The directive distinguishes between two categories with different levels of obligations:

How do I know if my logistics company is obligated under NIS2?

If your company operates in the freight transport sector (road, rail, air or maritime), warehouse management or courier services, and exceeds the thresholds of 50 employees or €10 million in turnover, you are very likely within the scope of NIS2 as an important entity. If you exceed 250 employees or €50 million in turnover and operate critical transport infrastructure, you may be an essential entity. Consult your country's national transposition for the definitive list of entities in scope.

Does NIS2 require ISO 27001 certification?

NIS2 does not explicitly require ISO 27001 certification, but adopting this standard is the most recognised way to demonstrate that the security measures required by Article 21 have been implemented. Many competent authorities will accept a current ISO 27001 certification as prima facie evidence of technical and organisational compliance.

Do company directors have personal liability?

Yes. NIS2 (Article 20) explicitly states that the management bodies of essential and important entities must approve cybersecurity risk management measures, oversee their implementation and may incur personal liability in cases of non-compliance. In cases of serious infringements, the competent authority may temporarily prohibit the exercise of management functions.

How does NIS2 affect my transport subcontractors?

If you use transport subcontractors as part of your service supply chain, NIS2 requires you to assess the cybersecurity risks they introduce into your network. This means you must include security clauses in your contracts with them, assess their security practices and, if they have access to your systems (for example, through EDI integrations or access to your TMS), manage that access in a controlled manner.

What happens if I suffer an incident and fail to report it within 24 hours?

Failure to meet the notification deadline is itself an infringement of NIS2, regardless of whether the incident caused material damage. Competent authorities may impose specific sanctions for failure to notify in a timely manner, which add to the potential sanctions for the security deficiencies that allowed the incident to occur.

NIS2 para Logística: Obligaciones de Ciberseguridad para Operadores de Cadena de Suministro en 2026

La Directiva NIS2 (UE 2022/2555) entró en vigor en octubre de 2022 y los Estados miembros debían transponerla a sus ordenamientos jurídicos nacionales antes del 17 de octubre de 2024. Para el sector de la logística y la cadena de suministro, esta directiva supone la obligación más exigente en materia de ciberseguridad que el sector ha afrontado hasta la fecha. Operadores de transporte, empresas de almacenamiento, gestoras de infraestructuras logísticas y proveedores de sistemas de información para la cadena de suministro quedan ahora dentro del perímetro regulatorio europeo en ciberseguridad. Este artículo analiza en detalle qué implica NIS2 para el sector logístico, qué obligaciones concretas deben cumplirse, cuáles son las sanciones por incumplimiento y cómo IgeraRegTech ayuda a los equipos de cumplimiento a navegar esta complejidad normativa.

¿Por qué la logística está en el ámbito de NIS2?

NIS2 amplió significativamente el alcance de su predecesora (Directiva NIS, 2016) al incluir nuevos sectores considerados críticos para el funcionamiento de la economía y la sociedad europeas. El transporte y la logística aparecen explícitamente en el Anexo I (entidades esenciales) y en el Anexo II (entidades importantes) de la directiva.

La lógica regulatoria es clara: una interrupción del transporte de mercancías por carretera, ferroviario, aéreo o marítimo, o un ciberataque que paralice los sistemas de gestión de almacenes (WMS) o transporte (TMS) de un operador logístico de tamaño mediano, puede tener efectos en cascada sobre cadenas de suministro enteras, desabastos de productos esenciales y pérdidas económicas que superan con creces el daño directo al operador afectado.

¿Quién está en alcance?

La directiva distingue entre dos categorías con obligaciones de distinta intensidad:

Entidades esenciales: operadores de transporte (carretera, ferroviario, aéreo, marítimo) con más de 250 empleados o más de 50 millones de euros de facturación anual. Sujetos a supervisión activa por parte de las autoridades competentes.
Entidades importantes: operadores logísticos, empresas de mensajería, gestoras de almacenes y operadores de cadena de suministro con entre 50 y 250 empleados o entre 10 y 50 millones de euros de facturación. Sujetos a supervisión reactiva (las autoridades actúan si reciben evidencias de incumplimiento).

Las microempresas (menos de 10 empleados) y las pequeñas empresas (menos de 50 empleados y menos de 10 millones de facturación) quedan generalmente fuera del ámbito obligatorio de NIS2, aunque pueden verse afectadas indirectamente como proveedores de entidades esenciales o importantes.

Las 10 medidas de seguridad obligatorias

El artículo 21 de NIS2 establece que las entidades deben adoptar «medidas técnicas, operativas y organizativas adecuadas y proporcionadas» para gestionar los riesgos para la seguridad de sus redes y sistemas de información. La directiva identifica diez áreas mínimas que estas medidas deben cubrir:

Área	Descripción	Aplicación logística
Análisis de riesgos	Identificación y evaluación periódica de riesgos para sistemas TIC	WMS, TMS, sistemas de tracking, dispositivos IoT en almacén
Gestión de incidentes	Procedimientos de detección, respuesta y comunicación de incidentes	Planes de respuesta específicos para ransomware en WMS
Continuidad de negocio	BCP y DRP actualizados y probados	Procedimientos manuales de contingencia si cae el WMS
Seguridad de la cadena de suministro	Evaluación de proveedores TIC y requisitos contractuales	Contratos con proveedores de TMS, ERPs, plataformas de tracking
Seguridad en redes	Segmentación de redes, firewalls, monitorización de tráfico	Segmentación red OT (almacén automatizado) / red IT (oficinas)
Higiene cibernética y formación	Formación periódica del personal, gestión de parches	Concienciación anti-phishing para conductores y personal de almacén
Criptografía	Uso de cifrado para datos en tránsito y en reposo	Cifrado de comunicaciones EDI, datos de manifiestos de carga
Control de acceso y MFA	Políticas de acceso mínimo privilegio, autenticación multifactor	MFA para acceso a WMS, TMS y plataformas de clientes
Gestión de vulnerabilidades	Identificación, priorización y remediación de vulnerabilidades	Escaneo regular de dispositivos IoT en almacén y lectores de código
Comunicaciones seguras	Canales seguros para comunicaciones de emergencia	Sistemas de comunicación alternativos si cae la red principal

Notificación de incidentes: los plazos que no admiten margen

NIS2 establece un régimen de notificación de incidentes significativos en tres etapas con plazos estrictos:

Alerta temprana (24 horas): notificación inicial al CSIRT nacional o a la autoridad competente cuando la entidad tiene conocimiento de que se ha producido un incidente significativo. Debe incluir una descripción preliminar y, si es posible, una indicación de si el incidente es de origen malicioso.
Notificación del incidente (72 horas): actualización con una primera evaluación del incidente, su gravedad y sus indicadores de compromiso. Esta notificación debe incluir si el incidente está resuelto o no.
Informe final (1 mes): descripción detallada del incidente, tipo de amenaza, causa raíz, medidas de mitigación adoptadas y, si procede, impacto transfronterizo.

Un incidente es «significativo» si: (a) ha causado o puede causar perturbaciones graves del servicio o pérdidas financieras para la entidad, o (b) ha afectado o puede afectar a otras personas físicas o jurídicas causando pérdidas materiales o inmateriales considerables.

Para un operador logístico, un ransomware que paralice el WMS durante más de 4 horas durante una jornada operativa de alta carga (Black Friday, por ejemplo) muy probablemente cumpliría la definición de incidente significativo y activaría la obligación de notificación en 24 horas.

Convergencia OT/IT: la superficie de ataque específica de la logística

El sector logístico presenta una característica que lo diferencia de otros sectores regulados por NIS2: la convergencia entre tecnología operacional (OT) y tecnología de la información (IT). En un almacén moderno, los sistemas de manutención automatizada (SMA), los transelevadores, las cintas transportadoras, los sistemas de picking automático y los robots móviles autónomos (AGV/AMR) están gestionados por PLCs y SCADA que históricamente funcionaban en redes aisladas pero que hoy están conectados a los sistemas WMS y a la red corporativa para mejorar la eficiencia operativa.

Esta conectividad crea vectores de ataque antes inexistentes. Un ataque de ransomware que entre por un correo de phishing a un empleado de oficina puede, si la red no está correctamente segmentada, propagarse hasta los PLCs que controlan los transelevadores, paralizando completamente el almacén. Por eso, NIS2 exige explícitamente la gestión de riesgos en los sistemas OT como parte del alcance de la directiva.

Además, los dispositivos IoT proliferan en la logística: escáneres de código de barras y QR, lectores RFID, cámaras de verificación, sensores de temperatura para cadena de frío, GPS en vehículos, dispositivos wearable para operarios de almacén. Todos estos dispositivos, si no se gestionan dentro de un programa formal de inventario y vulnerabilidades, representan puntos ciegos en la postura de seguridad de la organización.

Obligaciones sobre la cadena de suministro de TIC

Una de las novedades más relevantes de NIS2 respecto a NIS1 es la obligación de gestionar los riesgos derivados de la cadena de suministro de tecnología. Para los operadores logísticos, esto implica:

Diligencia debida sobre proveedores TIC: evaluar las prácticas de seguridad de los proveedores de WMS, TMS, plataformas EDI, proveedores cloud, empresas de mantenimiento de sistemas OT y cualquier otro proveedor con acceso a sistemas críticos.
Requisitos contractuales de seguridad: incluir cláusulas de seguridad en los contratos con proveedores TIC que especifiquen sus obligaciones en materia de gestión de vulnerabilidades, notificación de incidentes, auditorías de seguridad y derecho de acceso del cliente para verificación.
Gestión de accesos de terceros: los proveedores externos que se conectan remotamente a los sistemas (para mantenimiento, soporte técnico, actualizaciones) deben hacerlo mediante accesos controlados, auditados y con autenticación fuerte.

Sanciones: lo que está en juego

NIS2 establece un régimen sancionador que no tiene precedente en la regulación de ciberseguridad europea:

Entidades esenciales: hasta 10 millones de euros o el 2% del volumen de negocio anual mundial total del ejercicio anterior, la cantidad que sea mayor.
Entidades importantes: hasta 7 millones de euros o el 1,4% del volumen de negocio anual mundial total, la cantidad que sea mayor.
Responsabilidad personal de directivos: NIS2 permite a las autoridades suspender temporalmente el ejercicio de funciones directivas a personas físicas responsables en caso de incumplimiento grave reiterado. Esto es una novedad significativa respecto a NIS1.

Más allá de las sanciones formales, el incumplimiento de NIS2 puede derivar en consecuencias reputacionales severas, pérdida de contratos con clientes corporativos que exigen a sus proveedores logísticos acreditación de cumplimiento, y dificultades para obtener cobertura de ciberseguros a precios razonables.

Cómo IgeraRegTech acelera el cumplimiento NIS2 para operadores logísticos

Los equipos de cumplimiento de los operadores logísticos se enfrentan a un volumen creciente de normativa: NIS2, DORA (para entidades financieras dentro de su cadena), RGPD, regulación ADR para transporte de mercancías peligrosas, normativas de seguridad portuaria (código PBIP), y un largo etcétera. Mantener un conocimiento actualizado de todas estas regulaciones y responder preguntas concretas —¿en qué plazo debo notificar un incidente?, ¿qué cláusula debo incluir en el contrato con mi proveedor de WMS?— requiere tiempo y expertise que raramente está disponible de forma inmediata.

IgeraRegTech indexa toda la documentación normativa que el equipo de cumplimiento necesita: textos de las directivas, reglamentos de implementación, guías de la ENISA, estándares ISO 27001/27002, políticas internas, procedimientos de gestión de incidentes y contratos con proveedores TIC. A partir de esa base de conocimiento, responde consultas en lenguaje natural con precisión y citando la fuente exacta.

Casos de uso concretos en operadores logísticos:

«¿Cuál es el plazo exacto para notificar a la autoridad competente un ransomware que ha cifrado nuestro WMS?» → IgeraRegTech cita el artículo 23 de NIS2 y el procedimiento interno de gestión de incidentes.
«¿Nuestro proveedor de TMS con 180 empleados está sujeto a NIS2?» → respuesta basada en los Anexos I y II de la directiva y el umbral de empleados/facturación.
«¿Qué cláusulas de seguridad debe tener el contrato con nuestro nuevo proveedor de automatización de almacén?» → lista basada en el artículo 21.2.d de NIS2 y las guías de la ENISA sobre seguridad de la cadena de suministro.

Preguntas frecuentes: NIS2 para operadores logísticos

¿Cómo sé si mi empresa logística está obligada por NIS2?

Si tu empresa opera en el sector de transporte de mercancías (carretera, ferroviario, aéreo o marítimo), gestión de almacenes o servicios de mensajería, y supera los umbrales de 50 empleados o 10 millones de euros de facturación, muy probablemente estás dentro del alcance de NIS2 como entidad importante. Si superas 250 empleados o 50 millones de facturación y operas infraestructuras de transporte críticas, es posible que seas entidad esencial. Consulta la transposición nacional de tu país para la lista definitiva de entidades en alcance.

¿NIS2 obliga a certificarse en ISO 27001?

NIS2 no exige explícitamente la certificación ISO 27001, pero adoptar este estándar es la forma más reconocida de demostrar que se han implementado las medidas de seguridad exigidas por el artículo 21. Muchas autoridades competentes aceptarán una certificación ISO 27001 vigente como evidencia prima facie de cumplimiento técnico y organizativo.

¿La dirección de la empresa tiene responsabilidad personal?

Sí. NIS2 (artículo 20) establece explícitamente que los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y pueden incurrir en responsabilidad si hay incumplimiento. En caso de infracciones graves, la autoridad competente puede prohibir temporalmente el ejercicio de funciones directivas.

¿Cómo afecta NIS2 a mis subcontratistas de transporte?

Si utilizas subcontratistas de transporte como parte de tu cadena de suministro de servicios, NIS2 te exige evaluar los riesgos de ciberseguridad que introducen en tu red. Esto significa que debes incluir cláusulas de seguridad en tus contratos con ellos, evaluar sus prácticas de seguridad y, si tienen acceso a tus sistemas (por ejemplo, mediante integraciones EDI o acceso a tu TMS), gestionar ese acceso de forma controlada.

¿Qué pasa si sufro un incidente y no lo notifico en 24 horas?

El incumplimiento del plazo de notificación es en sí mismo una infracción de NIS2, independientemente de si el incidente causó daños materiales. Las autoridades competentes pueden imponer sanciones específicas por la falta de notificación oportuna, que se acumulan a las posibles sanciones por las deficiencias de seguridad que permitieron el incidente.

Prueba IgeraRegTech gratis 14 días

Indexa toda tu documentación de cumplimiento NIS2. Responde consultas normativas en segundos, con la fuente exacta citada.

Empieza gratis →

NIS2 para Logística: Obligaciones de Ciberseguridad para Operadores de Cadena de Suministro