Guía rápida

NIS2: la nueva directiva europea, explicada.

Sin jerga. Qué es, a quién obliga y por qué te afecta aunque creas que no.

1

Qué es NIS2

Europa sube el listón. Y la responsabilidad sube a dirección.

NIS2 es la directiva europea de ciberseguridad (Directiva UE 2022/2555), en vigor desde 2023. Sustituye a la anterior norma de 2016 y eleva el nivel exigido: gestión de riesgos, plan de continuidad, notificación de incidentes en plazos de 24 y 72 horas, y seguridad de la cadena de suministro.

La novedad que más duele: la responsabilidad ya no es de IT, es del órgano de dirección. El consejo debe aprobar y supervisar las medidas, formarse en ciberseguridad y puede responder personalmente si no cumple. Con multas de hasta 10 millones de euros o el 2% de la facturación mundial.

2

La ley española

La ley española está al caer. Las obligaciones, ya corren.

España debía transponer NIS2 antes del 17 de octubre de 2024 y aún no lo ha hecho. El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros el 14 de enero de 2025 y sigue en tramitación parlamentaria, sin aprobación definitiva.

La presión para que salga es máxima: la Comisión Europea abrió expediente a España y en mayo de 2026 envió el segundo requerimiento formal, el paso previo a llevar el caso al Tribunal de Justicia de la UE. Cuando se publique en el BOE, no habrá periodo de adaptación cómodo: quien llegue tarde, llegará tarde.

Estado verificado a 6 de julio de 2026
3

¿A quién obliga directamente?

18 sectores. Y desde 50 empleados, dentro.

Obliga a empresas de sectores esenciales (energía, transporte, banca, sanidad, agua, infraestructura digital, servicios TIC gestionados, administración pública, espacio…) y sectores importantes (alimentación, químico, residuos, fabricación, postal, plataformas digitales, investigación…).

El umbral general: estar en uno de esos sectores y tener 50 o más empleados o más de 10 millones de euros de facturación. Y hay excepciones que alcanzan a empresas de cualquier tamaño si su servicio es crítico.

Esenciales: supervisión proactiva Importantes: te investigan si hay indicios o incidente Medianas y grandes de 18 sectores
4

El efecto cascada

¿No estás en la lista? Tus clientes .

Aquí está la letra pequeña que casi nadie lee: NIS2 obliga a las empresas afectadas a garantizar la seguridad de su cadena de suministro. Es decir, a exigir ciberseguridad a sus proveedores — sin importar el tamaño del proveedor.

En la práctica: cuestionarios de seguridad, cláusulas de ciberseguridad en los contratos y homologación de proveedores. Si vendes a una empresa obligada, sus obligaciones caen en cascada sobre ti. No te multará la Administración: te descartará tu cliente.

La pregunta no es si te afecta. Es cuánto: muchísimo, mucho o bastante.

Directamente obligado, proveedor de un obligado o simplemente guardando datos que la ley ya te exige proteger: todos los caminos llevan a ciberseguridad demostrable.

¿Muchísimo, mucho o bastante?

Respóndelo con el chequeo gratuito: qué normas te aplican, qué obligaciones tienes y qué arriesgas. Sin tecnicismos y sin compromiso.

Descubre en 5 minutos cuánto te afecta →