Si gestionas una empresa en España y nadie te ha hablado todavía de la NIS2, este artículo es para ti. No porque sea un trámite burocrático más, sino porque las inspecciones ya han comenzado en 2026 y las sanciones son reales.
La Directiva NIS2 (Network and Information Security Directive 2) es la normativa europea que obliga a empresas de sectores críticos a implantar medidas de seguridad digital robustas y demostrables. Sustituye a la anterior NIS1, que apenas cubría unos pocos operadores muy grandes en sectores muy concretos.
La pregunta que más nos hacen es: ¿me afecta a mí?
La respuesta depende de dos criterios combinados: tamaño y sector.
En cuanto al tamaño, la norma aplica a empresas con 50 o más empleados o con una facturación superior a los 10 millones de euros anuales.
En cuanto al sector, la NIS2 pasa de los 7 sectores que cubría la anterior directiva a 18. Entre ellos están:
Importante: si eres proveedor de una entidad esencial o las autoridades te designan específicamente, también puedes quedar obligado aunque no superes los umbrales de tamaño.
España no llegó al plazo europeo de transposición (octubre de 2024). La Comisión Europea abrió procedimiento de infracción y elevó el caso al Tribunal de Justicia de la UE. El Gobierno aprobó un anteproyecto de ley en enero de 2025 y la ley definitiva se espera a lo largo de 2026.
Pero atención: el retraso en la transposición no exime a las empresas. Las obligaciones del Real Decreto-ley 7/2025 ya son exigibles y las inspecciones están en marcha.
El artículo 21 de la directiva establece las medidas técnicas y organizativas que las empresas deben implementar. Resumidas en los puntos más prácticos:
1. Análisis de riesgos documentado No basta con tener un antivirus. La NIS2 exige identificar, evaluar y documentar los riesgos de tu infraestructura digital de forma formal y periódica.
2. Políticas de seguridad auditables Procedimientos escritos, revisados y aplicados. Las autoridades pueden pedirte evidencias de que realmente los cumples, no solo de que los tienes en un cajón.
3. Plan de respuesta ante incidentes con plazos estrictos La NIS2 establece tres plazos de notificación obligatoria cuando se produce un incidente significativo: alerta inicial en 24 horas, notificación intermedia en 72 horas e informe final en un mes.
4. Backup probado y recuperación verificada Tener copia de seguridad no es suficiente. La normativa exige demostrar que esa copia se puede restaurar. ¿Cuándo fue la última vez que probaste la tuya?
5. Responsable de seguridad designado No tiene que ser un empleado a tiempo completo. Para muchas pymes, la figura del CISO virtual o consultor IT externo es perfectamente válida y es la opción más eficiente.
Las sanciones son dos: económicas y personales.
En el plano económico, las multas llegan hasta 10 millones de euros o el 2% de la facturación mundial anual para entidades esenciales, y hasta 7 millones o el 1,4% para entidades importantes.
En el plano personal, y esto es lo que más sorprende a los directivos: los CEO y miembros del consejo de administración responden personalmente ante las autoridades por el cumplimiento NIS2. En caso de negligencia demostrable, pueden ser inhabilitados temporalmente como directivos.
El primer paso es saber si tu empresa está realmente en el ámbito de aplicación y en qué estado se encuentra tu infraestructura actual respecto a los requisitos.
En DataRecover trabajamos con empresas para ordenar su infraestructura IT, proteger sus datos y estar preparadas para auditorías y cumplimiento normativo. Si tienes dudas sobre si la NIS2 te aplica o qué necesitas hacer para cumplirla, podemos ayudarte a dar el primer paso.
