NIS2 España: cumplimiento, normativa y plazos

Q: ¿Qué empresas deben cumplir con la NIS2?

La directiva se aplica a empresas medianas y grandes con al menos 50 empleados o una facturación igual o superior a 10 millones de euros, que operen en sectores críticos definidos en los Anexos I y II de NIS2.

Q: ¿Cómo saber si me aplica la NIS2?

Debes comprobar si tu actividad está incluida en los sectores críticos de los Anexos I o II, y si cumples los criterios de tamaño o relevancia estratégica definidos por la directiva.

Q: ¿Qué obligaciones impone la NIS2?

La NIS2 exige medidas de gestión del riesgo, políticas de ciberseguridad, controles en la cadena de suministro, notificación de incidentes, y responsabilidad directa de la alta dirección.

Q: ¿Qué responsabilidades tiene la alta dirección?

Los órganos de dirección deben aprobar las medidas de seguridad, supervisar su ejecución y recibir formación en ciberseguridad. Pueden ser sancionados en caso de incumplimiento.

Q: ¿Qué plazos establece NIS2 para notificar incidentes?

La alerta temprana debe notificarse en 24 horas, la notificación completa en 72 horas, y el informe final como máximo un mes después del incidente.

Q: ¿Qué sanciones prevé NIS2 por incumplimiento?

Las multas pueden alcanzar los 10 millones de euros o el 2 % del volumen de negocio mundial para entidades esenciales, y 7 millones de euros o el 1,4 % para entidades importantes.

Q: ¿Qué norma española transpone la NIS2?

España ha iniciado la transposición de la NIS2, con organismos como INCIBE y la AEPD implicados. El desarrollo normativo final puede variar según el sector afectado.

NIS2 es la directiva europea que eleva el nivel de ciberseguridad y amplía su alcance por sectores y tamaño empresarial. Para las entidades afectadas, la conformidad se articula sobre una sólida gobernanza de datos y procesos organizacionales, esencial para identificar activos críticos, gestionar sus riesgos y asegurar la trazabilidad de la información sensible.

Este artículo explica el marco de la normativa NIS2 en España, los requisitos para mantener la conformidad continua y los plazos de notificación de incidentes. También detalla las evidencias y mecanismos de gobierno que una auditoría NIS2 exige para acreditar la conformidad ante la autoridad competente.

Qué cambia con NIS2 frente a NIS1

NIS2 sustituye las categorías OSE/PSD por entidades esenciales e importantes, homogeneiza la supervisión (más proactiva para esenciales, predominantemente ex post para importantes) y ensancha el perímetro sectorial con anexos actualizados. Endurece las medidas de gestión de riesgos alineándolas con prácticas de referencia (p. ej., ISO/IEC 27001 o equivalentes). Además, establece un reporting escalonado de incidentes y un régimen sancionador reforzado.

¿A quién aplica la Directiva NIS2?

NIS2 se aplica a empresas medianas y grandes (a partir de 50 empleados o ≥10M€ de facturación), que operen en ámbitos considerados críticos. Las micro y pequeñas empresas quedan en principio excluidas, salvo en estos casos:

Si proveen, de forma exclusiva, un servicio esencial para la sociedad.

Si deben garantizar continuidad del servicio por cuestiones de salud pública, economía o seguridad.

Si operan servicios clave como infraestructuras DNS, TLD, redes electrónicas públicas o servicios de confianza.

Si están catalogadas como críticas por otras regulaciones europeas como la Directiva CER (Resilience of Critical Entities).

En España, el proceso de transposición está en marcha, y entidades como la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad (INCIBE) serán actores fundamentales del nuevo ecosistema normativo.

Directiva NIS2: Aplicación por tipo de entidad y casos especiales

Tabla — Sectores y subsectores cubiertos por NIS2

Ámbito sectorial de NIS2 (España)
Categoría	Ámbitos principales
Alta criticidad (Anexo I)	Energía (incluye hidrógeno y redes de recarga) Transporte Banca y servicios financieros Salud (laboratorios y fabricantes) Infraestructura digital (centros de datos, nube, CDN) Proveedores TIC gestionados — MSP / MSSP Administraciones públicas (central y regional) Espacio (infraestructura terrestre)
Otros sectores críticos (Anexo II)	Servicios postales y mensajería Gestión de residuos Industria química y alimentaria Manufactura y fabricación avanzada Investigación y educación crítica Plataformas en línea (buscadores, marketplaces, redes sociales)

* La pertenencia a “esencial” o “importante” depende del sector, el tamaño y el riesgo.

Obligaciones clave de las organizaciones bajo NIS2

Las organizaciones afectadas por la Directiva NIS2 deberán asumir un conjunto de medidas organizativas, técnicas y de reporte. A continuación, desglosamos sus principales obligaciones.

1. Medidas de gestión del riesgo

Debe adoptarse un enfoque proporcional, teniendo en cuenta el nivel de riesgo, exposición, tamaño de la entidad y criticidad del servicio. Los requerimientos mínimos incluyen:

Políticas y análisis de riesgos en ciberseguridad

Planes de continuidad de negocio (copias de seguridad, recuperación ante desastres)

Gestión de vulnerabilidades y procedimientos de notificación

Seguridad en la cadena de suministro

Cifrado, control de acceso, autenticación multifactor

Formación al personal y gestión de activos

Ciberhigiene básica

Evaluación periódica de la eficacia de las medidas implantadas

2. Seguridad en la cadena de suministro y contratos

NIS2 exige que se integren cláusulas de ciberseguridad en los acuerdos con proveedores (hosting, SaaS, almacenamiento, desarrollo de software, etc.).

Las entidades deben poder evaluar la resiliencia, prácticas de seguridad e integraciones de terceros antes de contratar servicios clave.

3. Obligación de notificación de incidentes

Las entidades deben comunicar incidentes significativos conforme al siguiente cronograma:

Notificación de incidentes NIS2
Hito	Plazo	Contenido mínimo	Responsable
Alerta temprana	24 h	Confirmación del incidente y estimación de impacto potencial.	CSIRT interno
Notificación inicial	72 h	Gravedad y alcance, indicadores de compromiso (IoC) y medidas inmediatas aplicadas.	SecOps / Legal
Informe final	1 mes	Causa raíz, impacto definitivo, acciones correctivas y lecciones aprendidas.	Seguridad / IT

El incidente puede calificarse como “significativo” si tiene un impacto importante en la continuidad operativa, supone pérdidas económicas relevantes o afecta a terceros.

El incidente puede calificarse como “significativo” si:

Tiene un impacto importante en la continuidad operativa.

Supone pérdidas económicas relevantes.

Afecta a terceros o interfiere en su privacidad o integridad.

4. Trazabilidad y documentación

Las empresas deberán mantener y presentar cuando se requiera:

Evidencias documentadas del cumplimiento (políticas, planes, informes)

Registros históricos de evaluaciones, auditorías e incidentes

Registros de formación y validación del personal técnico

Diferencia entre “entidades esenciales” y “entidades importantes”

Una de las nuevas clasificaciones de NIS2 es diferenciar entre entidades esenciales e importantes:

TIPO DE ENTIDAD	SECTOR	SUPERVISIÓN	MULTAS MÁXIMAS
Entidades esenciales	Anexo I	Proactiva y reactiva	€10M o 2% facturación mundial
Entidades importantes	Anexo II	Solo reactiva	€7M o 1.4% facturación mundial

Ambos tipos deben cumplir con las obligaciones comunes, pero las esenciales estarán bajo una vigilancia más cercana e inmediata.

Cómo prepararse para cumplir con NIS2

Matriz de cumplimiento NIS2 — requisito, evidencia y responsable
Requisito	Evidencia	Responsable	Frecuencia
Gobernanza	Política aprobada, actas de comité, matriz RACI	CISO / Dirección	Trimestral
Gestión de riesgos	Inventario de activos, análisis de riesgos y plan de tratamiento	Seguridad / IT	Semestral
Cadena de suministro	Cláusulas de ciberseguridad y evaluaciones de proveedores críticos	Compras / Legal / Seguridad	Anual
Detección y respuesta	Playbooks, registros SOC, resultados de simulacros	SecOps	Trimestral
Notificación	Plantillas 24 h / 72 h / 1 mes y evidencias de envío	CSIRT interno	Según incidente
Entornos no productivos	Procedimiento de enmascarado/anonimización, auditoría de accesos	QA / Data / Seguridad	Trimestral
Continuidad / DR	Pruebas de recuperación, resultados RTO/RPO	IT Ops	Anual

* Mantén esta matriz en un repositorio versionado y revísala en el comité de ciberseguridad.

Estado de la Directiva NIS2 en España

La transposición nacional puede introducir ajustes de supervisión, cuantías o coordinación con marcos vigentes. Mientras culmina, adopta la línea base europea —incluidos los plazos de reporte— y alinea el programa con requisitos españoles como el Esquema Nacional de Seguridad (ENS) cuando proceda. Mantener procedimientos de notificación operativos, métricas de eficacia y un ciclo de mejora continua reducirá el tiempo de respuesta ante requerimientos de la autoridad y facilitará la acreditación de cumplimiento NIS2.

Gigantics protege tus datos sensibles y cumple con NIS2

NIS2 no se detiene en producción. Desarrollo, pruebas y staging también están en el radar, exigiendo la protección de datos sensibles.

Gigantics permite a las organizaciones automatizar la anonimización y trazabilidad de datos sensibles en desarrollo, pruebas y preproducción, alineándose con los principios de NIS2 sin ralentizar la entrega.

Cierre la Brecha de Riesgo en DataOps

Gigantics automatiza la identificación de PII y el enmascarado de datasets para asegurar la trazabilidad y el cumplimiento NIS2 antes del despliegue.

Solicitar demo técnica

FAQ sobre la Directiva NIS2

1. ¿Cuándo entra en vigor la Directiva NIS2?

La Directiva NIS2 entró en vigor el 16 de enero de 2023. Los Estados miembros debían transponerla a su legislación nacional antes del 17 de octubre de 2024. Desde esa fecha, sus disposiciones son plenamente aplicables.

2. ¿Qué empresas deben cumplir con la NIS2?

La directiva aplica a empresas medianas y grandes (≥50 empleados o ≥10M € de facturación) que operen en sectores críticos definidos en los Anexos I y II. También pueden estar incluidas pequeñas entidades que prestan servicios esenciales o críticos.

3. ¿Cómo saber si me aplica la NIS2?

Debes revisar si tu organización cumple los umbrales de tamaño y si tu actividad está incluida en los sectores mencionados por la directiva. También influye si prestas servicios esenciales o estratégicos para la economía o la seguridad pública.

4. ¿Qué obligaciones impone la NIS2?

La NIS2 exige implementar medidas de gestión del riesgo en ciberseguridad, establecer políticas claras, proteger la cadena de suministro y notificar incidentes relevantes dentro de plazos estrictos.

5. ¿Qué responsabilidades tiene la alta dirección?

Los órganos de dirección deben aprobar las medidas de ciberseguridad, supervisar su aplicación y recibir formación específica. Pueden ser sancionados por incumplimientos graves.

6. ¿Qué plazos establece NIS2 para notificar incidentes?

Alerta temprana: dentro de las 24 horas.

Notificación completa: dentro de las 72 horas.

Informe final: como máximo un mes después.

7. ¿Qué sanciones prevé NIS2 por incumplimiento?

Las multas pueden llegar hasta €10 millones o el 2 % del volumen de negocio mundial para entidades esenciales, y hasta €7 millones o el 1,4 % para entidades importantes.

8. ¿Qué norma española transpone la NIS2?

España ya ha iniciado la transposición de la NIS2, con participación activa de organismos como INCIBE y la AEPD. El desarrollo reglamentario final puede variar según el sector.

NIS2 España: cumplimiento y requisitos operativos