Qué es NIS2
Europa sube el listón. Y la responsabilidad sube a dirección.
NIS2 es la directiva europea de ciberseguridad (Directiva UE 2022/2555), en vigor desde 2023. Sustituye a la anterior norma de 2016 y eleva el nivel exigido: gestión de riesgos, plan de continuidad, notificación de incidentes en plazos de 24 y 72 horas, y seguridad de la cadena de suministro.
La novedad que más duele: la responsabilidad ya no es de IT, es del órgano de dirección. El consejo debe aprobar y supervisar las medidas, formarse en ciberseguridad y puede responder personalmente si no cumple. Con multas de hasta 10 millones de euros o el 2% de la facturación mundial.
La ley española
La ley española está al caer. Las obligaciones, ya corren.
España debía transponer NIS2 antes del 17 de octubre de 2024 y aún no lo ha hecho. El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros el 14 de enero de 2025 y sigue en tramitación parlamentaria, sin aprobación definitiva.
La presión para que salga es máxima: la Comisión Europea abrió expediente a España y en mayo de 2026 envió el segundo requerimiento formal, el paso previo a llevar el caso al Tribunal de Justicia de la UE. Cuando se publique en el BOE, no habrá periodo de adaptación cómodo: quien llegue tarde, llegará tarde.
Estado verificado a 6 de julio de 2026¿A quién obliga directamente?
18 sectores. Y desde 50 empleados, dentro.
Obliga a empresas de sectores esenciales (energía, transporte, banca, sanidad, agua, infraestructura digital, servicios TIC gestionados, administración pública, espacio…) y sectores importantes (alimentación, químico, residuos, fabricación, postal, plataformas digitales, investigación…).
El umbral general: estar en uno de esos sectores y tener 50 o más empleados o más de 10 millones de euros de facturación. Y hay excepciones que alcanzan a empresas de cualquier tamaño si su servicio es crítico.
El efecto cascada
¿No estás en la lista? Tus clientes sí.
Aquí está la letra pequeña que casi nadie lee: NIS2 obliga a las empresas afectadas a garantizar la seguridad de su cadena de suministro. Es decir, a exigir ciberseguridad a sus proveedores — sin importar el tamaño del proveedor.
En la práctica: cuestionarios de seguridad, cláusulas de ciberseguridad en los contratos y homologación de proveedores. Si vendes a una empresa obligada, sus obligaciones caen en cascada sobre ti. No te multará la Administración: te descartará tu cliente.
La pregunta no es si te afecta. Es cuánto: muchísimo, mucho o bastante.
Directamente obligado, proveedor de un obligado o simplemente guardando datos que la ley ya te exige proteger: todos los caminos llevan a ciberseguridad demostrable.
¿Muchísimo, mucho o bastante?
Respóndelo con el chequeo gratuito: qué normas te aplican, qué obligaciones tienes y qué arriesgas. Sin tecnicismos y sin compromiso.
Descubre en 5 minutos cuánto te afecta →