Volver al blog Ciberseguridad

¿Está mi pyme obligada a cumplir NIS2?

26 de junio de 2026 3L Systems

Contenido del artículo

La respuesta corta es: probablemente no de forma directa, pero conviene comprobarlo. Como regla general, NIS2 obliga a entidades de determinados sectores considerados críticos o importantes que, además, alcanzan el tamaño de mediana empresa o superior. La mayoría de pequeñas empresas y microempresas quedan fuera del ámbito directo. Sin embargo, hay dos matices que cambian mucho el escenario: ciertas excepciones por sector y, sobre todo, el hecho de ser proveedor de una empresa que sí está obligada. En este artículo te explicamos los criterios para que puedas hacerte una idea clara de tu situación. Ten en cuenta que esto es una orientación general, no asesoramiento jurídico.

Qué es NIS2 y por qué se habla tanto de ella

NIS2 es la directiva europea de ciberseguridad que actualiza y amplía la anterior normativa (NIS) para reforzar la seguridad de las redes y los sistemas de información en la Unión Europea. Su objetivo es elevar el nivel de protección de los servicios y las infraestructuras de los que depende la sociedad, y por eso amplía los sectores afectados y endurece las obligaciones de gestión de riesgos y de notificación de incidentes.

Al ser una directiva, no se aplica directamente: cada Estado miembro la transpone a su legislación nacional. España está completando ese marco propio. Como las fechas y los detalles concretos pueden ajustarse durante la transposición, lo sensato es verificar el estado vigente antes de tomar decisiones y, sobre todo, no dejar la preparación para el último momento.

El primer filtro: el sector de tu actividad

NIS2 no se aplica a cualquier empresa por el simple hecho de existir, sino a las que operan en sectores recogidos por la norma. La directiva distingue, a grandes rasgos, entre sectores de alta criticidad y otros sectores críticos. Entre las actividades que suelen entrar en su ámbito están, por ejemplo:

  • Energía (electricidad, gas, petróleo) y agua (potable y residual).
  • Transporte (aéreo, ferroviario, marítimo y por carretera).
  • Banca y mercados financieros.
  • Sanidad y fabricación de productos farmacéuticos.
  • Infraestructuras digitales y proveedores de servicios TIC gestionados.
  • Administraciones públicas, en los términos que defina la norma.
  • Otros sectores como servicios postales, gestión de residuos, alimentación, fabricación de ciertos productos o investigación.

Si tu actividad no encaja en ninguno de los sectores contemplados, lo más probable es que NIS2 no te obligue de forma directa. Pero antes de descartarlo conviene mirar el segundo filtro: el tamaño.

El segundo filtro: el tamaño de tu empresa

Dentro de los sectores afectados, NIS2 se centra en organizaciones de cierta dimensión. La referencia habitual es el umbral de mediana empresa: en líneas generales, a partir de unos 50 empleados o 10 millones de euros de volumen de negocio anual (o de balance). Por debajo de ese umbral, una micro o pequeña empresa suele quedar fuera del ámbito directo, salvo excepciones.

Y aquí está el matiz importante: existen excepciones en las que el tamaño no exime. En determinados casos, por la naturaleza crítica del servicio que se presta (por ejemplo, ciertos proveedores de infraestructuras digitales o de servicios esenciales para un territorio), la obligación puede alcanzar también a empresas pequeñas. Por eso no basta con decir «soy pequeña, no me afecta»: hay que cruzar sector y tamaño y revisar si tu caso cae en alguna de esas excepciones.

La regla mental rápida: NIS2 te afecta de forma directa si estás en un sector contemplado y superas el umbral de mediana empresa. Si fallas uno de los dos, probablemente no seas sujeto obligado directo, pero revisa las excepciones por sector y, sobre todo, tu papel como proveedor.

Entidad esencial o entidad importante

Cuando una organización sí queda dentro del ámbito, NIS2 la clasifica en una de dos categorías: entidad esencial o entidad importante. Ambas tienen que adoptar medidas de gestión de riesgos de ciberseguridad y notificar los incidentes significativos, pero se diferencian sobre todo en el régimen de supervisión y de sanción.

  • Entidades esenciales: suelen ser las de mayor tamaño en los sectores más críticos. Se someten a una supervisión más estricta y proactiva, es decir, las autoridades pueden controlarlas sin esperar a que ocurra un problema.
  • Entidades importantes: abarcan otros sectores o tamaños algo menores dentro del ámbito. Su supervisión es más reactiva, normalmente a raíz de indicios o de un incidente.

La clasificación la determina el marco normativo en función del sector y del tamaño; no es algo que la empresa elija. En ambos casos, las obligaciones de fondo (analizar riesgos, proteger sistemas, gestionar la cadena de suministro, notificar incidentes) son exigentes y requieren implantación profesional para hacerse bien.

El efecto cadena: ser proveedor de una empresa obligada

Este es, en la práctica, el motivo por el que muchas pymes que «no están obligadas» acaban teniendo que mejorar su ciberseguridad. NIS2 exige a las entidades obligadas que gestionen los riesgos de su cadena de suministro. ¿Qué significa eso para ti? Que si prestas servicios a una empresa esencial o importante (le desarrollas software, le gestionas servidores, le das soporte, le suministras componentes o le tratas datos), es muy probable que te traslade requisitos de seguridad por contrato.

En otras palabras: aunque tu empresa no sea sujeto obligado directo, tu cliente sí puede exigirte cláusulas de seguridad, evidencias de buenas prácticas o incluso una auditoría. No cumplirlas puede costarte el contrato. Por eso cada vez más pymes elevan su nivel de seguridad de forma «indirecta», por exigencia de sus clientes grandes. Mirarlo como una ventaja competitiva (ser un proveedor fiable y seguro) suele ser más rentable que verlo solo como una carga.

Cómo autoevaluarte en cuatro pasos

Para hacerte una primera composición de lugar sin necesidad de ser experto en la norma, puedes seguir esta secuencia:

  • 1. Mira tu sector. ¿Tu actividad principal encaja en alguno de los sectores contemplados por la norma? Si claramente no, sigue al paso 4.
  • 2. Mira tu tamaño. ¿Superas el umbral de mediana empresa (en torno a 50 empleados o 10 millones de euros)? Cruza este dato con el sector.
  • 3. Revisa excepciones. Aunque seas pequeña, ¿prestas un servicio considerado crítico que pueda hacer que la obligación te alcance igualmente?
  • 4. Analiza tu cadena. ¿Tienes clientes que probablemente sí estén obligados? Si es así, anticipa que te pedirán requisitos de seguridad.

Esta autoevaluación te da una orientación, pero no sustituye a un análisis profesional. La encuadre definitivo (sector, categoría, obligaciones concretas) depende del texto vigente de la transposición y de los detalles de tu organización. Ante la duda, lo prudente es que alguien revise tu caso real.

Qué puedes ir haciendo, te obligue o no

Buena parte de lo que pide NIS2 es, sencillamente, higiene de ciberseguridad sensata que cualquier empresa debería tener: controlar quién accede a qué, mantener los sistemas actualizados, tener copias de seguridad que de verdad funcionen, formar al equipo y saber cómo reaccionar ante un incidente. Avanzar en esto te protege aunque no seas sujeto obligado y te deja preparado si el día de mañana lo eres o si un cliente te lo exige.

Un punto de partida realista es conocer tu situación actual con una auditoría de seguridad que detecte tus puntos débiles y priorice las acciones. A partir de ahí, medidas como reforzar el acceso remoto y las comunicaciones con conexiones seguras, ordenar identidades y accesos o preparar la respuesta ante incidentes te acercan a lo que la norma pide. Y si tu duda es de fondo (si la norma te aplica y cómo), conviene combinar el análisis técnico con asesoramiento especializado.

Si quieres profundizar en una de las medidas más rentables y menos visibles, te puede interesar nuestro artículo sobre cómo ordenar la gestión de tu empresa como base para tener tus datos bajo control. Tener la información centralizada y protegida es, al final, parte de estar más seguro.

Preguntas frecuentes

¿NIS2 obliga a todas las pymes?

No. Como regla general, NIS2 se centra en entidades de sectores críticos o importantes que alcanzan el tamaño de mediana empresa o superior (en líneas generales, a partir de 50 empleados o 10 millones de euros de volumen de negocio). Las microempresas y pequeñas empresas, por sí solas, suelen quedar fuera. Aun así, existen excepciones por sector y, sobre todo, el efecto indirecto de ser proveedor de una entidad obligada. Conviene confirmar el caso concreto con un análisis.

Mi empresa no está en un sector crítico, ¿me afecta NIS2?

Si tu actividad no entra en los sectores recogidos por la norma, lo más probable es que no estés obligada de forma directa. Pero si prestas servicios a una entidad que sí lo está, es habitual que te trasladen requisitos de seguridad por contrato a través de su gestión de riesgos de la cadena de suministro. En la práctica, muchas pymes acaban elevando su seguridad por esta vía aunque no sean sujetos obligados.

¿Qué diferencia hay entre entidad esencial e importante en NIS2?

Ambas tienen que cumplir medidas de gestión de riesgos y notificar incidentes. La diferencia principal está en el régimen de supervisión y sanción: las entidades esenciales se someten a una vigilancia más estricta y proactiva, mientras que las importantes tienen un control más reactivo. La clasificación depende del sector y del tamaño de la organización, y la fija el marco normativo, no la propia empresa.

¿Cuándo entra en vigor NIS2 en España?

La Directiva NIS2 es una norma europea que cada país transpone a su legislación nacional. El plazo de transposición previsto a nivel europeo era octubre de 2024 y España está completando su marco propio. Como las fechas y los detalles pueden ajustarse, lo prudente es confirmar el estado vigente de la transposición y no esperar al último momento para empezar a prepararse.

¿Qué pasa si una empresa obligada no cumple NIS2?

La norma contempla un régimen sancionador con multas que pueden ser elevadas, además de la posibilidad de exigir responsabilidades a la dirección de la entidad. Más allá de la sanción, no cumplir suele significar estar peor protegido ante incidentes reales. Por eso lo recomendable es tratar NIS2 como una oportunidad para ordenar la seguridad, no solo como una obligación que esquivar.

¿Dudas sobre si
NIS2 afecta a tu empresa?

Analizamos tu caso, revisamos tu nivel de seguridad y te decimos qué pasos dar para llegar preparado. Primera consultoría gratuita y sin compromiso.

Habla con un experto Ver más artículos
info@3lsystems.es · Edificio Algón, Burjassot (Valencia)