La Directiva (UE) 2022/2555 (conocida como NIS2) sustituye a la antigua Directiva NIS de 2016 y obliga a un universo mucho más amplio de empresas a reforzar su ciberseguridad. España la transpuso parcialmente mediante el Real Decreto-ley 7/2025 y mantiene en tramitación la Ley de Coordinación y Gobernanza de la Ciberseguridad. La Comisión Europea abrió procedimiento de infracción contra España por el retraso. Si tu organización tiene 50 o más empleados o factura más de 10 millones de euros y opera en uno de los 18 sectores incluidos, NIS2 te aplica.
En esta guía explicamos qué obligaciones impone NIS2, a quién se aplica en España, los plazos clave de notificación de incidentes (24h / 72h / 1 mes), las multas (hasta 10 millones de euros o el 2% de la facturación mundial) y el checklist técnico de adecuación que aplicamos en proyectos reales.
¿Qué es la Directiva NIS2?
NIS2 es la segunda directiva europea sobre seguridad de redes y sistemas de información, formalmente la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022. Sustituye a la Directiva NIS de 2016 (NIS1) y entró en vigor el 16 de enero de 2023, con plazo de transposición hasta el 17 de octubre de 2024.
Su objetivo es elevar de forma armonizada el nivel mínimo de ciberseguridad en la Unión Europea, ampliando los sectores obligados, endureciendo las medidas técnicas y de gobernanza y unificando los plazos de notificación de incidentes.
De NIS1 a NIS2: por qué cambió
NIS1 mostró tres grandes debilidades:
- Cobertura insuficiente: solo aplicaba a "operadores de servicios esenciales" identificados de forma manual por cada país, lo que generó disparidades enormes entre Estados miembros.
- Régimen sancionador débil: las multas eran muy distintas entre países y rara vez disuasorias.
- Notificación de incidentes inconsistente: los plazos y formatos variaban, dificultando la respuesta coordinada europea.
NIS2 corrige los tres frentes: define categorías automáticas según sector y tamaño, fija multas mínimas armonizadas y establece un régimen único de notificación 24h/72h/1 mes.
Estado de la transposición en España (mayo 2026)
España incumplió el plazo del 17 de octubre de 2024. La Comisión Europea abrió procedimiento de infracción y en 2025 elevó el caso al Tribunal de Justicia de la UE, junto a otros Estados miembros también retrasados.
Hitos clave del proceso español:
| Fecha | Hito |
|---|---|
| 17 oct 2024 | Vence el plazo europeo de transposición |
| 28 ene 2025 | Aprobación del Real Decreto-ley 7/2025, que transpone parcialmente NIS2 |
| 2025 | Tramitación parlamentaria del proyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad |
| 2025-2026 | Continuidad del procedimiento de infracción ante TJUE |
Nota: el estado normativo evoluciona. Verifica siempre la versión consolidada en el BOE y los avisos del INCIBE-CERT antes de tomar decisiones operativas.
Consecuencias del retraso
El retraso no exonera a las empresas. Las obligaciones del Real Decreto-ley 7/2025 y del propio Reglamento DORA son exigibles desde su entrada en vigor. Adicionalmente, los reguladores y los clientes europeos están aplicando criterios coherentes con la directiva, sin esperar a la transposición plena.
¿A quién aplica NIS2 en España?
NIS2 introduce dos categorías de entidades obligadas, basadas en una combinación de sector y tamaño.
Entidades esenciales (Anexo I: 11 sectores)
Aplica a empresas medianas o grandes (≥ 50 empleados o > 10 M€ facturación) en estos sectores:
- Energía (electricidad, gas, petróleo, hidrógeno, calefacción urbana)
- Transporte (aéreo, ferroviario, marítimo, carretera)
- Banca
- Mercados financieros
- Sanidad (hospitales, laboratorios, fabricación de medicamentos críticos)
- Agua potable
- Aguas residuales
- Infraestructura digital (DNS, TLD, IXP, cloud, data centers, CDN, servicios de confianza)
- Gestión de servicios TIC B2B (MSP/MSSP)
- Administración pública (con excepciones de seguridad nacional)
- Espacio
Entidades importantes (Anexo II: 7 sectores)
Aplica a empresas medianas o grandes en estos sectores:
- Servicios postales y de mensajería
- Gestión de residuos
- Productos químicos
- Producción y distribución de alimentos
- Fabricación (productos sanitarios, ordenadores, equipos eléctricos, vehículos, otra maquinaria)
- Proveedores digitales (mercados en línea, motores de búsqueda, plataformas sociales)
- Investigación
¿Estoy obligado si soy PYME?
Por defecto NIS2 no aplica a microempresas y pequeñas empresas (menos de 50 empleados y ≤ 10 M€ facturación), salvo excepciones tasadas:
- Proveedores únicos de un servicio en el Estado miembro
- Operadores de DNS, TLD, registros de nombres de dominio
- Proveedores cualificados de servicios de confianza
- Entidades cuya interrupción afecte a la seguridad pública
- Administraciones públicas
Si tu empresa suministra a una entidad obligada NIS2, no estás bajo NIS2 directamente, pero tu cliente debe gestionar el riesgo de su cadena de suministro: en la práctica, te exigirán contractualmente medidas equivalentes.
Las obligaciones clave del artículo 21
NIS2 detalla en su artículo 21 las áreas mínimas obligatorias que toda entidad obligada debe cubrir con medidas técnicas, operativas y organizativas.
1. Análisis de riesgos y políticas de seguridad
Política de seguridad aprobada por dirección, análisis de riesgos vivo, criterios de tratamiento documentados.
2. Gestión de incidentes
Procedimiento documentado de detección, clasificación, respuesta y comunicación. Conexión con notificación 24h/72h.
3. Continuidad de actividad
Copias de seguridad, recuperación tras desastre, gestión de crisis. RTO y RPO por servicio crítico, BCP/DRP probados.
4. Seguridad de la cadena de suministro
Inventario de proveedores TIC críticos, evaluación periódica, cláusulas contractuales y consideración del riesgo de concentración. Es una de las novedades más importantes respecto a NIS1.
5. Seguridad en adquisición, desarrollo y mantenimiento
SDLC seguro, gestión de vulnerabilidades, política de divulgación responsable, gestión segura de cambios y configuración.
6. Evaluación de eficacia
Auditorías internas, pentesting, métricas de seguridad y revisión por la dirección. Es la palanca que diferencia un cumplimiento real de uno cosmético.
7. Ciberhigiene básica y formación
Formación obligatoria del personal con campañas de phishing simulado y, específicamente para el órgano de dirección, formación periódica documentada.
8. Criptografía y cifrado
Estándares de criptografía corporativos, gestión de claves, cifrado en reposo y en tránsito.
9. Recursos humanos, control de acceso y gestión de activos
Verificación de antecedentes, segregación de funciones, IAM, inventario de activos.
10. Autenticación multifactor y comunicaciones seguras
MFA en accesos privilegiados y remotos, comunicación cifrada, canales out-of-band para emergencias.
Notificación de incidentes graves: 24h / 72h / 1 mes
NIS2 unifica el régimen de notificación con tres hitos obligatorios:
| Plazo | Acción |
|---|---|
| 24 horas desde el conocimiento | Alerta temprana al CSIRT competente con indicación de si el incidente puede ser causado por actos ilícitos o de naturaleza maliciosa, e impacto transfronterizo |
| 72 horas | Notificación de incidente con evaluación inicial, severidad, impacto, indicadores de compromiso (IoC) si los hay y medidas adoptadas |
| 1 mes | Informe final con descripción detallada, causa raíz, medidas correctivas e impacto transfronterizo |
Aviso: si el incidente afecta a datos personales, se activa en paralelo la notificación a la AEPD (RGPD art. 33) en 72h. Son procedimientos independientes que pueden generar sanciones acumulables.
Para entidades del sector financiero sometidas al Reglamento DORA, el régimen DORA es lex specialis y prevalece.
Régimen sancionador: multas y responsabilidades
| Categoría | Multa máxima |
|---|---|
| Entidades esenciales | Hasta 10 millones de euros o el 2% de la facturación mundial total anual, lo que sea mayor |
| Entidades importantes | Hasta 7 millones de euros o el 1,4% de la facturación mundial total anual, lo que sea mayor |
Adicionalmente, las autoridades pueden:
- Suspender temporalmente certificaciones o autorizaciones
- Prohibir el ejercicio de funciones directivas (inhabilitación) a personas físicas responsables del incumplimiento
- Publicar sanciones de forma nominativa
- Imponer multas coercitivas diarias hasta el cumplimiento
La responsabilidad personal de directivos es uno de los cambios más relevantes y obliga a los consejos a documentar de forma trazable su due diligence en ciberseguridad.
Checklist técnico de adecuación a NIS2
Esta es la metodología que aplicamos en proyectos reales de adecuación NIS2. Hay una guía dedicada en Auditoría NIS2: cómo prepararse paso a paso con la versión completa.
Paso 1: Determinación de aplicabilidad y categoría
- Revisión de actividades CNAE/NACE frente a Anexos I y II
- Cómputo consolidado de empleados y facturación a nivel de grupo
- Identificación de filiales y entidades del grupo afectadas
- Confirmación con la autoridad competente cuando hay duda razonable
Entregable: documento formal de aplicabilidad firmado por el órgano de dirección.
Paso 2: GAP analysis frente al artículo 21
- Mapeo de los 10 dominios del artículo 21 contra los controles existentes
- Recolección de evidencias actuales (políticas, registros, configuraciones)
- Clasificación de gaps por criticidad y esfuerzo
- Comparativa con marcos existentes: ISO 27001:2022, ENS Real Decreto 311/2022, NIST CSF 2.0
Si tienes ISO 27001:2022 implantada, partes de aproximadamente un 65-75% del camino. Los huecos típicos son notificación 24h/72h, gestión formal de cadena de suministro y formación específica del consejo. Detalle completo en ISO 27001 + NIS2.
Paso 3: Auditoría técnica
NIS2 no exige una "certificación NIS2" formalmente, pero sí evaluar la eficacia. En la práctica:
- Pentesting de aplicaciones y perímetros relevantes
- Auditoría de arquitectura y segmentación
- Revisión de la cadena de suministro TIC
- Threat modeling de los servicios cuya interrupción supondría incidente significativo
Paso 4: Plan de notificación de incidentes
- Procedimiento documentado 24h/72h/1 mes
- Plantillas de notificación al CSIRT competente
- Designación de roles (Incident Response Manager, portavoz, asesoría jurídica)
- Conexión con el plan de continuidad y crisis
- Simulacros mínimo anuales
Paso 5: Programa de cadena de suministro
- Inventario priorizado de proveedores TIC críticos
- Cláusulas tipo NIS2 en contratos nuevos y renovaciones
- Cuestionarios anuales de seguridad y evidencias asociadas
- Threat modeling continuo por equipo de producto/servicio crítico
Errores frecuentes detectados en auditorías
- Subestimar la aplicabilidad por filial extranjera: las entidades europeas computan a nivel de grupo cuando la prestación del servicio se hace en la UE.
- Confundir notificación NIS2 con la AEPD: son procedimientos independientes; un incidente con datos personales obliga a ambos.
- Apoyarse solo en la cláusula contractual con proveedores: NIS2 exige verificación, no solo declaración firmada.
- No formar al órgano de dirección: la formación específica del consejo es obligatoria y revisable.
- Tratar la notificación de 24h como informativa: la alerta temprana es una obligación legal con consecuencias sancionadoras si se omite.
- No conservar trazabilidad de las decisiones del consejo: la responsabilidad personal exige actas y evidencia de due diligence.
Preguntas frecuentes
¿Está NIS2 transpuesta en España?
Está transpuesta parcialmente mediante el Real Decreto-ley 7/2025. Está en tramitación la Ley de Coordinación y Gobernanza de la Ciberseguridad que completará la transposición. La Comisión Europea mantiene procedimiento de infracción contra España hasta que la transposición sea plena.
¿A qué empresas aplica NIS2 en España?
A entidades de los sectores listados en los Anexos I y II con 50+ empleados o > 10 M€ de facturación, además de excepciones tasadas para PYMEs en sectores muy críticos (DNS, TLDs, servicios de confianza cualificados, AAPP, etc.).
¿Cuáles son las multas por incumplir NIS2?
Hasta 10 millones de euros o el 2% de la facturación mundial para entidades esenciales y hasta 7 millones o el 1,4% para importantes. Adicionalmente puede inhabilitarse a directivos para ejercer funciones de dirección.
¿Qué diferencia a NIS2 de NIS1?
NIS2 amplía el universo de obligados, endurece las multas, introduce la responsabilidad personal de directivos, fija plazos armonizados de notificación 24h/72h e incorpora gestión obligatoria de la cadena de suministro. Análisis completo en NIS2 vs NIS1: diferencias clave.
¿Tengo que notificar todos los incidentes en 24 horas?
No. Solo los incidentes graves, definidos como aquellos que han causado o pueden causar interrupciones operativas significativas, pérdidas financieras importantes o afectar a otras personas físicas o jurídicas. Otros incidentes deben registrarse internamente pero no notificarse formalmente.
Si tengo ISO 27001, ¿cumplo con NIS2?
Parcialmente. ISO 27001:2022 cubre alrededor del 70% de las obligaciones del artículo 21. Los huecos típicos son notificación 24h/72h, gestión formal de cadena de suministro y formación del consejo. Ver guía dedicada en ISO 27001 + NIS2.
Adecua tu organización a NIS2 con Secra
La Directiva NIS2 representa el mayor cambio regulatorio en ciberseguridad de la última década en Europa. Para las empresas españolas, la combinación del retraso en la transposición y la presión de la Comisión Europea crea un escenario donde la preparación anticipada es la mejor estrategia.
En Secra acompañamos a organizaciones en todo el proceso de adecuación a NIS2: desde el análisis de aplicabilidad y el GAP analysis frente al artículo 21 hasta la implementación técnica y la realización de auditorías de seguridad ofensivas que validan la eficacia real de las medidas.
→ Conoce nuestro servicio especializado en NIS2
→ Solicita una conversación inicial sin compromiso
Lecturas relacionadas del cluster compliance
- Reglamento DORA: alcance, plazos y obligaciones
- Auditoría NIS2: cómo prepararse paso a paso
- DORA vs NIS2: cuándo aplica cada uno
- Directiva NIS2: a quién aplica, multas y plazos
- NIS2 vs NIS1: diferencias clave
- ISO 27001 + NIS2: cómo se complementan
- Esquema Nacional de Seguridad (ENS): requisitos y categorización
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.