qué es la NIS2 y por qué te incumbe ahora
La NIS2 es la Directiva (UE) 2022/2555, la norma europea que sustituye a la primera directiva de ciberseguridad (NIS1, de 2016) para elevar y armonizar el nivel de protección en toda la Unión. Su lógica es directa: hay sectores cuya caída por un ciberataque afecta a toda la sociedad —que se quede sin luz un hospital, que se pare la cadena de suministro de agua, que reviente un operador logístico— y a esos sectores la UE les impone obligaciones mínimas de ciberseguridad y de notificación de incidentes.
El cambio respecto a NIS1 es de escala. Se pasa de unos 7 sectores a 18, y se incorporan de lleno medianas empresas que antes quedaban fuera. Las estimaciones hablan de que en España podrían verse afectadas entre 5.000 y 50.000 entidades, muchas de ellas pymes que nunca se habían planteado estar reguladas en materia de ciberseguridad.
Y aquí está la parte que genera más confusión: la directiva ya es exigible a nivel europeo desde el 17 de octubre de 2024, pero España no la ha transpuesto en plazo. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en Consejo de Ministros en enero de 2025 y, a mediados de 2026, sigue en tramitación parlamentaria; la Comisión Europea llegó a emitir un dictamen motivado por el retraso. Que la ley española aún no esté en vigor no es excusa para esperar: cuando se apruebe, muchas obligaciones serán exigibles desde el primer día, y prepararse lleva meses. Para el panorama completo de normas que conviven aquí, tengo una guía sobre la normativa de ciberseguridad en España (RGPD, ENS, NIS2 y DORA).
El test: ¿te obliga la NIS2? Tres preguntas
Para saber si estás dentro, la directiva te obliga a pasar tres filtros. Si fallas alguno de los dos primeros, en principio quedas fuera del ámbito directo (ojo a las excepciones del apartado siguiente). Recórrelos en orden.
Pregunta 1 · ¿Operas en un sector de los anexos? La NIS2 ordena los sectores en dos anexos. El Anexo I reúne los sectores de alta criticidad (donde caen las entidades «esenciales»): energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC entre empresas, administración pública y espacio. El Anexo II reúne otros sectores críticos (donde caen las «importantes»): servicios postales y de mensajería, gestión de residuos, fabricación y distribución de productos químicos, producción y distribución de alimentos, fabricación (de productos sanitarios, electrónica, maquinaria, vehículos…), proveedores digitales (mercados en línea, buscadores, redes sociales) e investigación. Si tu actividad no encaja en ninguno, el primer filtro te deja fuera.
Pregunta 2 · ¿Alcanzas el umbral de tamaño? Con carácter general, la NIS2 se aplica a entidades medianas o grandes. El umbral mínimo es: 50 o más empleados, o bien un volumen de negocio anual o balance superior a 10 millones de euros. Basta con superar uno de los dos criterios. Por debajo de ahí, la microempresa y la pequeña empresa quedan, por regla general, fuera del ámbito directo. Importante: el criterio es disyuntivo (o empleados o facturación), no acumulativo.
Pregunta 3 · ¿Prestas servicio en la UE? La directiva aplica a entidades que ofrecen sus servicios o desarrollan su actividad dentro de la Unión Europea. Para una pyme española con clientes en España y la UE, este filtro casi siempre se cumple; está pensado para resolver casos de empresas de fuera de la UE que operan aquí.
Si has respondido sí a las tres, estás dentro del ámbito de la NIS2. Si has fallado la 1 o la 2, no cantes victoria todavía: te quedan las excepciones.
Las excepciones que cambian el resultado
El test de las tres preguntas funciona para el caso general, pero la NIS2 tiene matices que meten dentro a empresas que el umbral de tamaño dejaría fuera. Si has fallado la pregunta 2 por ser pequeña, repasa estas situaciones antes de relajarte.
Servicios críticos sin importar el tamaño. Ciertas entidades quedan sujetas independientemente de su número de empleados o facturación, porque lo que prestan es tan crítico que su tamaño es irrelevante. Es el caso típico de proveedores de servicios DNS, registros de nombres de dominio de primer nivel, operadores de comunicaciones electrónicas o algunas entidades de la Administración pública. Si eres un actor único o indispensable en tu territorio, puedes estar dentro aunque seas una micropyme.
El efecto cadena de suministro. Esta es la vía por la que más pymes acaban afectadas de facto. La NIS2 obliga a las entidades reguladas a gestionar la seguridad de su cadena de suministro. ¿Qué significa para ti? Que si eres proveedor —de software, de servicios TIC, de mantenimiento, de logística— de una empresa esencial o importante, esa empresa te exigirá por contrato requisitos de ciberseguridad para poder seguir trabajando con ella. No te obliga la ley directamente, pero te obliga tu cliente, y el efecto práctico es el mismo.
Designación por la autoridad. La autoridad competente puede identificar entidades concretas como sujetas aunque no cumplan los umbrales, por su papel en un sector. Es menos frecuente, pero existe.
La conclusión práctica: si trabajas en o para alguno de los 18 sectores, asume que tarde o temprano la ciberseguridad dejará de ser opcional para ti, ya sea por obligación legal directa o por exigencia de tus clientes. Esperar a que «llegue la carta» es la peor estrategia.
Esencial o importante: qué cambia según tu categoría
Si el test te ha situado dentro, el siguiente paso es saber en qué categoría caes, porque determina la intensidad de la supervisión y el tope de las sanciones. La NIS2 distingue dos tipos de entidad.
| Aspecto | Entidad esencial (Anexo I, grandes) | Entidad importante (Anexo II o medianas) |
|---|---|---|
| Quién entra | Grandes empresas de sectores de alta criticidad (Anexo I) y ciertos actores críticos por defecto | Medianas empresas de Anexo I y entidades de los sectores del Anexo II |
| Tipo de supervisión | Proactiva: la autoridad puede inspeccionar y auditar sin incidente previo | Reactiva: la supervisión se activa ante indicios o tras un incidente |
| Tope de sanción | Hasta 10 millones de € o el 2 % de la facturación mundial (el mayor) | Hasta 7 millones de € o el 1,4 % de la facturación mundial (el mayor) |
| Medidas exigidas | Las mismas para ambas: gestión de riesgos, notificación de incidentes, continuidad, seguridad de la cadena de suministro, control de accesos, MFA, cifrado, formación | |
El matiz clave es que las obligaciones técnicas son idénticas para esenciales e importantes; lo que cambia es cómo te vigilan y cuánto te puede costar incumplir. Y un punto que sorprende a muchos directivos: la NIS2 introduce responsabilidad personal de la dirección. Los órganos de administración deben aprobar y supervisar las medidas de ciberseguridad, y pueden responder por su incumplimiento. La ciberseguridad deja de ser «cosa de informática» y pasa a ser materia de consejo.
Qué obligaciones concretas tendrás que cumplir
Estar dentro de la NIS2 no es una etiqueta: se traduce en medidas concretas. La directiva fija un mínimo de medidas técnicas y organizativas que toda entidad obligada debe implantar, basadas en un enfoque de gestión de riesgos. Las principales:
- Análisis de riesgos y política de seguridad de los sistemas de información. El punto de partida: saber qué activos tienes, a qué amenazas te expones y cómo los proteges.
- Gestión de incidentes, con capacidad de detección, respuesta y recuperación.
- Continuidad de negocio: copias de seguridad, gestión de crisis y planes de recuperación ante desastres.
- Seguridad de la cadena de suministro, evaluando a tus proveedores (el mismo requisito que te llega a ti desde tus clientes).
- Higiene básica: control de accesos, autenticación multifactor (MFA), cifrado, gestión de vulnerabilidades y de parches.
- Formación y concienciación del personal y de la dirección.
A esto se suma la obligación estrella en la práctica: la notificación de incidentes significativos en un esquema de tres tiempos —alerta temprana en 24 horas, informe inicial en 72 horas e informe final en un mes— ante la autoridad competente, que en España serán el INCIBE-CERT (para el sector privado) y el CCN-CERT (para el sector público), bajo la coordinación del nuevo Centro Nacional de Ciberseguridad. Si todo esto te suena conocido es porque buena parte coincide con lo que ya exige el Esquema Nacional de Seguridad: si trabajas con la Administración, tener resuelta la conformidad con el ENS te deja medio camino andado para la NIS2.
Si estás obligado, ¿por dónde empiezas?
Descubrir que estás dentro puede agobiar, pero el camino es manejable si se ordena. La forma sensata de abordarlo no es comprar herramientas a lo loco, sino seguir la misma lógica de gestión de riesgos que pide la propia directiva, en cuatro pasos.
Primero, confirma tu situación por escrito: documenta a qué sector perteneces, si superas umbrales y si eres esencial o importante. Ese análisis de aplicabilidad es la base de todo y lo primero que te pedirá cualquier autoridad o cliente. Segundo, haz un diagnóstico de brecha: compara lo que la NIS2 exige con lo que ya tienes; rara vez se parte de cero. Tercero, prioriza por riesgo: ataca primero lo que más expone (accesos, copias, respuesta a incidentes). Cuarto, documéntalo y mantenlo vivo, porque la NIS2 es un marco de mejora continua, no un certificado que se cuelga en la pared.
Ese diagnóstico inicial es, en esencia, un plan director de seguridad adaptado a la directiva. Lo desarrollo en la página sobre el plan director de seguridad, que es la herramienta con la que ordeno este tipo de proyectos. Y si la duda es de fondo —si la directiva te aplica y cómo afecta a tu modelo de negocio—, lo explico con más detalle en el artículo pilar sobre la directiva NIS2 para pymes españolas.
Preguntas frecuentes
¿La NIS2 afecta a las pymes o solo a las grandes empresas?
Afecta también a pymes. El umbral general es de 50 empleados o más de 10 millones de € de facturación o balance, lo que incluye a muchas medianas empresas que antes quedaban fuera de la NIS1. Además, las microempresas y pequeñas empresas pueden estar dentro si prestan servicios críticos (como DNS o telecomunicaciones) sin importar su tamaño, o verse obligadas de hecho por ser proveedores de una empresa esencial o importante que les exigirá medidas de ciberseguridad por contrato.
Mi empresa tiene 30 empleados, ¿estoy fuera de la NIS2?
En principio sí, porque no alcanzas el umbral de 50 empleados, pero comprueba dos cosas antes de descartarlo: si superas los 10 millones de € de volumen de negocio o balance (el criterio es disyuntivo, basta con uno), y si prestas un servicio considerado crítico que entre sin umbral de tamaño. Además, aunque legalmente quedes fuera, si eres proveedor de una empresa obligada, esta te exigirá requisitos de seguridad para seguir trabajando contigo. Conviene prepararse igualmente.
¿Desde cuándo es obligatoria la NIS2 en España?
La directiva europea (UE 2022/2555) es exigible desde el 17 de octubre de 2024, pero España no la transpuso en plazo. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en enero de 2025 y a mediados de 2026 sigue en tramitación parlamentaria. Cuando la ley española entre en vigor, muchas obligaciones serán exigibles de inmediato. Por eso conviene no esperar a la publicación para empezar a prepararse, ya que adecuarse lleva meses.
¿Qué pasa si estoy obligado y no cumplo?
Las sanciones son elevadas: hasta 10 millones de € o el 2 % de la facturación mundial para entidades esenciales, y hasta 7 millones de € o el 1,4 % para entidades importantes (se aplica la cuantía mayor). Además, la NIS2 introduce responsabilidad de los órganos de dirección, que deben aprobar y supervisar las medidas y pueden responder por su incumplimiento. Más allá de la multa, un incidente no gestionado conforme a la norma puede acarrear pérdida de contratos y daño reputacional.
¿La NIS2 es lo mismo que el ENS o el RGPD?
No, pero se solapan. El RGPD protege datos personales; el ENS regula la seguridad de los sistemas que tratan información del sector público y de quien le presta servicios; la NIS2 regula la ciberseguridad de sectores críticos. Comparten muchas medidas (gestión de riesgos, control de accesos, notificación de incidentes), así que cumplir uno facilita los demás. Si ya tienes la conformidad con el ENS, buena parte del trabajo para la NIS2 está hecho. Lo aclaro en mi guía de normativa de ciberseguridad en España.
Fuentes
- Directiva (UE) 2022/2555 (NIS2) — texto consolidado, anexos I y II y umbrales. eur-lex.europa.eu
- INCIBE-CERT — FAQ NIS2 (ámbito de aplicación y obligaciones). incibe.es
- Departamento de Seguridad Nacional — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. dsn.gob.es
- Factorial — Empresas esenciales vs importantes en la NIS2. factorial.es
- Audidat — NIS2 sectores afectados: entidades esenciales e importantes. audidat.com