Ciberseguridad · UE · 2024-2026

NIS2 para Empresas: Obligaciones, Plazos y Multas

Qué empresas están obligadas por la Directiva NIS2, los 10 requisitos de ciberseguridad, plazos de notificación de incidentes (24h/72h/1 mes) y multas de hasta €10M o 2% de facturación.

18

Sectores cubiertos (vs 7 en NIS1)

€10M

Multa máx. entidades esenciales (o 2% facturación)

24h

Plazo alerta temprana incidente significativo

Fuente: Directiva (UE) 2022/2555 arts. 21, 23, 34 · ENISA · Ley 11/2022 ES

Respuesta directa

NIS2 obliga a más de 5.000 nuevas empresas en España (medianas y grandes en 18 sectores) a implementar 10 medidas de ciberseguridad, notificar incidentes en 24h/72h y formar a sus directivos. Las multas llegan a €10M o el 2% de la facturación global. Los directivos pueden ser sancionados personalmente. Las empresas sin departamento IT pueden usar IgeraRegtech para automatizar el cumplimiento.

Preguntas frecuentes

¿Qué es la Directiva NIS2 y cuáles son sus diferencias respecto a NIS1?

La Directiva NIS2 (Directiva (UE) 2022/2555, de 14 de diciembre de 2022) es el marco europeo de ciberseguridad para redes y sistemas de información. Deroga la Directiva NIS1 (2016/1148) y amplía significativamente su alcance. Las diferencias principales respecto a NIS1: (1) Más sectores: NIS1 cubría 7 sectores "operadores de servicios esenciales" (energía, transporte, banca, salud, agua, infraestructura digital, proveedores digitales). NIS2 amplía a 18 sectores, incluyendo telecomunicaciones, administración pública, espacio, residuos, manufacturación crítica, servicios postales y alimentación. (2) Más empresas: NIS2 aplica a todas las empresas medianas y grandes (>50 empleados o >€10M facturación) de los 18 sectores, no solo a las designadas discrecionalmente como "esenciales". (3) Obligaciones más estrictas: 10 medidas de ciberseguridad específicas, plazos de notificación más cortos, responsabilidad directa de la dirección. (4) Armonización de sanciones: multas máximas armonizadas (€10M o 2% facturación global para entidades esenciales; €7M o 1,4% para entidades importantes). En España, NIS2 se traspone mediante el RD-ley 7/2022 y la Ley 11/2022, coordinadas con el Esquema Nacional de Seguridad (ENS).

¿Qué empresas están obligadas por NIS2 en España?

NIS2 divide las entidades en dos categorías: Entidades esenciales (mayor escrutinio, multas más altas): empresas grandes (>250 empleados o >€50M facturación o >€43M balance) en sectores de alta criticidad: energía (electricidad, petróleo, gas, calefacción urbana), transporte (aéreo, ferroviario, marítimo, carretera), banca y mercados financieros, sanidad, agua, infraestructura digital (internet exchange points, DNS, TLD registries, cloud services, data centers, CDNs), gestión servicios TIC (B2B), administración pública, espacio. Entidades importantes (control más ligero, multas menores): empresas medianas (>50 empleados o >€10M facturación) en los sectores anteriores más: servicios postales y mensajería, gestión de residuos, química, alimentación, fabricación de dispositivos médicos, electrónica, maquinaria, vehículos de motor, proveedores digitales (marketplaces online, motores de búsqueda, redes sociales). Estimación para España: más de 5.000 empresas nuevas obligadas que no lo estaban bajo NIS1, especialmente en fabricación, telecomunicaciones y servicios TIC B2B.

¿Cuáles son las 10 medidas de ciberseguridad obligatorias de NIS2?

NIS2 (art. 21) establece 10 categorías de medidas que todas las entidades obligadas deben implementar: (1) Políticas de análisis de riesgos y seguridad de los sistemas de información. (2) Gestión de incidentes: procedimientos para detectar, clasificar, contener, responder y recuperarse de incidentes. (3) Continuidad de negocio: copias de seguridad, planes de recuperación ante desastres, gestión de crisis. (4) Seguridad de la cadena de suministro: evaluación de riesgos de los proveedores y medidas contractuales. (5) Seguridad en la adquisición, desarrollo y mantenimiento de sistemas (SecDevOps). (6) Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos. (7) Prácticas básicas de ciberhigiene y formación en ciberseguridad. (8) Políticas y procedimientos relativos al uso de criptografía y cifrado. (9) Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos. (10) Uso de soluciones de autenticación multifactor (MFA) o autenticación continua, comunicaciones seguras de voz/texto/video.

¿Cuáles son los plazos de notificación de incidentes bajo NIS2?

NIS2 (art. 23) establece un sistema de notificación en tres fases, con plazos más estrictos que NIS1: (1) Alerta temprana: en 24 horas desde que la entidad tiene conocimiento de un incidente significativo. Contenido mínimo: indicación de si se sospecha que el incidente es resultado de un acto ilícito o malicioso. (2) Notificación del incidente: en 72 horas. Contenido: evaluación inicial del incidente (gravedad, impacto), indicadores de compromiso (si los hay). (3) Informe final: en 1 mes. Contenido: descripción detallada del incidente, tipo de amenaza o causa raíz, medidas mitigadoras aplicadas, impacto transfronterizo si aplica. Un incidente es "significativo" si: (a) ha causado o puede causar perturbaciones operativas graves o pérdidas económicas a la entidad, (b) ha afectado o puede afectar a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables. Las notificaciones se realizan a la autoridad nacional competente (en España: INCIBE para sector privado, CCN-CERT para Administraciones Públicas, CNPIC para infraestructuras críticas).

¿Qué responsabilidades tienen los directivos y el consejo bajo NIS2?

NIS2 (art. 20) introduce responsabilidad personal de los órganos de dirección, lo que es una novedad significativa respecto a NIS1: (1) Aprobación obligatoria: los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad implementadas por la entidad. (2) Supervisión: son responsables de supervisar la implementación de las medidas y pueden ser considerados personalmente responsables en caso de incumplimiento. (3) Formación obligatoria: los miembros de los órganos de dirección deben seguir formación periódica en ciberseguridad para tener los conocimientos y las competencias suficientes para identificar los riesgos y evaluar las prácticas de gestión del riesgo. (4) Sanciones personales: las autoridades competentes pueden imponer sanciones a las personas físicas con responsabilidades de dirección en la entidad, incluyendo prohibición temporal para ejercer funciones directivas. Esto significa que el CEO o el CTO pueden ser sancionados personalmente si la empresa no cumple NIS2, lo que eleva significativamente el incentivo para la inversión en ciberseguridad.

¿Cuáles son las multas y sanciones por incumplimiento de NIS2?

NIS2 (art. 34) armoniza las sanciones en toda la UE: Para entidades esenciales: multas de hasta €10.000.000 o el 2% del volumen de negocios anual mundial total (la cifra que sea mayor). Para entidades importantes: multas de hasta €7.000.000 o el 1,4% del volumen de negocios anual mundial total. Sanciones no económicas: las autoridades competentes también pueden imponer: (a) Órdenes vinculantes para adoptar medidas correctoras con plazo. (b) Requerimientos de auditoría de seguridad por un tercero independiente. (c) Notificaciones públicas que identifiquen a la entidad y la infracción. (d) Prohibición temporal de ejercer funciones directivas a las personas responsables. En España, la distribución de competencias sancionadoras entre INCIBE, CCN y CNPIC está pendiente de regulación en el reglamento de desarrollo de la Ley 11/2022. Las multas de NIS2 son acumulativas con las del GDPR — una brecha de datos puede generar sanciones simultáneas bajo ambas normativas.

¿Qué es la gestión del riesgo de la cadena de suministro bajo NIS2 y cómo afecta a los proveedores?

NIS2 (art. 21.2.d) obliga a las entidades a considerar los riesgos que proceden de sus proveedores y prestadores de servicios al gestionar su ciberseguridad. Esto tiene dos implicaciones: Para las entidades obligadas: deben evaluar los riesgos de ciberseguridad de sus proveedores clave, especialmente los que tienen acceso a sus sistemas o datos. Si un proveedor tiene una vulnerabilidad que afecta a la entidad, esta puede ser responsable. Deben incluir cláusulas de ciberseguridad en los contratos con proveedores críticos. Para los proveedores (que pueden no ser ellos mismos entidades NIS2): sus clientes les pedirán evidencias de cumplimiento de ciberseguridad (certificaciones ISO 27001, SOC 2, cuestionarios de seguridad) como condición para mantener el contrato. En la práctica, NIS2 está impulsando una "cascada de cumplimiento" en la que las grandes empresas obligadas trasladan los requisitos de seguridad a sus cadenas de suministro, incluso a PYMEs que técnicamente no están obligadas directamente por la directiva.

¿Cómo se relacionan NIS2 y DORA? ¿Se solapan?

NIS2 y DORA se solapan en sectores financieros (bancos, gestoras, aseguradoras) pero son complementarias: DORA es lex specialis para el sector financiero. El considerando 16 de DORA y el art. 4 de NIS2 establecen expresamente que DORA prevalece sobre NIS2 para las entidades financieras. Una entidad financiera cumple los requisitos de NIS2 si cumple DORA (principio de lex specialis). Las entidades de infraestructura digital (cloud providers, CDNs, IXPs) caen bajo NIS2, pero si prestan servicios a entidades financieras también pueden estar sujetas a supervisión bajo el marco DORA de proveedores críticos TIC. Para empresas diversificadas con divisiones financieras y no financieras: la división financiera debe cumplir DORA; las divisiones no financieras deben cumplir NIS2. En la práctica, muchas organizaciones implementan un único marco de seguridad (ISO 27001 + NIST CSF) que les permite demostrar cumplimiento simultáneo con ambas normativas.

¿Cuándo transpuso España la Directiva NIS2?

España tenía plazo hasta el 17 de octubre de 2024 para transponer NIS2. La transposición española es compleja porque parte de las obligaciones ya estaban cubiertas por: (1) RD-ley 7/2022 (NIS1 transpuesta tardíamente en España). (2) Ley 11/2022 de Seguridad de Redes y Sistemas de Información. (3) Real Decreto 311/2022 del Esquema Nacional de Seguridad (ENS), que ya exigía medidas equivalentes a muchas de las 10 de NIS2 para el sector público. La Comisión Europea inició procedimiento de infracción contra España y otros estados miembros por la transposición incompleta. A junio de 2026, el reglamento de desarrollo con el régimen sancionador específico y el registro de entidades obligadas está en consulta pública. Las empresas deben cumplir los requisitos sustantivos de NIS2 incluso durante el período de tramitación del reglamento, ya que la falta de reglamento nacional no exime del cumplimiento de la directiva transpuesta.

¿Cómo puede IgeraRegtech ayudar con el cumplimiento de NIS2?

IgeraRegtech tiene indexada la Directiva NIS2 completa (incluyendo considerandos), las guías de ENISA sobre implementación, el RD-ley 7/2022 español y el borrador del reglamento de desarrollo. El equipo de ciberseguridad y compliance puede: (1) Determinar si la empresa está obligada: el sistema analiza sector y tamaño para determinar si es entidad esencial, importante, o queda excluida. (2) Gap analysis NIS2: comparación entre las medidas de seguridad actuales y los 10 requisitos de NIS2, con priorización por criticidad. (3) Plantillas de políticas: NIS2 exige políticas documentadas; IgeraRegtech genera borradores de las políticas de análisis de riesgos, gestión de incidentes y continuidad de negocio. (4) Preparación de notificación de incidentes: el sistema tiene el formulario de notificación al INCIBE y guía el proceso de los 3 pasos (24h, 72h, 1 mes). (5) Formación de directivos: módulo de formación en ciberseguridad para cumplir el requisito de formación obligatoria del art. 20.2 NIS2.

Los 10 requisitos de ciberseguridad NIS2

  1. 1Políticas de análisis de riesgos y seguridad de sistemas
  2. 2Gestión de incidentes (detectar, contener, responder)
  3. 3Continuidad de negocio y recuperación ante desastres
  4. 4Seguridad de la cadena de suministro y proveedores
  5. 5Seguridad en adquisición y desarrollo de sistemas (SecDevOps)
  6. 6Evaluación periódica de la eficacia de las medidas
  7. 7Ciberhigiene básica y formación en ciberseguridad
  8. 8Políticas de criptografía y cifrado
  9. 9Seguridad de RRHH, control de accesos y gestión de activos
  10. 10Autenticación multifactor (MFA) y comunicaciones seguras

Automatiza el cumplimiento NIS2 con IgeraRegtech

Gap analysis, plantillas de políticas, gestión de notificación de incidentes y formación de directivos. Desde €299/mes.

Ver IgeraRegtech →