Empresa de Mantenimiento Informático especializada en PYMES de 10-200 empleados en Madrid, Leganés y toda la Comunidad
914 024 471
914 024 471

NIS2 en España 2026: qué tiene que hacer tu pyme ahora

Tabla de contenidos

La Directiva NIS2 (EU 2022/2555) es la normativa europea de ciberseguridad que amplía el alcance de NIS1 para incluir a más sectores y, por primera vez, a empresas medianas con más de 50 empleados o 10 millones de euros de facturación. Exige implementar medidas de gestión de riesgos, notificar incidentes graves al INCIBE-CERT en menos de 24 horas y gestionar activamente la seguridad de la cadena de suministro. España está completando su transposición durante 2025-2026. Para pymes en sectores regulados —energía, transporte, salud, TIC— el incumplimiento puede implicar sanciones de hasta 10 millones de euros o el 2% de la facturación global, con responsabilidad personal de los directivos.

RESUMEN RÁPIDO

  • Qué es: Directiva UE de ciberseguridad que amplía NIS1 a más sectores y pymes medianas
  • A quién aplica: Empresas medianas (+50 empleados o +10M€ facturación) en sectores críticos
  • Obligación clave: Notificar incidentes graves al INCIBE-CERT en menos de 24 horas
  • Sanción máxima: Hasta 10M€ o 2% de facturación global (entidades esenciales)
  • Novedad: Responsabilidad personal de los directivos en caso de incumplimiento
Datos y estadísticas clave

  • Solo el 38% de las empresas medianas en sectores NIS2 tenían medidas de gestión de riesgos adecuadas en 2024 (ENISA NIS2 Readiness Report 2024).
  • El tiempo medio de detección de incidentes sin monitorización activa es de 197 días — muy por encima del plazo de 24 horas que exige NIS2 (IBM Cost of a Data Breach 2024).
  • Las sanciones NIS2 alcanzan hasta 10M€ o el 2% de la facturación global para entidades esenciales, y 7M€ o el 1,4% para entidades importantes (Directiva UE 2022/2555, art. 34).
  • España no ha publicado NIS2 en el BOE. El Anteproyecto de Ley está en tramitación y se espera que entre en vigor durante 2026, pero las obligaciones de la directiva europea y la supervisión de INCIBE y CCN ya están activas.
  • El perímetro pasa de menos de 1.000 a unas 12.000 entidades en 18 sectores. Muchas pymes industriales, proveedores de servicios TI y administraciones regionales entran por primera vez.
  • Sanciones previstas: hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales; hasta 7 millones o el 1,4% para entidades importantes.
  • Tres pasos que tu pyme puede hacer este mes sin esperar al BOE: análisis de gaps, nombrar responsable de seguridad y revisar contratos con proveedores TI.
  • Si das servicio a una entidad esencial (banca, sanidad, energía, administración), la obligación te llega por la cadena de suministro aunque no estés tú directamente en la lista.

NIS2 lleva en vigor a nivel europeo desde 2023 y la mayoría de pymes españolas que entran en su ámbito aún no tiene ni designado un responsable de ciberseguridad. En 2026 eso deja de ser un descuido: es el primer punto que va a mirar cualquier auditor.

Una empresa de servicios industriales de 90 personas en Getafe nos llamó en febrero. El director general había recibido un correo de un cliente grande pidiéndole que rellenase un cuestionario de seguridad de 47 preguntas para renovar el contrato anual. Ese cuestionario era NIS2 entrando por la cadena de suministro. La empresa no había oído hablar de la directiva, no tenía responsable de seguridad nombrado, y el contrato eran 1,3 millones de euros al año.

Te cuento qué hicimos en las cuatro reuniones siguientes, qué te aplica a ti y los tres pasos que tu pyme puede dar ya, aunque la ley aún no esté en el BOE.

¿Qué es NIS2 y por qué te llega ahora si tienes una pyme?

NIS2 es la Directiva (UE) 2022/2555 del Parlamento Europeo, conocida como NIS2 (Network and Information Security 2). Sustituye a la NIS original de 2016 y obliga a las empresas que considera críticas para la economía o la sociedad a tener medidas concretas de ciberseguridad y a notificar incidentes en plazos cortos.

España debía haber publicado la transposición antes de octubre de 2024 y no lo hizo. El Anteproyecto de Ley se aprobó en el Consejo de Ministros en enero de 2025 y sigue su tramitación parlamentaria. Se espera que entre en vigor durante 2026, pero la fecha exacta en el Boletín Oficial del Estado (BOE) no está cerrada cuando escribimos esto.

NIS2 explicada en una frase para tu próximo consejo

NIS2 te dice que tu empresa tiene que tener un responsable de ciberseguridad, una lista de medidas mínimas implantadas y la obligación de avisar a la autoridad en 24 horas si te entra un incidente. Si no, hay multa.

La parte que sorprende a todo el mundo: aunque la ley española no esté publicada, INCIBE y el CCN-CERT ya operan como autoridades supervisoras y la directiva europea es directamente aplicable en muchas de sus partes. Si te llega una auditoría o un cliente grande pidiendo evidencias, no vale «es que aún no está en el BOE».

¿Mi pyme entra en NIS2? Los 18 sectores y el efecto cadena de suministro

NIS2 amplía mucho el perímetro. Pasamos de menos de 1.000 entidades obligadas a unas 12.000 según los cálculos manejados por las autoridades españolas. Eso ocurre porque la directiva añade sectores que antes no estaban: fabricación de productos químicos, alimentación, fabricantes de maquinaria, gestión de residuos, servicios postales, proveedores digitales, administraciones regionales y locales, entre otros.

Sectores afectados por NIS2 en España 2026
Los 18 sectores afectados por NIS2 en España. La cadena de suministro arrastra a muchas pymes.

Entidad esencial vs entidad importante: qué cambia para ti

La directiva clasifica a las entidades obligadas en dos cajas:

  • Entidades esenciales: las grandes y las críticas. Energía, banca, sanidad, agua, transporte, infraestructuras digitales mayores. Más controles previos y multas más altas.
  • Entidades importantes: el resto del perímetro. Industria manufacturera mediana, proveedores TI, gestoras de residuos, sector químico, alimentación, servicios postales. Controles ex-post (auditan si pasa algo) y multas más bajas, pero igualmente reales.

Para una pyme española de 50-200 empleados, lo más probable es que entres como entidad importante si tu sector está en la lista. La diferencia con NIS1 es que el corte por tamaño se ha bajado: muchas empresas que antes no entraban, ahora sí.

El efecto cadena: por qué entras aunque no aparezcas en la lista

Aquí está el detalle que pilla a más de la mitad de los DG con los que hablamos. Aunque tu sector no esté en la lista de NIS2, si das servicio a una entidad obligada, esa entidad va a exigirte cumplimiento contractual. Es el mismo modelo que hizo el RGPD con los encargados de tratamiento.

Los proveedores TI de banca, sanidad o administración pública están recibiendo cuestionarios de seguridad este trimestre. Las empresas de logística que sirven a la industria farmacéutica también. Y los despachos jurídicos que llevan los expedientes de un grupo eléctrico, lo mismo.

Si tienes un cliente grande que te pide cualquier cosa que se parezca a un due diligence de seguridad, NIS2 ya está en tu mesa.

Sanciones: 10 millones de euros o el 2% de la facturación, y por qué afectan al consejo

Las sanciones previstas son altas y, lo que cambia el cálculo, pueden alcanzar a los miembros del órgano de dirección personalmente.

  • Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación global anual, lo que sea mayor.
  • Entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación global anual, lo que sea mayor.

Para que se entienda: una pyme española de servicios con 8 millones de facturación que entrase como entidad importante se expone hasta un 1,4% — unos 112.000 euros de multa máxima por un incumplimiento grave. No es la multa lo que duele más; es la documentación que vas a tener que enseñar al auditor de tu seguro de responsabilidad civil al año siguiente.

💡 Caso real: a un cliente nuestro del sector de servicios profesionales le pidió el banco un certificado de cumplimiento NIS2 en marzo. No tenía nada documentado. Tardamos seis semanas en armar la evidencia mínima. Si lo hubiéramos empezado en enero, habrían sido tres.

La parte que casi nunca aparece en los artículos: la responsabilidad personal del órgano de dirección. NIS2 obliga a que el consejo apruebe formalmente las medidas de ciberseguridad y reciba formación. Si no lo hace y entra un incidente, la sanción puede tocar también al órgano de gobierno, no solo a la sociedad.

Los 3 pasos que tu pyme tiene que hacer este mes (aunque la ley aún no esté en el BOE)

Esto es lo que hacemos con los clientes que nos llegan con el cuestionario del cliente grande encima de la mesa. No hace falta esperar al BOE. Empieza por aquí.

Tres pasos para preparar tu pyme para NIS2 antes del BOE
Tres pasos accionables: gap analysis, nombrar responsable y revisar contratos con proveedores TI.

Paso 1: gap analysis en 5 áreas

Un análisis de gaps es ver qué te falta frente a la lista oficial. NIS2 marca medidas mínimas en cinco áreas: gobernanza (quién decide), gestión de riesgos (qué te puede pasar y cómo lo controlas), gestión de incidentes (qué haces cuando te entra), continuidad de negocio (qué pasa si paras) y cadena de suministro (qué exiges a tus proveedores).

En la práctica, el gap analysis se cierra en 3-4 reuniones con el equipo directivo y un técnico que conozca el detalle de tu IT. Sale una matriz con tus controles actuales, los que te faltan y la prioridad. Si ya tienes la ISO 27001 o la ISO 27002, vas con ventaja: una buena parte del trabajo ya está hecha. Si no, una auditoría de ciberseguridad bien hecha cubre el 80% de NIS2 porque las medidas son, en buena parte, las mismas que las de un Esquema Nacional de Seguridad (ENS) o el modelo Zero Trust que ya recomendamos. Si llegas tarde y necesitas defensa por capas mínima, el modelo Zero Trust te da el 60% de los controles de NIS2 en un solo proyecto.

Paso 2: nombrar un responsable (no tiene que ser un técnico)

NIS2 obliga a nombrar a una persona responsable de ciberseguridad. Lo que sorprende es que no tiene que ser un técnico. Tiene que ser alguien con autoridad para tomar decisiones, presentarlas al consejo y exigir cumplimiento al resto de la organización.

En pymes de 20-200 empleados los perfiles que vemos asumir el rol son: el director general, el director financiero, el director de operaciones o, cuando hay mucho volumen documental, el secretario del consejo. La parte técnica la lleva un proveedor MSSP — en nuestro caso, un vCIO de Libertia IT que se reúne con el responsable nombrado cada mes y le da la documentación lista para presentar al consejo.

Lo que no debes hacer: nombrar al «informático» o al técnico interno junior. Si no tiene autoridad sobre el resto del comité de dirección, NIS2 no te lo va a aceptar y es muy probable que la decisión muera la primera vez que se cruza con presupuestos.

Paso 3: revisar los contratos con tus proveedores TI

NIS2 te hace responsable de la cadena de suministro. Eso significa que tu MSP, tu proveedor de cloud, el de email, el de ERP y cualquier proveedor con acceso a datos relevantes tiene que tener las medidas alineadas con las tuyas — y tú tienes que poder demostrarlo.

Las preguntas mínimas que tienes que poder contestar:

  • ¿Mi proveedor TI tiene un plan de respuesta a incidentes documentado?
  • ¿Me notifica los incidentes que afectan a mis datos en menos de 24 horas?
  • ¿Tiene Multi-Factor Authentication (MFA — el código que llega al móvil al entrar) activado para todas las cuentas privilegiadas?
  • ¿Hace copias de seguridad con la regla 3-2-1 y las prueba?
  • ¿Tiene certificación ISO 27001, ENS o equivalente?

Si tu proveedor actual no responde a esto en una semana, tienes un problema y, probablemente, una conversación pendiente.

El detalle que cambia las reglas: la responsabilidad personal del órgano de dirección

Vuelvo a la parte que dijimos antes y que merece sección propia, porque es la que cambia la conversación con el consejo.

NIS2 introduce dos obligaciones nuevas para los órganos de dirección de las entidades obligadas:

  1. Aprobar formalmente las medidas de ciberseguridad y revisarlas periódicamente. No vale «lo lleva IT». El acta del consejo tiene que recogerlo.
  2. Recibir formación específica en gestión de riesgos de ciberseguridad. Hay que poder demostrar que el órgano de dirección sabe lo que aprueba.

En la práctica esto significa que tu consejo tiene que sentarse, mirar la matriz de riesgos cibernéticos, decidir qué hace con cada uno y dejarlo escrito. Y que los miembros del consejo tienen que pasar por una formación — corta, dirigida a directivos, no técnica — al menos una vez al año.

Para muchas pymes españolas, esto es la primera vez que la ciberseguridad entra formalmente en el orden del día del consejo. La buena noticia: cuando entra, las decisiones se toman más rápido y mejor. Lo hemos visto con nuestros clientes en los últimos 12 meses — los que cumplían NIS2 antes de tiempo, llegaron al cuestionario del cliente grande sin sudores.

Próximo paso

A la empresa de Getafe del principio le pidió el cliente grande el cuestionario el 11 de febrero. Cerramos su gap analysis el 6 de marzo, nombramos al director financiero como responsable de seguridad, redactamos las cláusulas que tenían que firmar sus proveedores de IT y de cloud, y entregamos las evidencias el 24 de marzo. Renovaron el contrato el 28. Inversión: menos del 1% de lo que hubieran perdido si no llegan a tiempo.

Si tu pyme entra en el perímetro NIS2 — directamente o por cadena de suministro — y no has hecho el gap analysis, ese es el paso de esta semana. No hace falta que lo hagamos nosotros. Hace falta que alguien lo haga.

Si quieres que lo hagamos juntos, agenda 30 minutos con un vCIO de Libertia y te dejamos la matriz de gaps de partida sin compromiso.

Agenda 30 minutos con un vCIO de Libertia IT

Fuentes oficiales

Preguntas frecuentes sobre NIS2 para pymes españolas

¿A qué pymes aplica la NIS2 en España?

La NIS2 aplica a empresas medianas (más de 50 empleados o más de 10 millones de euros de facturación) en sectores esenciales: energía, transporte, banca, infraestructuras digitales, gestión de servicios TIC, salud y administración pública. También afecta a proveedores de servicios IT que den soporte a entidades en estos sectores.

¿Cuáles son las principales obligaciones de la NIS2?

Cuatro áreas clave: (1) Gestión de riesgos con medidas técnicas y organizativas documentadas. (2) Notificación de incidentes graves al INCIBE-CERT en menos de 24 horas. (3) Gestión activa de la seguridad en la cadena de suministro digital. (4) Responsabilidad de la dirección: los máximos directivos pueden ser sancionados personalmente.

¿Cuándo entra en vigor la NIS2 en España?

La Directiva NIS2 debía ser transpuesta antes del 17 de octubre de 2024. España está finalizando su transposición durante 2025-2026. Las empresas afectadas deben iniciar su preparación ahora para evitar sanciones cuando la normativa nacional esté plenamente en vigor.

¿Qué diferencia hay entre NIS1 y NIS2?

NIS2 amplía el alcance en tres dimensiones: más sectores (de 7 a 18 categorías), más tamaño de empresa (incluye medianas, antes solo grandes), y requisitos más exigentes: cadena de suministro, notificación de incidentes, responsabilidad directiva. Las sanciones también son más severas.

¿Cómo me preparo para cumplir con la NIS2?

Tres pasos: (1) Verificar si tu empresa entra en el ámbito de aplicación por sector y tamaño. (2) Realizar un gap analysis contra los requisitos de NIS2. (3) Implementar un plan de ciberseguridad que cubra gestión de riesgos, backup, respuesta a incidentes y auditoría de proveedores. Libertia IT realiza diagnósticos NIS2 gratuitos para pymes de Madrid.

Luis Morcillo

CEO & Funder

Linkedin Twitter
Empecé estudiando Empresariales, luego me especialicé en tecnología formando a técnicos en certificaciones Microsoft, y acabé uniendo los dos mundos en Libertia IT.
 
Antes de hablar de tecnología, hay que entender el negocio. Porque la tecnología tiene que adaptarse a ti, no al revés.
 
Trabajo con directivos y empresarios que quieren tener el control de su tecnología sin tener que convertirse en expertos. Les ayudo a entender qué tienen, qué les falta, qué están pagando de más y qué riesgos están asumiendo sin saberlo.
 
Sin tecnicismos. Sin agendas ocultas. De empresario a empresario, de director a director.
 
Si tienes dudas sobre si tu estrategia IT está a la altura de tu plan de negocio, hablamos. 30 minutos.
Reservar una Cita