NIS2: qué es, a quién aplica y qué exige (guía 2026)
La Directiva (UE) 2022/2555, conocida como NIS2, es la norma europea que eleva el nivel de ciberseguridad exigible a las organizaciones que sostienen los servicios esenciales de la Unión. Aprobada el 14 de diciembre de 2022, deroga la anterior Directiva NIS (2016/1148) y la amplía en tres direcciones: más sectores obligados, más exigencias y sanciones mucho mayores.
Esta guía es el punto de partida del tema. Explica qué es, quién está obligado, qué hay que hacer, en qué plazos y qué ocurre si no se cumple —incluido el estado real en España—. Cada apartado enlaza con un análisis en profundidad.
Qué cambia respecto a la NIS original
NIS2 parte de una constatación incómoda: los servicios esenciales dependen de sistemas interconectados, y un incidente en un eslabón se propaga al resto. La respuesta europea es armonizar el nivel de ciberseguridad y —esto es lo nuevo— subir la responsabilidad al órgano de dirección.
Tres cambios de fondo: la ampliación del ámbito a muchos más sectores; un catálogo mínimo de medidas exigible a todos; y un régimen sancionador severo, con multas de hasta el 2 % de la facturación mundial.
A quién aplica NIS2 (artículo 2)
La directiva se aplica a las entidades públicas o privadas que cumplan dos condiciones:
- Pertenecer a alguno de los tipos de entidad de los anexos I o II, y
- Ser una mediana empresa según la Recomendación 2003/361/CE, o superar esos umbrales.
Por regla general, por tanto, la microempresa y la pequeña empresa quedan fuera. Pero cuidado: el artículo 2 prevé que, con independencia del tamaño, la directiva alcance también a determinadas entidades por su criticidad. No conviene darse por excluido solo por el número de empleados.
Anexo I — sectores de alta criticidad
Energía · Transporte · Banca · Infraestructuras de los mercados financieros · Sector sanitario · Agua potable · Aguas residuales · Infraestructura digital · Gestión de servicios TIC (de empresa a empresa) · Administración pública · Espacio.
Anexo II — otros sectores críticos
Servicios postales y de mensajería · Gestión de residuos · Sustancias y mezclas químicas · Producción, transformación y distribución de alimentos · Fabricación (productos sanitarios, informáticos y electrónicos, material eléctrico, maquinaria, vehículos), entre otros.
Repare en la gestión de servicios TIC de empresa a empresa: numerosos proveedores tecnológicos que se creían ajenos a la norma están dentro, precisamente por servir a entidades obligadas.
El detalle está en los subsectores
Los anexos no se quedan en la etiqueta del sector: lo desglosan en subsectores y tipos de entidad concretos, y ahí es donde muchas empresas se descubren dentro.
En energía, por ejemplo, la directiva identifica expresamente la electricidad —con empresas eléctricas de suministro, gestores de las redes de distribución y de transporte, productores, operadores del mercado eléctrico—, el crudo y el hidrógeno, entre otros. En transporte, los cuatro modos: aéreo, ferroviario, marítimo y fluvial, y por carretera. Y en infraestructura digital entran, entre otros, los proveedores de DNS, los registros de dominios de primer nivel, los servicios de computación en nube, los centros de datos, las redes de distribución de contenidos y los servicios de confianza.
La consecuencia es directa: no basta con mirar el nombre del sector. Una empresa de transporte por carretera, un operador de centro de datos o un prestador de servicios gestionados pueden estar plenamente dentro sin considerarse «infraestructura crítica». La comprobación hay que hacerla a nivel de tipo de entidad, con el anexo delante.
Entidades esenciales e importantes (artículo 3)
La distinción no es cosmética: cambia cómo le supervisan y cuánto le multan.
Son entidades esenciales, entre otras: las del anexo I que superan los umbrales de mediana empresa (es decir, las grandes); los prestadores cualificados de servicios de confianza, los registros de nombres de dominio de primer nivel y los proveedores de DNS —con independencia de su tamaño—; determinados proveedores de comunicaciones electrónicas; y entidades de la Administración pública.
El resto de entidades incluidas en el ámbito son, por defecto, importantes.
La consecuencia práctica: cómo le vigilan
- Entidades esenciales (artículo 32): supervisión proactiva. Las autoridades pueden actuar sin necesidad de indicio previo de incumplimiento, con medidas «efectivas, proporcionadas y disuasorias».
- Entidades importantes (artículo 33): supervisión reactiva. Las autoridades actúan a posteriori, cuando dispongan de pruebas, indicios o información de un presunto incumplimiento.
Ser «importante» no es un régimen blando: es un régimen que se activa cuando algo ya ha salido mal.
La responsabilidad es del consejo (artículo 20)
Este es el cambio cultural, y conviene leerlo despacio. Los órganos de dirección de las entidades esenciales e importantes deben:
- aprobar las medidas de gestión de riesgos de ciberseguridad,
- supervisar su puesta en práctica, y
- responder por el incumplimiento de la entidad.
Es decir: responsabilidad personal de los administradores. La ciberseguridad deja de ser un asunto delegable al departamento técnico. La directiva exige además que los miembros de esos órganos reciban formación que les permita comprender y valorar los riesgos.
Las medidas obligatorias (artículo 21)
Las entidades deben adoptar medidas técnicas, operativas y de organización adecuadas y proporcionadas, con un enfoque basado en todos los peligros. La proporcionalidad se mide según la exposición al riesgo, el tamaño de la entidad y la probabilidad y gravedad de los incidentes. Como mínimo, deben incluir:
- políticas de seguridad de los sistemas de información y análisis de riesgos;
- gestión de incidentes;
- continuidad de la actividad: copias de seguridad, recuperación ante catástrofes y gestión de crisis;
- seguridad de la cadena de suministro, incluidas las relaciones con proveedores directos;
- seguridad en la adquisición, desarrollo y mantenimiento, con gestión y divulgación de vulnerabilidades;
- políticas y procedimientos para evaluar la eficacia de las propias medidas;
- ciberhigiene básica y formación en ciberseguridad;
- políticas de criptografía y, en su caso, cifrado.
Dos merecen atención especial. La seguridad de la cadena de suministro obliga a responder también por sus proveedores —y es la vía por la que la presión de NIS2 llega a empresas que ni siquiera están obligadas—. Y evaluar la eficacia de las medidas es la exigencia que más incomoda: no basta con tenerlas; hay que demostrar que funcionan.
Notificación de incidentes (artículo 23)
Un incidente es significativo si ha causado o puede causar graves perturbaciones operativas o pérdidas económicas a la entidad, o perjuicios materiales o inmateriales considerables a terceros. Los plazos son estrictos:
| Plazo | Qué presentar |
|---|---|
| 24 horas | Alerta temprana al CSIRT o autoridad competente, indicando si se sospecha acción ilícita o malintencionada o impacto transfronterizo |
| 72 horas | Notificación del incidente: evaluación inicial de gravedad e impacto e indicadores de compromiso |
| A requerimiento | Informe intermedio de situación |
| 1 mes | Informe final detallado |
Veinticuatro horas es muy poco tiempo. Cumplirlo exige tener detección, clasificación y procedimiento preparados de antemano. No se improvisa el día del incidente.
Sanciones (artículo 34)
- Entidades esenciales: al menos 10 000 000 EUR o el 2 % del volumen de negocios anual total mundial — la cuantía mayor.
- Entidades importantes: al menos 7 000 000 EUR o el 1,4 % — la mayor.
Y multas coercitivas para forzar el cese del incumplimiento.
El estado en España: la ley aún no está (y eso no le exime)
El plazo de transposición venció el 17 de octubre de 2024. A julio de 2026, España todavía no ha transpuesto NIS2: la Ley de Coordinación y Gobernanza de la Ciberseguridad sigue en tramitación y no se ha publicado en el BOE. El 8 de julio de 2026, la Comisión Europea llevó a España ante el Tribunal de Justicia de la UE, solicitando sanciones económicas.
La lectura práctica: esperar a la ley española es un error. La obligación europea ya existe, el contenido sustantivo no va a cambiar con la transposición, y no se prevé un periodo transitorio largo. (Lo desarrollamos en el análisis sobre la transposición de NIS2 en España.)
Certificación: cómo demostrar la conformidad (artículo 24)
Una pregunta recurrente es si existe una «certificación NIS2». La respuesta requiere matiz. El artículo 24 permite a los Estados miembros exigir a las entidades esenciales e importantes que utilicen productos, servicios y procesos de TIC —propios o adquiridos a terceros— certificados conforme a un esquema europeo de certificación de la ciberseguridad (los adoptados al amparo del Reglamento (UE) 2019/881, el llamado Cybersecurity Act), y precisamente a efectos de demostrar la conformidad con determinados requisitos del artículo 21.
Es decir: la certificación no es un sello genérico de «empresa NIS2», sino un mecanismo de prueba sobre productos y servicios concretos. (Lo desarrollamos en el análisis sobre certificación NIS2.)
Jurisdicción: qué Estado le supervisa (artículo 26)
Como norma general, una entidad queda sometida a la jurisdicción del Estado miembro en el que está establecida. Hay excepciones relevantes: los proveedores de redes y servicios de comunicaciones electrónicas disponibles al público quedan bajo la jurisdicción del Estado donde prestan sus servicios; y para los proveedores de DNS, registros de dominios de primer nivel, servicios de computación en nube, centros de datos, redes de distribución de contenidos y servicios gestionados existen reglas específicas.
Para un grupo con presencia en varios países, esto no es un detalle: determina ante quién responde.
Registro europeo de determinados proveedores (artículo 27)
La ENISA —la agencia europea de ciberseguridad— crea y mantiene un registro de ciertos proveedores digitales: servicios de DNS, registros de dominios de primer nivel, entidades de registro de nombres de dominio, proveedores de computación en nube, de centros de datos, de redes de distribución de contenidos, de servicios gestionados y de servicios de seguridad gestionados, así como de mercados y motores de búsqueda en línea.
Si su empresa está en esa lista de tipos, la obligación no es solo cumplir: es estar identificada a escala europea.
Cómo se cruza con las demás normas
- DORA: para las entidades financieras, el Reglamento (UE) 2022/2554 actúa como norma sectorial y prevalece en lo que regula. (Ver: Reglamento DORA.)
- EU AI Act: si además usa sistemas de IA de alto riesgo, el artículo 15 del Reglamento de IA le exige solidez y ciberseguridad. Los marcos se solapan y conviene abordarlos de forma coordinada.
- ENS: la futura ley española convivirá con el Esquema Nacional de Seguridad.
Errores comunes
El primero, darse por excluido por tamaño sin comprobar las excepciones del artículo 2. El segundo, ignorar la cadena de suministro: sus clientes obligados ya le están exigiendo garantías por contrato. El tercero, dejar la notificación para después: responder en 24 horas exige un procedimiento montado. El cuarto, no llevarlo al consejo, cuando el artículo 20 hace responder personalmente a sus miembros. Y el quinto, confiar en que la falta de ley española da margen: no lo da.
Hoja de ruta
- Determine si está dentro (sector del anexo + umbral) y si es entidad esencial o importante.
- Identifique su autoridad de control previsible según su sector.
- Cierre la brecha del artículo 21, empezando por análisis de riesgos, gestión de incidentes y cadena de suministro.
- Monte el procedimiento de notificación capaz de responder en 24 horas.
- Llévelo al órgano de dirección y forme a sus miembros.
- Prepare la evidencia: tendrá que demostrar que las medidas funcionan.
Qué implica según el tamaño de su empresa
- Pyme: confirme primero si el umbral le deja dentro o fuera. Es la decisión que más tiempo y dinero ahorra. Si está dentro, priorice análisis de riesgos, gestión de incidentes y copias de seguridad.
- Mediana empresa: el reto es sistematizar —procedimientos, formación y un proceso de notificación de 24 horas—.
- Gran empresa: probablemente sea entidad esencial, con supervisión proactiva. Su exposición real está en la cadena de suministro y en la evidencia auditable. Coordine NIS2 con DORA, el ENS y el AI Act en un marco único.
El reto de fondo: demostrar el cumplimiento, no estimarlo
El artículo 21 no pide solo tener medidas: pide evaluar su eficacia. Y el artículo 32 permite a la autoridad presentarse sin previo aviso ante una entidad esencial. Ahí aparece la brecha de siempre: las auditorías por muestreo y las pruebas periódicas producen una estimación de que los controles funcionan; el supervisor pide demostración.
Deflank aborda exactamente esa distancia. Mediante una metodología de verificación propia, convierte los requisitos aplicables en una prueba demostrable, reproducible y auditable, en lugar de una estimación probabilística. Frente a una multa del 2 % de la facturación mundial —y a la responsabilidad personal de los administradores—, la diferencia entre «creemos que cumplimos» y «cumplimos, y aquí está la prueba» no es retórica.
La prueba, no la estimación.
¿Su organización está dentro del ámbito de NIS2 y sabría demostrarlo? Solicite un diagnóstico de conformidad NIS2 o descargue el checklist de medidas del artículo 21.
En este silo: [transposición de NIS2 en España] · [certificación NIS2] · [NIS2 compliance para empresas] · [sectores afectados en España] · [INCIBE y la supervisión de NIS2] · [NIS2 e inteligencia artificial].
Contenido informativo; no constituye asesoramiento jurídico. Fuente: Directiva (UE) 2022/2555, artículos 2, 3, 20, 21, 23, 32, 33 y 34, y anexos I y II. Estado de la transposición española verificado en julio de 2026.
Preguntas frecuentes
¿Qué es la Directiva NIS2?
Es la Directiva (UE) 2022/2555, la norma europea de ciberseguridad que sustituye a la anterior Directiva NIS. Amplía los sectores obligados, fija un catálogo mínimo de medidas y endurece las sanciones.
¿A quién aplica NIS2?
A entidades públicas o privadas de los sectores de los anexos I y II que sean medianas empresas o superen ese umbral. Con independencia del tamaño, alcanza también a determinadas entidades por su criticidad.
¿Qué diferencia hay entre entidad esencial e importante?
Las esenciales (grandes empresas del anexo I, proveedores de DNS y servicios de confianza, Administración pública, entre otras) están sujetas a supervisión **proactiva** y multas de hasta 10 M€ o el 2 %. Las importantes afrontan supervisión **reactiva** y multas de hasta 7 M€ o el 1,4 %.
¿En cuánto tiempo hay que notificar un incidente?
Alerta temprana en **24 horas**, notificación con evaluación inicial en **72 horas** e informe final en **un mes**.
¿Los administradores responden personalmente?
Sí. El artículo 20 establece que los órganos de dirección aprueban las medidas, supervisan su puesta en práctica y **responden por el incumplimiento** de la entidad. Además deben recibir formación.
¿NIS2 está en vigor en España?
La directiva europea sí, pero **España no la ha transpuesto** (julio de 2026): la ley sigue en tramitación y la Comisión ha llevado al país ante el Tribunal de Justicia de la UE.
¿Qué pasa si soy proveedor de una entidad obligada?
Aunque usted no esté en el ámbito, la **seguridad de la cadena de suministro** es una medida obligatoria para su cliente. En la práctica, le trasladará las exigencias por vía contractual.
Todos los análisis de este silo
- Transposición de NIS2 en España: estado real (julio 2026)
España aún no ha transpuesto NIS2 y la Comisión la ha llevado al Tribunal de Justicia. Estado de la ley, qué dirá y por qué esperar es un error.