La Directiva (UE) 2022/2555 (NIS2) es la columna vertebral de la ciberseguridad europea. Aplica a entidades de 18 sectores divididos en Anexo I (esenciales — 11 sectores) y Anexo II (importantes — 7 sectores), con umbral mínimo de 50 empleados o 10 M€ de facturación, salvo excepciones tasadas para PYMEs en sectores críticos (DNS, TLDs, servicios de confianza, AAPP). Las multas alcanzan 10 millones de euros o el 2% de la facturación mundial para esenciales y 7 millones o el 1,4% para importantes, con responsabilidad personal de directivos. El plazo europeo de transposición venció el 17 de octubre de 2024; varios Estados miembros — incluida España — fueron remitidos al TJUE por retraso. Incluso con transposición incompleta, las obligaciones son exigibles desde su efectividad nacional.
Qué es la Directiva NIS2 (Directive (EU) 2022/2555)
NIS2 es la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre medidas para un alto nivel común de ciberseguridad en la Unión. Sustituye a la Directiva NIS de 2016 ("NIS1") y entró en vigor el 16 de enero de 2023.
A diferencia de un Reglamento (como DORA), una Directiva no es directamente aplicable: cada Estado miembro debe transponerla a su ordenamiento jurídico nacional. NIS2 fijó plazo de transposición el 17 de octubre de 2024.
El objetivo declarado es elevar el nivel mínimo de ciberseguridad en la UE de forma armonizada, ampliando los sectores obligados, endureciendo las medidas técnicas y de gobernanza, y unificando los plazos de notificación de incidentes.
Calendario de la Directiva
| Hito | Fecha |
|---|---|
| Aprobación por Parlamento Europeo y Consejo | 14 dic 2022 |
| Publicación en DOUE | 27 dic 2022 |
| Entrada en vigor | 16 ene 2023 |
| Plazo de transposición a normativa nacional | 17 oct 2024 |
| Fecha en que las obligaciones nacionales debían ser plenamente aplicables | 18 oct 2024 |
| Procedimientos de infracción de la Comisión Europea | 2024-2025 (varios Estados retrasados) |
| Primera revisión periódica de la Directiva por la Comisión | 17 oct 2027 |
Estado de transposición por país de la UE (resumen mayo 2026)
| Estado | Estado de transposición |
|---|---|
| Alemania | Transpuesto (NIS2UmsuCG) |
| Francia | Transpuesto (loi de résilience opérationnelle numérique) |
| Italia | Transpuesto (Decreto Legislativo 138/2024) |
| Países Bajos | Transpuesto (Cyberbeveiligingswet) |
| Bélgica | Transpuesto (loi NIS2) |
| España | Parcialmente transpuesto (Real Decreto-ley 7/2025 + Ley en tramitación) |
| Portugal | En tramitación |
| Polonia | Transpuesto |
| Países nórdicos | Transpuestos en su mayoría |
| Otros | Estados con retrasos puntuales referidos al TJUE |
Verifica el estado actualizado consultando el Registro de Cumplimiento de la Comisión Europea o las publicaciones de ENISA antes de tomar decisiones operativas.
Ámbito de aplicación: sectores y umbrales
NIS2 funciona con dos criterios combinados:
- Sector (encaje en Anexos I o II)
- Tamaño (mediana o gran empresa según Recomendación 2003/361/CE: ≥50 empleados o >10 M€ facturación)
Si encajas en ambos, NIS2 te aplica.
Anexo I — Entidades esenciales (11 sectores)
| Sector | Subsectores |
|---|---|
| Energía | Electricidad, sistemas urbanos de calefacción y refrigeración, petróleo, gas, hidrógeno |
| Transporte | Aéreo, ferroviario, marítimo y por vías navegables, por carretera |
| Banca | Entidades de crédito |
| Mercados financieros | Centros de negociación, contrapartes centrales |
| Sanidad | Prestadores de asistencia sanitaria, laboratorios de referencia, fabricación de productos farmacéuticos básicos, fabricación de productos sanitarios críticos |
| Agua potable | Suministro y distribución |
| Aguas residuales | Recogida, eliminación o tratamiento |
| Infraestructura digital | Proveedores de IXP, DNS, registros TLD, cloud, data centers, redes de distribución de contenido (CDN), servicios de confianza, redes de comunicaciones públicas |
| Gestión de servicios TIC B2B | Proveedores de servicios gestionados (MSP), proveedores de servicios de seguridad gestionados (MSSP) |
| Administración pública | Entidades de la administración central y regional (con excepciones de seguridad nacional) |
| Espacio | Operadores de infraestructuras terrestres |
Anexo II — Entidades importantes (7 sectores)
| Sector | Subsectores |
|---|---|
| Servicios postales y de mensajería | Operadores con cobertura amplia |
| Gestión de residuos | Recogida, transporte, valorización, eliminación |
| Productos químicos | Fabricación, producción, distribución |
| Producción y distribución de alimentos | Cadena agroalimentaria a partir de cierto tamaño |
| Fabricación | Productos sanitarios y diagnóstico in vitro, ordenadores y productos electrónicos, equipos eléctricos, otra maquinaria, vehículos de motor y componentes, otros equipos de transporte |
| Proveedores digitales | Mercados en línea, motores de búsqueda, plataformas de servicios de redes sociales |
| Investigación | Organismos de investigación |
Criterios de tamaño y excepciones
Regla general (criterio Recomendación 2003/361/CE):
- Mediana empresa: 50-249 empleados, hasta 50 M€ facturación, hasta 43 M€ balance.
- Gran empresa: ≥250 empleados o >50 M€ facturación o >43 M€ balance.
NIS2 se aplica a entidades medianas o grandes en sectores incluidos.
Excepciones tasadas que extienden NIS2 a entidades por debajo del umbral:
- Proveedores únicos de un servicio en el Estado miembro.
- Proveedores de servicios de DNS, TLDs, registros de nombres de dominio.
- Proveedores cualificados de servicios de confianza.
- Entidades cuya interrupción afecte a seguridad pública o suponga riesgo sistémico significativo.
- Administraciones públicas según criterios nacionales.
Régimen sancionador
NIS2 introduce el régimen sancionador más severo hasta la fecha en ciberseguridad europea.
Multas máximas
| Categoría | Multa máxima |
|---|---|
| Entidades esenciales | Hasta 10 millones de euros o el 2% de la facturación mundial total anual del ejercicio anterior, lo que sea mayor |
| Entidades importantes | Hasta 7 millones de euros o el 1,4% de la facturación mundial total anual del ejercicio anterior, lo que sea mayor |
Importante: la multa se calcula sobre facturación del grupo a nivel mundial, no solo sobre la entidad infractora ni sobre la actividad europea.
Otras consecuencias sancionadoras
Además de las multas económicas, las autoridades pueden:
- Suspender temporalmente certificaciones o autorizaciones administrativas
- Prohibir el ejercicio de funciones directivas a personas físicas responsables del incumplimiento (inhabilitación)
- Publicar la sanción de forma nominativa, con efecto reputacional
- Imponer multas coercitivas diarias hasta el cumplimiento efectivo
Responsabilidad personal de directivos
NIS2 establece que el órgano de dirección responde personalmente por:
- Aprobación inadecuada de las medidas de gestión de riesgos
- Falta de supervisión de la ejecución de las medidas
- Falta de formación propia en ciberseguridad
Esta responsabilidad no es asegurable mediante D&O en muchos casos (depende de la legislación nacional). Es uno de los cambios más relevantes y obliga a los consejos a documentar de forma trazable su due diligence en ciberseguridad.
Casos públicos relevantes
A mayo de 2026, las primeras sanciones NIS2 están empezando a publicarse en los Estados miembros con transposición temprana. Alemania ha abierto procedimientos contra varias entidades por falta de notificación de incidentes en plazo. Francia ha emitido apercibimientos formales sobre entidades sin medidas mínimas implantadas. Italia ha iniciado inspecciones sectoriales sobre AAPP regionales.
España, con transposición pendiente, todavía no ha emitido sanciones formales, pero las inspecciones del INCIBE-CERT ya están en curso bajo el RD-ley 7/2025.
Obligaciones esenciales
Aunque la guía completa de obligaciones está en el artículo dedicado a NIS2 España, el núcleo es:
- Marco de gobernanza aprobado y supervisado por el órgano de dirección, con formación específica del consejo.
- Análisis de riesgos vivo y revisado al menos anualmente.
- Diez áreas obligatorias del artículo 21 (políticas, gestión de incidentes, continuidad, cadena de suministro, SDLC, evaluación de eficacia, ciberhigiene, criptografía, RRHH/control de acceso, MFA).
- Notificación de incidentes graves en 24h / 72h / 1 mes.
- Gestión activa de la cadena de suministro TIC.
- Evaluación de eficacia mediante auditorías y pruebas técnicas.
Preguntas frecuentes
¿NIS2 aplica a empresas no UE?
Sí, si prestan servicios dentro de la UE en sectores incluidos. La Directiva contempla la representación designada en un Estado miembro para entidades extranjeras que presten servicios en la UE — en particular DNS, TLDs, cloud, plataformas digitales y MSP/MSSP.
¿NIS2 se aplica retroactivamente?
No. Aplica a incidentes y obligaciones desde su entrada en vigor nacional. Pero el régimen sancionador puede revisar prácticas previas como evidencia de falta de diligencia continuada.
¿Qué pasa si mi proveedor incumple?
Tu obligación bajo el artículo 21 letra d es gestionar el riesgo de cadena de suministro. Si el proveedor incumple y eso te afecta, puedes ser sancionado por falta de diligencia en su selección y supervisión, no por el incumplimiento del proveedor en sí.
¿Las multas son acumulables con RGPD?
Sí. Si un mismo incidente vulnera NIS2 y RGPD (incidente con datos personales), pueden imponerse sanciones por ambas vías de forma independiente, por autoridades distintas.
¿Cómo demostrar diligencia ante una inspección?
Manteniendo evidencias actualizadas: actas del consejo, análisis de riesgos firmados, registros de incidentes y notificaciones, resultados de auditorías y pentesting, plan formativo con asistencia, contratos con cláusulas, evaluaciones periódicas de proveedores. Ver Auditoría NIS2 paso a paso.
¿Qué hago si mi país aún no ha transpuesto?
Las obligaciones derivadas del RD-ley 7/2025 ya son exigibles en España. Adicionalmente, los clientes europeos te exigirán medidas equivalentes a NIS2 por contrato, sin esperar a la transposición plena. La estrategia operativa: prepararse como si la transposición plena estuviera en vigor.
¿Las administraciones públicas españolas están bajo NIS2 o ENS?
Ambas. ENS (Real Decreto 311/2022) es el marco específico nacional; NIS2 es el marco europeo. La tendencia regulatoria es integrar ambos: cumplir ENS Alta cubre buena parte de NIS2 para AAPP, pero quedan obligaciones adicionales (notificación armonizada, formación específica del consejo, cadena de suministro).
Adecua tu organización a la Directiva NIS2 con Secra
En Secra realizamos análisis de aplicabilidad NIS2 multi-jurisdicción, evaluación frente al artículo 21 y plan de adecuación con roadmap.
→ Conoce nuestro servicio de cumplimiento NIS2
→ Solicita una conversación inicial sin compromiso
Lecturas relacionadas
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.
Conoce al equipo →