· Jonathan Izquierdo · Ciberseguridad ·
NIS2 España: qué exige la ley de ciberseguridad a las empresas
España lleva más de un año de retraso en transponer la Directiva NIS2. Guía completa de obligaciones, sanciones y cómo prepararse antes de que entre en vigor.
España lleva más de 16 meses de retraso en transponer la Directiva NIS2. El plazo europeo venció el 17 de octubre de 2024, la Comisión Europea ya ha enviado un dictamen motivado a España por incumplimiento (mayo 2025), y la Ley de Coordinación y Gobernanza de la Ciberseguridad sigue pendiente de aprobación en las Cortes Generales. Mientras tanto, más de 5.700 empresas españolas deberán adaptarse a obligaciones que incluyen notificación de incidentes en 24 horas, designar un responsable de seguridad de la información y sanciones de hasta 10 millones de euros.
Como perito informático forense, este retraso legislativo genera una paradoja peligrosa: las empresas no saben cuándo ni exactamente cómo deberán cumplir, pero el régimen sancionador será retroactivo desde la entrada en vigor. Las que esperen a la publicación en el BOE para empezar a prepararse llegarán tarde.
En esta guía analizo qué exige la Directiva NIS2 a las empresas españolas, qué sectores están obligados, cuáles son las sanciones, y qué pasos dar ahora para no quedarse expuesto.
TL;DR - Resumen ejecutivo
En 60 segundos:
| Aspecto | Dato clave |
|---|---|
| Qué es | Directiva (UE) 2022/2555, transpuesta en España como Ley de Coordinación y Gobernanza de la Ciberseguridad |
| Plazo transposición | 17 octubre 2024 (vencido, España con +16 meses de retraso) |
| Estado España (feb. 2026) | Anteproyecto aprobado en Consejo de Ministros (14 ene 2025), pendiente en Cortes |
| Empresas afectadas | Más de 5.700 entidades con residencia fiscal o actividad en España |
| Sectores | Energía, transporte, banca, sanidad, agua, infraestructuras digitales, administración pública, industria nuclear y 7 sectores adicionales |
| Notificación incidentes | Alerta inicial 24h, notificación detallada 72h, informe final 1 mes |
| Sanciones (esenciales) | Hasta 10 millones de euros o 2% facturación global |
| Sanciones (importantes) | Hasta 7 millones de euros o 1,4% facturación global |
| Órgano coordinador | Centro Nacional de Ciberseguridad (nueva creación, bajo Presidencia del Gobierno) |
Qué es la Directiva NIS2 y por qué afecta a España
La Directiva (UE) 2022/2555 — conocida como NIS2 — es la normativa europea que establece un nivel común de ciberseguridad en toda la Unión Europea. Publicada el 27 de diciembre de 2022, sustituye a la anterior Directiva NIS1 (2016/1148) y amplía sustancialmente su alcance: más sectores obligados, más exigencias técnicas y un régimen sancionador mucho más severo.
La NIS2 no es directamente aplicable. Cada Estado miembro debía transponerla a su ordenamiento jurídico antes del 17 de octubre de 2024. España no cumplió ese plazo.
La situación en España: más de un año de retraso
| Fecha | Hito |
|---|---|
| 27 diciembre 2022 | Publicación Directiva NIS2 en el DOUE |
| 17 octubre 2024 | Plazo transposición vencido — España no cumple |
| 28 noviembre 2024 | Comisión Europea inicia procedimiento de infracción contra 23 países, incluida España (European Commission, Nov 2024) |
| 14 enero 2025 | Consejo de Ministros aprueba el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (La Moncloa, 14 Ene 2025) |
| 10 febrero 2025 | Finaliza trámite de audiencia e información pública (Interior.gob.es) |
| 7 mayo 2025 | Comisión Europea envía dictamen motivado a España (segunda fase de infracción) (EC Digital Strategy) |
| 24 abril 2025 | Consejo de Seguridad Nacional aprueba procedimiento para nueva Estrategia Nacional de Ciberseguridad (BOE-A-2025-10371) |
| Febrero 2026 | Proyecto de ley pendiente de remisión a las Cortes Generales |
El Gobierno anunció tramitación por procedimiento de urgencia, pero la inestabilidad parlamentaria ha dilatado los plazos. Si la Comisión Europea no queda satisfecha con la respuesta de España al dictamen motivado, el siguiente paso es la demanda ante el Tribunal de Justicia de la UE, con posibles multas coercitivas al Estado.
Riesgo para empresas
Que España no haya completado la transposición no significa que las empresas puedan ignorar la NIS2. La Directiva tiene efecto directo en ciertos aspectos y las obligaciones serán exigibles desde el momento de entrada en vigor de la ley, sin periodo transitorio prolongado. Las empresas que empiecen a prepararse ahora tendrán una ventaja competitiva y evitarán el riesgo de sanciones inmediatas.
Ley de Coordinación y Gobernanza de la Ciberseguridad: qué cambia
El anteproyecto aprobado por el Consejo de Ministros el 14 de enero de 2025 es el vehículo legislativo que transpone la NIS2 al derecho español. Estos son sus ejes principales, según el texto publicado por el Departamento de Seguridad Nacional (DSN) y el Ministerio del Interior:
Centro Nacional de Ciberseguridad
Se crea un Centro Nacional de Ciberseguridad (CNC), adscrito a la Secretaría General de la Presidencia del Gobierno. Sus funciones incluyen:
- Dirigir, coordinar e impulsar la política nacional de ciberseguridad
- Establecer criterios comunes para las autoridades de control sectoriales (Interior, Defensa, Transformación Digital)
- Servir de punto de contacto único ante la UE y ENISA
- Promover la creación y coordinación de equipos CSIRT sectoriales
Esta figura busca resolver la fragmentación institucional que la Comisión Mixta de Seguridad Nacional diagnosticó en febrero de 2026: CCN-CERT, INCIBE, Ciberdefensa y los cuerpos policiales operando sin coordinación centralizada.
Autoridades de control sectoriales
La supervisión del cumplimiento se distribuye entre tres autoridades según el sector:
| Autoridad | Sectores supervisados |
|---|---|
| CCN-CERT (Centro Criptológico Nacional) | Administraciones públicas, sector público |
| INCIBE-CERT | Sector privado, ciudadanos, PYMEs |
| Mando Conjunto de Ciberdefensa | Defensa nacional, sistemas clasificados |
Responsable de seguridad de la información
Cada entidad obligada deberá designar un responsable de seguridad de la información con funciones equiparables a las del CISO (Chief Information Security Officer). Esta persona será el punto de contacto con las autoridades de control y deberá:
- Supervisar la implementación de las medidas de gestión de riesgos
- Coordinar la respuesta ante incidentes
- Garantizar la formación continua del personal
- Reportar directamente al órgano de dirección de la entidad
Qué empresas están obligadas: sectores esenciales e importantes
La NIS2 clasifica las entidades en dos categorías con diferentes niveles de exigencia y supervisión:
Sectores de alta criticidad (entidades esenciales)
| Sector | Ejemplos de entidades afectadas |
|---|---|
| Energía | Operadores electricidad, gas, petróleo, hidrógeno, calefacción urbana |
| Transporte | Aéreo, ferroviario, marítimo, por carretera |
| Banca | Entidades de crédito |
| Infraestructuras mercados financieros | Operadores de centros de negociación, contrapartes centrales |
| Sector sanitario | Hospitales, laboratorios, fabricantes dispositivos médicos, investigación farmacéutica |
| Agua potable | Suministradores y distribuidores |
| Aguas residuales | Operadores de recogida, evacuación o tratamiento |
| Infraestructuras digitales | Proveedores cloud, centros de datos, DNS, IXP, redes de distribución de contenido |
| Servicios TIC (B2B) | Proveedores de servicios gestionados y de seguridad gestionada |
| Administración pública | Entidades de la administración central y regional |
| Sector espacial | Operadores de infraestructuras terrestres que apoyan servicios espaciales |
Otros sectores críticos (entidades importantes)
| Sector | Ejemplos |
|---|---|
| Servicios postales y mensajería | Operadores postales |
| Gestión de residuos | Empresas de recogida y tratamiento |
| Industria química | Fabricación, producción y distribución de sustancias químicas |
| Industria alimentaria | Producción, transformación y distribución de alimentos |
| Fabricación | Productos sanitarios, equipos informáticos, electrónica, maquinaria, vehículos |
| Proveedores de servicios digitales | Marketplaces online, motores de búsqueda, plataformas redes sociales |
| Investigación científica | Organismos de investigación |
| Seguridad privada | Empresas de vigilancia y seguridad |
Criterio de tamaño
Con carácter general, la NIS2 aplica a entidades de los sectores anteriores que sean medianas o grandes empresas (según la definición de la Recomendación 2003/361/CE: 50 o más empleados, o facturación anual superior a 10 millones de euros). No obstante, algunas entidades están sujetas independientemente de su tamaño: proveedores DNS, registros de nombres de dominio TLD, proveedores de servicios de confianza y entidades de la administración pública.
¿Tu empresa está afectada?
La NIS2 aplica a entidades con residencia fiscal en España o que operen en territorio español desde otros Estados miembros de la UE. Según estimaciones del Gobierno publicadas por la prensa especializada, más de 5.700 empresas españolas entran en el ámbito de aplicación de la futura ley (EscudoDigital, Ene 2025).
Obligaciones principales para las empresas
1. Gestión de riesgos de ciberseguridad
Las entidades obligadas deberán implementar medidas técnicas, operativas y organizativas proporcionadas al riesgo, que incluyen como mínimo (INCIBE FAQ NIS2):
- Políticas de análisis de riesgos y seguridad de los sistemas de información
- Gestión de incidentes (prevención, detección, respuesta)
- Continuidad de negocio y gestión de copias de seguridad
- Seguridad de la cadena de suministro
- Seguridad en la adquisición, desarrollo y mantenimiento de sistemas
- Evaluación de la eficacia de las medidas de gestión de riesgos
- Prácticas de ciberhigiene y formación en ciberseguridad
- Políticas de criptografía y cifrado
- Seguridad de recursos humanos, control de acceso y gestión de activos
- Autenticación multifactor (MFA) y comunicaciones seguras
2. Notificación obligatoria de incidentes
Esta es una de las obligaciones más exigentes. La NIS2 establece un sistema de notificación escalonada con plazos estrictos:
| Fase | Plazo | Contenido |
|---|---|---|
| Alerta temprana | Máximo 24 horas desde la detección | Indicar si el incidente ha sido causado por un acto ilegal o malintencionado, y si puede tener repercusiones transfronterizas |
| Notificación actualizada | Máximo 72 horas | Evaluación detallada: gravedad, impacto, indicadores de compromiso (IoC) |
| Informe final | Máximo 1 mes | Análisis completo: causa raíz, medidas de mitigación aplicadas, impacto transfronterizo si procede |
Un incidente debe notificarse cuando causa una perturbación operativa grave de los servicios o afecta (o puede afectar) a personas físicas o jurídicas causando perjuicios considerables.
3. Responsabilidad del órgano de dirección
La NIS2 introduce la responsabilidad directa de los directivos. Los órganos de dirección de las entidades obligadas deberán:
- Aprobar las medidas de gestión de riesgos de ciberseguridad
- Supervisar su implementación
- Recibir formación periódica en ciberseguridad
- Responder personalmente por el incumplimiento de estas obligaciones
En el caso de entidades esenciales, las autoridades pueden prohibir temporalmente al director ejecutivo o representante legal el ejercicio de funciones directivas si se detecta incumplimiento grave.
Régimen sancionador: NIS1 vs NIS2
Sanciones NIS2
El régimen sancionador de la NIS2 es significativamente más severo que el de la NIS1. Las multas se inspiran en el modelo RGPD: se calculan sobre el porcentaje de facturación global, lo que las convierte en proporcionales al tamaño de la empresa.
| Aspecto | NIS1 (vigente) | NIS2 (futura ley) |
|---|---|---|
| Multa máxima entidades esenciales | Hasta 500.000 euros (RD 43/2021) | 10 millones de euros o 2% facturación global (lo que sea mayor) |
| Multa máxima entidades importantes | — | 7 millones de euros o 1,4% facturación global (lo que sea mayor) |
| Supervisión entidades esenciales | Reactiva (a posteriori) | Proactiva: auditorías periódicas, inspecciones in situ, controles aleatorios |
| Supervisión entidades importantes | — | Reactiva: inspecciones a posteriori tras incidente o denuncia |
| Responsabilidad personal directivos | No contemplada | Sí: prohibición temporal de funciones directivas (solo entidades esenciales) |
| Suspensión de certificaciones | No contemplada | Sí: puede suspenderse la certificación o autorización si no se corrigen deficiencias en plazo |
| Sectores cubiertos | 7 sectores | 18 sectores (11 esenciales + 7 importantes) |
| Entidades obligadas en España | Aprox. 400 operadores | Más de 5.700 entidades |
Cómo prepararse antes de que entre en vigor
No esperar a la publicación en el BOE es la recomendación unánime de CCN-CERT, INCIBE y los principales despachos especializados. Las medidas técnicas que exige la NIS2 requieren meses de implementación. Estos son los pasos que recomiendo desde la práctica pericial:
Determinar si tu empresa está en el ámbito de aplicación
Revisa la lista de sectores esenciales e importantes y aplica el criterio de tamaño (50+ empleados o facturación mayor de 10 millones de euros). Si tu empresa es proveedor de una entidad obligada, la NIS2 te afectará indirectamente a través de las obligaciones de seguridad en la cadena de suministro.
Realizar una auditoría de sistemas de información
Identifica los activos críticos, evalúa las vulnerabilidades existentes y documenta el estado actual de las medidas de seguridad. Esta auditoría será la línea base contra la que medir el cumplimiento. Un análisis forense digital de la infraestructura permite identificar brechas que los escáneres automatizados no detectan.
Designar un responsable de seguridad de la información
No tiene que ser un CISO a tiempo completo. Para PYMEs, puede ser un responsable interno con formación adecuada o un servicio externalizado. Lo importante es que tenga autoridad real para implementar medidas y acceso directo a la dirección.
Implementar un plan de respuesta a incidentes
Define un plan de respuesta a incidentes que cumpla los plazos de notificación NIS2 (24h/72h/1 mes). Incluye: equipo de respuesta, canales de comunicación, procedimientos de preservación de evidencia digital y contacto con las autoridades competentes (INCIBE-CERT para sector privado, CCN-CERT para sector público).
Evaluar y asegurar la cadena de suministro
Identifica a tus proveedores críticos y evalúa su nivel de ciberseguridad. Incluye cláusulas de ciberseguridad en los contratos y exige certificaciones (ISO 27001, ENS) a proveedores con acceso a tus sistemas.
Formar al personal y al órgano de dirección
La NIS2 exige formación periódica en ciberseguridad para todo el personal y específicamente para los directivos. Documenta todas las acciones formativas: serán evidencia de cumplimiento ante una inspección.
Documentar todo
Políticas, procedimientos, registros de incidentes, informes de auditoría, actas de formación. En caso de inspección o procedimiento sancionador, la carga de la prueba del cumplimiento recae sobre la entidad. Un informe pericial independiente puede certificar el estado de cumplimiento de tu organización.
El papel del peritaje informático forense en el cumplimiento NIS2
La NIS2 genera cuatro escenarios concretos en los que el peritaje informático forense resulta necesario:
Auditoría de sistemas pre-NIS2: un análisis forense independiente de la infraestructura tecnológica identifica vulnerabilidades reales (no solo teóricas), evalúa la eficacia de las medidas existentes y genera un informe con validez pericial que sirve como evidencia de diligencia debida ante las autoridades de control.
Análisis forense tras un incidente: cuando se produce un ciberataque, los plazos de notificación de 24 y 72 horas exigen identificar rápidamente el alcance del incidente, los indicadores de compromiso y la causa raíz. El análisis forense digital preserva la evidencia de forma que sea admisible judicialmente, algo imprescindible si el incidente deriva en denuncia penal o reclamación civil.
Informes periciales para procedimientos sancionadores: si la autoridad de control inicia un expediente sancionador, un informe pericial independiente puede acreditar que la entidad implementó medidas proporcionadas al riesgo o que adoptó las acciones correctivas adecuadas, reduciendo potencialmente la sanción.
Evaluación de impacto en protección de datos: muchos incidentes NIS2 implican también una brecha de datos personales notificable bajo el RGPD. El peritaje forense determina qué datos se han visto comprometidos, su alcance y el riesgo para los afectados, información necesaria para la notificación a la AEPD.
Preguntas frecuentes
¿La NIS2 ya está en vigor en España?
No. La Directiva (UE) 2022/2555 está en vigor a nivel europeo desde enero de 2023, pero España aún no ha completado su transposición al derecho nacional. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025 y a fecha de febrero de 2026 sigue pendiente de debate parlamentario en las Cortes Generales. La Comisión Europea ya ha enviado un dictamen motivado a España (mayo 2025) por el retraso, lo que podría derivar en una demanda ante el TJUE con multas coercitivas al Estado (EC Digital Strategy, 2025).
¿Qué pasa si mi empresa es una PYME de menos de 50 empleados?
Con carácter general, la NIS2 no aplica directamente a microempresas ni pequeñas empresas (menos de 50 empleados y menos de 10 millones de euros de facturación). Sin embargo, hay excepciones importantes: los proveedores de servicios DNS, registros de dominios TLD, proveedores de servicios de confianza y entidades de administración pública están sujetos independientemente de su tamaño. Además, si tu PYME es proveedora de una entidad obligada, esta te exigirá cumplir estándares de ciberseguridad como parte de sus obligaciones de seguridad en la cadena de suministro.
¿Cuánto tiempo tengo para adaptarme una vez se apruebe la ley?
El anteproyecto establece un plazo de 12 meses desde la aprobación de la ley para su puesta en marcha completa. Sin embargo, muchas de las obligaciones (notificación de incidentes, designación de responsable de seguridad, medidas técnicas básicas) serán exigibles desde el primer día de entrada en vigor. Las empresas que no hayan comenzado a prepararse tendrán un margen muy limitado para cumplir. La recomendación del CCN-CERT y de INCIBE es empezar la adaptación ahora, sin esperar a la publicación en el BOE.
¿Qué relación tiene la NIS2 con el Esquema Nacional de Seguridad?
El ENS (Real Decreto 311/2022) y la NIS2 son complementarios. El ENS ya aplica a todas las administraciones públicas españolas y a las empresas que presten servicios al sector público. Las entidades que cumplan el ENS tendrán buena parte del camino recorrido para cumplir la NIS2, aunque la directiva europea introduce obligaciones adicionales como la notificación escalonada de incidentes y el régimen sancionador reforzado. El anteproyecto de ley prevé mecanismos de reconocimiento mutuo entre ambos marcos normativos.
Sobre el autor: Jonathan Izquierdo es perito informático forense especializado en análisis forense digital, informes periciales con validez judicial y auditorías de sistemas de información. Si tu empresa necesita evaluar su estado de preparación ante la NIS2 o requiere asistencia tras un ciberincidente, puedes solicitar una consulta inicial gratuita.
Última actualización: 23 de febrero de 2026.
Referencias y fuentes
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo — DOUE, 27 diciembre 2022
- NIS2 Directive transposition in EU countries — European Commission, 2024-2025
- NIS2 Directive implementation in Spain — European Commission, mayo 2025
- El Gobierno presenta la futura Ley de Coordinación y Gobernanza de la Ciberseguridad — La Moncloa, 14 enero 2025
- Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad — Departamento de Seguridad Nacional
- Anteproyecto de Ley (texto completo PDF) — Ministerio del Interior
- FAQ NIS2 — INCIBE-CERT
- NIS2: lo que necesitas saber — INCIBE-CERT
- Directiva NIS2 — Centro Criptológico Nacional (CCN)
- BOE-A-2025-10371: Acuerdo nueva Estrategia Nacional de Ciberseguridad — BOE, 26 mayo 2025
- NIS2 Directive: Transposition in Spain and Draft Law — iSEC Auditors
- NIS 2: One year later — White & Case, 2025
