Volver al blog Ciberseguridad

¿Qué es la directiva NIS2 y a qué empresas obliga en España?

26 de junio de 2026 3L Systems

Contenido del artículo

NIS2 es la directiva europea de ciberseguridad (Directiva UE 2022/2555) que eleva el nivel de protección que deben tener las empresas y organizaciones de sectores considerados clave para la economía y la sociedad. En España obliga, en términos generales, a las medianas y grandes empresas (más de 50 empleados o más de 10 millones de euros de facturación o balance) que operan en alguno de los sectores cubiertos, exigiéndoles gestionar sus riesgos, notificar los incidentes graves y responsabilizar a la dirección. A continuación te explicamos qué es, a quién afecta, los umbrales, el efecto sobre la cadena de suministro y las obligaciones clave, con el calendario que se maneja en 2026.

Qué es la directiva NIS2

NIS2 es la evolución de la primera directiva NIS de 2016, la primera norma europea que reguló la ciberseguridad de los servicios esenciales. La nueva versión nace porque aquella se quedó corta: pocos sectores, criterios dispares entre países y obligaciones demasiado laxas para un escenario en el que los ciberataques se han multiplicado. NIS2 corrige eso ampliando el ámbito, armonizando las reglas en toda la Unión Europea y subiendo el listón de las exigencias.

La idea de fondo es sencilla: si una empresa presta un servicio del que dependen muchas personas u otras empresas, su seguridad informática deja de ser un asunto privado y pasa a ser de interés general. Por eso la directiva clasifica a las entidades en esenciales (las más críticas) e importantes, con un nivel de supervisión distinto, pero con obligaciones de seguridad muy similares.

Los sectores afectados

NIS2 cubre alrededor de dieciocho sectores, divididos en dos grandes grupos. Por un lado, los sectores de alta criticidad y, por otro, otros sectores críticos. A grandes rasgos, las actividades cubiertas son:

  • Energía (electricidad, gas, petróleo, hidrógeno, calefacción urbana).
  • Transporte (aéreo, ferroviario, marítimo y por carretera).
  • Banca y infraestructuras de los mercados financieros.
  • Sanidad y sector farmacéutico.
  • Agua potable y aguas residuales.
  • Infraestructura digital (centros de datos, proveedores de servicios DNS, redes).
  • Gestión de servicios TIC (proveedores gestionados y de seguridad).
  • Administración pública y espacio.
  • Servicios postales y de mensajería.
  • Gestión de residuos.
  • Fabricación y distribución de productos químicos.
  • Producción y distribución de alimentos.
  • Fabricación (sanitarios, electrónica, maquinaria, vehículos, etc.).
  • Proveedores digitales (mercados en línea, buscadores, redes sociales).
  • Investigación.

Si tu actividad encaja en alguno de estos sectores, el siguiente paso es comprobar si superas los umbrales de tamaño. Y si tu negocio se apoya en infraestructura propia, conviene revisar también cómo proteges tus accesos remotos: nuestra página de conexiones seguras explica cómo se asegura el acceso a los sistemas de la empresa.

El umbral: más de 50 empleados o 10 millones de euros

NIS2 aplica, con carácter general, la regla de tamaño de las medianas empresas. Es decir, una entidad entra en el ámbito si cumple a la vez que pertenece a un sector cubierto y que supera, al menos, uno de estos umbrales:

  • Más de 50 empleados, o bien
  • Más de 10 millones de euros de volumen de negocio anual o de balance general.

Por debajo de esos umbrales, las microempresas y pequeñas empresas quedan, en principio, fuera del ámbito directo de la directiva. Hay, sin embargo, excepciones importantes: ciertas entidades se consideran críticas con independencia de su tamaño (por ejemplo, algunos proveedores de infraestructura digital o servicios esenciales para el Estado). Por eso el tamaño es una guía útil, pero no una respuesta definitiva: la clasificación final depende del sector y de cómo lo concrete la transposición española.

En la práctica: la duda «¿me obliga NIS2?» no se resuelve solo mirando la plantilla. Hay que cruzar tres cosas: sector de actividad, tamaño de la empresa y el papel que juega tu organización en la cadena. Cuando alguna de las tres no está clara, lo prudente es confirmarlo antes de dar nada por sentado.

El efecto cadena de suministro: por qué te puede afectar aunque no estés obligado

Una de las novedades más relevantes de NIS2 es que obliga a las entidades incluidas a gestionar los riesgos de seguridad de sus proveedores. Esto significa que una empresa obligada no solo tiene que proteger sus propios sistemas, sino también vigilar la seguridad de quienes le prestan servicios tecnológicos, logísticos o de cualquier tipo que pueda afectar a su operativa.

El resultado es un efecto en cascada: aunque tu empresa sea pequeña y no esté obligada directamente, si trabajas como proveedor de una entidad que sí lo está, es muy probable que esta te traslade requisitos de seguridad mediante contratos, cuestionarios o auditorías. Demostrar que tienes buenas prácticas de ciberseguridad puede convertirse, de hecho, en una condición para mantener al cliente. En este sentido, NIS2 está empujando a todo el tejido empresarial a subir el nivel, no solo a las grandes compañías.

Obligaciones clave

NIS2 no impone una lista cerrada de productos que comprar, sino un conjunto de medidas de gestión de riesgos proporcionadas al tamaño y la actividad de cada entidad. Las principales obligaciones son:

  • Análisis y gestión de riesgos: identificar qué puede fallar y cómo se mitiga, con políticas de seguridad documentadas.
  • Notificación de incidentes: comunicar a la autoridad competente los incidentes significativos en plazos breves (una alerta temprana inicial y, después, informes más detallados).
  • Continuidad de negocio: copias de seguridad, recuperación ante desastres y gestión de crisis para poder seguir operando tras un ataque.
  • Seguridad de la cadena de suministro: evaluar y exigir seguridad a proveedores, como hemos visto.
  • Control de accesos e higiene básica: autenticación multifactor, gestión de identidades, cifrado y mantenimiento de sistemas.
  • Formación y concienciación: el personal, empezando por la dirección, debe estar formado en ciberseguridad.
  • Responsabilidad de la dirección: los órganos de gobierno aprueban y supervisan las medidas, y pueden responder por su incumplimiento.

Un buen punto de partida para saber dónde estás es una auditoría de seguridad que mida tu situación actual frente a estas exigencias. Y como la notificación rápida de incidentes es una de las obligaciones más estrictas, conviene tener preparado de antemano un plan de respuesta ante incidentes que defina quién hace qué cuando algo va mal.

Fechas y situación en España (2026)

La directiva NIS2 fija como referencia europea octubre de 2024 para su transposición a las legislaciones nacionales. En España, la norma que la incorpora a nuestro ordenamiento se ha ido tramitando con posterioridad, por lo que durante 2026 las empresas afectadas están en plena fase de adaptación. El detalle de plazos, registros y obligaciones concretas se fija en la legislación española de transposición, y puede ajustarse, de modo que conviene confirmar el calendario vigente aplicable a tu caso.

Más allá de la fecha exacta, el mensaje práctico es claro: adaptarse a NIS2 lleva tiempo, porque combina medidas técnicas y organizativas, y no es algo que se resuelva en una semana. Por eso lo razonable es no esperar al último momento y empezar pronto con un diagnóstico honesto. Si quieres una visión más amplia de por dónde empezar en ciberseguridad, puede ayudarte nuestro artículo sobre ciberseguridad para pymes.

Conviene insistir en una cosa: NIS2 es una norma compleja, en la que se cruzan la parte legal y la técnica, y este artículo es una orientación general, no asesoramiento jurídico. Para saber con seguridad si tu empresa está obligada y qué medidas concretas necesitas, lo sensato es apoyarse en profesionales que conozcan ambas caras del problema y que puedan acompañarte en la implantación.

Preguntas frecuentes

¿NIS2 obliga a las pymes?

Como regla general, NIS2 se aplica a las medianas y grandes empresas (más de 50 empleados o más de 10 millones de euros de volumen de negocio o balance) que operan en alguno de los sectores cubiertos. Las microempresas y pequeñas empresas quedan, en principio, fuera del ámbito directo, salvo excepciones para entidades consideradas críticas con independencia de su tamaño. Conviene confirmar tu caso concreto, porque la clasificación depende del sector y de la transposición española.

¿En qué se diferencia NIS2 de la primera directiva NIS?

NIS2 amplía considerablemente el número de sectores y entidades afectadas respecto a la primera directiva NIS, introduce la distinción entre entidades esenciales e importantes, refuerza las obligaciones de gestión de riesgos y notificación de incidentes, añade responsabilidad de la dirección y endurece el régimen sancionador. En la práctica, alcanza a muchas más empresas que la norma anterior.

¿Me afecta NIS2 si soy proveedor de una empresa obligada?

Puede afectarte de forma indirecta. NIS2 obliga a las entidades incluidas a gestionar los riesgos de su cadena de suministro, por lo que es habitual que trasladen requisitos de seguridad a sus proveedores mediante contratos, cuestionarios o auditorías. Aunque tu empresa no esté obligada directamente, demostrar buenas prácticas de ciberseguridad puede ser condición para seguir trabajando con clientes que sí lo están.

¿Qué pasa si no cumplo NIS2?

La directiva prevé un régimen sancionador con multas que pueden ser elevadas, además de medidas de supervisión y posible responsabilidad para los órganos de dirección. Las cuantías y el detalle dependen de la transposición española y del tipo de entidad. Más allá de la sanción, el mayor riesgo es sufrir un incidente sin estar preparado. Te recomendamos confirmar el régimen aplicable a tu caso con asesoramiento profesional.

¿Por dónde empiezo para adaptarme a NIS2?

El primer paso es determinar si tu empresa está dentro del ámbito (sector y umbral) y, después, hacer un diagnóstico del estado actual de tu ciberseguridad frente a las obligaciones de la norma. A partir de ahí se prioriza un plan: gestión de riesgos, control de accesos, copias de seguridad, plan de respuesta a incidentes y formación. Lo razonable es empezar pronto y apoyarse en profesionales que conozcan tanto la parte técnica como la organizativa.

¿No sabes si NIS2
obliga a tu empresa?

Analizamos tu sector y tu situación, vemos si estás dentro del ámbito y te decimos qué pasos dar para adaptarte a tiempo. Primera consultoría gratuita y sin compromiso.

Habla con un experto Ver más artículos
info@3lsystems.es · Edificio Algón, Burjassot (Valencia)