Susana López Blanco La Directiva (UE) 2022/2555 —conocida como NIS2— sustituye a la NIS original y amplía el alcance de la ciberseguridad europea desde el 18 de octubre de 2024. A partir de esa fecha, cualquier empresa con más de 50 empleados o más de 10 M € de facturación en sectores críticos (energía, salud, logística, TIC, agua, servicios digitales, etc.) pasa a ser entidad esencial o importante. Las sanciones llegan a 10 M € o el 2 % de la facturación global si no se notifica un incidente grave en 24 h o falta un plan de gestión de riesgos.
Tal vez te interese: Checklist NIS2
Índice de contenidos
Por qué se crea NIS2
Tras el auge de los ciberataques a infraestructuras críticas y cadenas de suministro (Colonial Pipeline, SolarWinds), la UE detectó que la NIS de 2016 cubría pocos sectores y dejaba lagunas entre países. NIS2 eleva el listón: armoniza sanciones, introduce auditorías periódicas y extiende la obligación a proveedores de servicios digitales, logística y manufactura estratégica.
¿Está tu empresa dentro? Mira el umbral y el sector
Aunque la directiva distingue “esenciales” y “importantes”, el test rápido es doble: tamaño + vertical. Si superas los umbrales y operas en un sector listado, entras automáticamente.
| Categoría | Ejemplos de sectores | Umbral |
|---|---|---|
| Entidades esenciales | Energía, transporte, salud, agua, infraestructura digital | — (cualquier tamaño) |
| Entidades importantes | Servicios digitales (SaaS, IaaS), logística, manufactura química | ≥ 50 empleados o ≥ 10 M € facturación |
Obligaciones clave que NO puedes ignorar
Antes de pensar en certificaciones caras, conoce los tres requisitos mínimos que controlará la autoridad española:
- Política de gestión de riesgos con análisis anual.
- Notificación de incidentes graves a INCIBE dentro de las 24 h.
- Responsable de ciberseguridad con acceso a dirección (no vale “nominal”).
Cómo cumplir NIS2 en 4 pasos
Si acabas de descubrir que tu pyme está afectada, sigue esta ruta de supervivencia:
- Haz tu inventario TI/OT y etiqueta activos críticos.
- Define un plan de respuesta (contacto 24 h, matriz de severidad).
- Implementa controles básicos: MFA, copias offline, SIEM.
- Registra y revisa incidentes cada trimestre; reporta en 24 h los graves.
Preguntas frecuentes sobre NIS2
Estás son las dudas que más he observado en formaciones y foros de debate de IEBS por parte de las empresas, espero que te sean útiles:
¿Qué diferencia hay entre NIS y NIS2?
NIS2 amplía sectores, incorpora umbrales de tamaño, armoniza sanciones y exige notificar incidentes en 24 h en lugar de 72 h.
¿Cuándo entra en vigor en España?
El anteproyecto de ley fija su aplicación plena para octubre 2025; las multas se activarán en la misma fecha.
¿Quieres profundizar? Máster en Ciberseguridad & Compliance – IEBS
Amplía conceptos en Ciberseguridad para pymes y descarga la Checklist NIS2 en 10 min.