NIS2 es la directiva europea 2022/2555 que sustituye a NIS (2016). Desde 2026 obliga a pymes esenciales e importantes en sectores críticos (energía, agua, transporte, banca, sanidad, infraestructura digital) en toda la UE.

¿A qué pymes españolas obliga NIS2?

Entidades esenciales (>250 emp o >50 M€ facturación) en sectores: energía, transporte, banca, sanidad, agua, infraestructura digital, espacio. Entidades importantes (50-250 emp o 10-50 M€) en sectores ampliados: alimentación crítica, productos químicos, postal/courier, residuos, manufactura equipos médicos. Algunas pymes pequeñas en infraestructura digital también entran.

¿Qué obligaciones técnicas exige NIS2?

Diez áreas: política de seguridad de sistemas, gestión de incidentes (notificación 24h INCIBE/CCN-CERT), continuidad de negocio + recuperación ante desastres, cadena de suministro (proveedores y dependencias), seguridad en adquisición/desarrollo de sistemas, evaluación eficacia, prácticas cibersanidad básica + formación, cifrado, control de acceso y autenticación multifactor, comunicaciones seguras.

¿Qué pasa si una pyme no cumple NIS2?

Multas administrativas hasta 10 millones de euros o 2 % de facturación anual mundial (lo mayor). Responsabilidad personal del órgano de gestión: dirección puede ser personalmente responsable si no implanta las medidas. Suspensión de actividad en casos graves.

Fuentes oficiales

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs.

Sigue leyendo

Implantación a medida

Consultoría especializada en cumplimiento avanzado

Agendar sesión →