main content
< Volver a blog sobre aplicaciones móviles

Normativa NIS2: Cómo Afecta a las Pymes en España

Si has oído hablar de la NIS2 y se te ha encogido un poco el estómago, respira. La Directiva NIS2 (Network and Information Security 2) ha cambiado las reglas de la ciberseguridad empresarial en Europa, sí, pero detrás del nombre técnico hay decisiones bastante concretas que puedes tomar con calma. Tras su transposición al ordenamiento jurídico español, pymes que antes ni se planteaban tener obligaciones en seguridad digital ahora tienen deberes que cumplir. La buena noticia: una vez sabes qué exige la norma, si te afecta y por dónde empezar, deja de parecer un muro y empieza a parecer una lista de tareas. Vamos a traducir el "legalés" a eso, a tareas.

Qué es la Directiva NIS2 y por qué existe

La NIS2 es la Directiva (UE) 2022/2555, la versión madura de aquella primera Directiva NIS de 2016. Nació porque la foto había cambiado: ataques más sofisticados, un tejido empresarial europeo poco protegido y un mosaico de reglas distintas según el país. Bruselas decidió poner orden.

Principales diferencias entre NIS1 y NIS2

Aspecto NIS1 (2016) NIS2 (2022)
Sectores afectados 7 sectores esenciales 18 sectores (esenciales + importantes)
Tipo de empresas Principalmente grandes operadores También medianas empresas y muchas pymes
Sanciones máximas Variable según estado miembro Hasta 10 M€ o 2 % facturación global
Responsabilidad de la dirección No explícita La dirección responde personalmente
Gestión de riesgos Orientativa Obligaciones específicas detalladas
Notificación de incidentes 72 horas Alerta en 24 h + notificación en 72 h
Seguridad de la cadena de suministro No contemplada Obligación explícita

Mira la primera fila: de 7 sectores a 18. Esa cifra explica por qué tú, que quizá nunca te diste por aludido con la NIS1, ahora estás leyendo esto. El objetivo de fondo es sencillo de resumir: un mismo suelo de ciberseguridad en toda la UE, sin que una empresa esté blindada en un país y desprotegida en el de al lado.

Transposición de la NIS2 en España

Cada estado miembro tenía una fecha límite para llevar la directiva a su legislación nacional: el 17 de octubre de 2024. España no fue una excepción, y el camino tuvo sus matices.

Estado actual de la transposición

La transposición se ha articulado actualizando el Real Decreto-ley de seguridad de las redes y sistemas de información, es decir, adaptando el marco que ya existía a las nuevas exigencias europeas en lugar de construir uno desde cero. En esa estructura, el Centro Criptológico Nacional (CCN) y el INCIBE quedan como autoridades de referencia.

Autoridades competentes en España

¿A quién tienes que mirar según quién seas? Básicamente a estas cuatro puertas:

  • INCIBE (Instituto Nacional de Ciberseguridad): tu interlocutor si eres empresa del sector privado o ciudadano.
  • CCN-CERT (Centro Criptológico Nacional): responsable del sector público y de entidades que manejan información clasificada.
  • CNPIC (Centro Nacional de Protección de Infraestructuras Críticas): para operadores de infraestructuras críticas.
  • Autoridades sectoriales: cada sector puede tener además sus propias autoridades de supervisión.

Si eres una pyme privada, casi siempre tu referencia será INCIBE. Quédate con ese nombre.

¿Tu pyme está afectada por la NIS2?

Aquí está la pregunta que importa, así que vamos despacio. La NIS2 ensancha muchísimo el ámbito de aplicación frente a la directiva anterior, y la respuesta no es un simple sí o no: depende de tu sector, de tu tamaño y, atención, de a quién le vendes.

Sectores cubiertos por la NIS2

La directiva separa entidades esenciales de entidades importantes:

Sectores de alta criticidad (entidades esenciales):

  • Energía (electricidad, gas, petróleo, hidrógeno, calefacción y refrigeración urbanas)
  • Transporte (aéreo, ferroviario, marítimo, por carretera)
  • Banca y mercados financieros
  • Sanidad
  • Agua potable y aguas residuales
  • Infraestructuras digitales (DNS, registros de nombres de dominio, servicios en la nube, centros de datos, redes de distribución de contenido, servicios de confianza)
  • Gestión de servicios TIC (B2B)
  • Administración pública
  • Espacio

Otros sectores críticos (entidades importantes):

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación, producción y distribución de sustancias químicas
  • Producción, transformación y distribución de alimentos
  • Fabricación (dispositivos médicos, productos informáticos, electrónicos, ópticos, maquinaria, vehículos de motor, otro material de transporte)
  • Proveedores de servicios digitales (mercados en línea, motores de búsqueda, plataformas de redes sociales)
  • Investigación

Criterios de tamaño

Como regla general, la NIS2 se aplica a:

  • Entidades medianas: al menos 50 empleados o facturación anual superior a 10 millones de euros.
  • Entidades grandes: al menos 250 empleados o facturación anual superior a 50 millones de euros.

Hasta aquí lo previsible. Pero ojo, porque hay excepciones que se saltan el criterio de tamaño y atrapan a pymes pequeñas:

  • Proveedores de servicios de confianza, registros de nombres de dominio y proveedores de DNS: afectados sin importar su tamaño.
  • Proveedores únicos en un estado miembro de un servicio esencial: también incluidos sin límite de tamaño.
  • Empresas cuya interrupción tendría un impacto significativo en la seguridad pública, el orden público o la salud pública.
  • Empresas de la cadena de suministro de entidades esenciales: pueden verse obligadas contractualmente a cumplir requisitos similares.

La trampa de la cadena de suministro

Esta última es la que pilla a más gente por sorpresa, así que la separo aparte. Imagina que tu pyme no llega a los 50 empleados ni a los 10 millones, y respiras tranquilo. Pero resulta que uno de tus principales clientes sí está obligado por la NIS2. Ese cliente puede meter en el contrato, como condición para seguir trabajando contigo, que cumplas determinados requisitos de seguridad. Sobre el papel no estarías afectado; en la práctica, te llega por la puerta de atrás. Por eso conviene mirar no solo lo que eres, sino para quién trabajas.

Obligaciones principales para las empresas afectadas

Estás dentro del ámbito de la NIS2. Vale, ¿y ahora qué? Estas son las tres familias de deberes que tendrás que ordenar.

1. Medidas de gestión de riesgos de ciberseguridad

La norma pide medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos. "Proporcionadas" es la palabra que te debe tranquilizar: no se espera lo mismo de una empresa de 60 personas que de una multinacional. Como suelo mínimo, deben incluir:

  • Políticas de análisis de riesgos y seguridad de los sistemas de información.
  • Gestión de incidentes: procedimientos de detección, análisis, contención y respuesta.
  • Continuidad de negocio: planes de continuidad, gestión de copias de seguridad, recuperación ante desastres y gestión de crisis.
  • Seguridad de la cadena de suministro: evaluación y gestión de riesgos de proveedores y prestadores de servicios.
  • Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información: incluida la gestión de vulnerabilidades.
  • Políticas y procedimientos de evaluación de la eficacia de las medidas de gestión de riesgos.
  • Prácticas básicas de ciberhigiene y formación.
  • Políticas sobre el uso de criptografía y cifrado.
  • Seguridad de los recursos humanos, control de acceso y gestión de activos.
  • Uso de autenticación multifactor (MFA) y comunicaciones seguras.

2. Obligaciones de notificación de incidentes

Cuando algo grave pasa, la NIS2 no quiere un único informe a final de mes: quiere un goteo de información en fases con plazos claros.

Fase Plazo Contenido
Alerta temprana 24 horas desde la detección Indicar si el incidente puede tener impacto transfronterizo o ser causa de un acto ilícito
Notificación del incidente 72 horas desde la detección Evaluación inicial, gravedad, impacto e indicadores de compromiso
Informe intermedio A petición de la autoridad Actualizaciones sobre el estado del incidente
Informe final 1 mes desde la notificación Descripción detallada, causa raíz, medidas de mitigación, impacto transfronterizo

¿Y qué se considera un incidente significativo? Aquel que ha causado o puede causar graves perturbaciones operativas o pérdidas financieras, o que ha afectado o puede afectar a otras personas físicas o jurídicas causando perjuicios materiales o inmateriales considerables. Traducido: si te tiembla el negocio o puede salpicar a terceros, cuenta.

3. Responsabilidad de la dirección

Aquí viene una de las novedades que más conviene entender bien, porque cambia quién pone la firma. La responsabilidad de la ciberseguridad recae directamente sobre los órganos de dirección. En la práctica:

  • Los directivos deben aprobar las medidas de gestión de riesgos de ciberseguridad.
  • Deben supervisar su implementación.
  • Pueden ser considerados personalmente responsables en caso de incumplimiento.
  • Están obligados a recibir formación en ciberseguridad.

En una pyme esto pesa más que en una gran corporación. El gerente que firma nóminas, negocia con el banco y atiende a los clientes es, además, quien responde si la seguridad falla. No es para asustarse; es para que la ciberseguridad deje de ser "cosa de informática" y suba a la mesa de quien decide.

Sanciones por incumplimiento

Hablemos de los números, sin dramatizarlos pero sin esconderlos. El régimen sancionador de la NIS2 es bastante más severo que el de su predecesora, y cambia según en qué grupo estés:

Para entidades esenciales:

  • Multas de hasta 10.000.000 de euros o el 2 % de la facturación anual global, la cifra que sea mayor.

Para entidades importantes:

  • Multas de hasta 7.000.000 de euros o el 1,4 % de la facturación anual global, la cifra que sea mayor.

El dinero no es lo único en juego. Las autoridades también pueden imponer la suspensión temporal de certificaciones o autorizaciones, prohibir temporalmente que los responsables ejerzan funciones directivas y dictar órdenes de cumplimiento con plazos determinados. La lectura útil de todo esto no es el miedo, sino la prioridad: estos importes existen para que cumplir salga más a cuenta que ignorar.

Guía práctica: cómo preparar tu pyme para cumplir la NIS2

Si tu empresa está afectada, o sospechas que puede estarlo, aquí tienes el camino paso a paso. Léelo como una hoja de ruta, no como una cuesta arriba.

Paso 1: Determina si tu empresa está obligada

  • Identifica en qué sector opera tu empresa según la clasificación de la NIS2.
  • Comprueba si cumples los umbrales de tamaño (50 empleados o 10 millones de facturación).
  • Evalúa si te aplica alguna de las excepciones por tamaño.
  • Verifica si tus clientes principales están afectados y pueden exigirte el cumplimiento.

Paso 2: Realiza un análisis de riesgos

  • Identifica tus activos digitales críticos.
  • Evalúa las amenazas y vulnerabilidades.
  • Determina el nivel de riesgo para cada activo.
  • Prioriza las medidas de mitigación según el nivel de riesgo.

Paso 3: Implementa las medidas mínimas

  • Desarrolla e implanta las políticas y procedimientos exigidos.
  • Implementa las medidas técnicas necesarias (MFA, cifrado, segmentación de red, etc.).
  • Establece un proceso de gestión de incidentes.
  • Elabora un plan de continuidad de negocio.
  • Evalúa la seguridad de tu cadena de suministro.

Paso 4: Forma a tu equipo y dirección

  • Programa formación específica para los órganos de dirección.
  • Implanta un programa de concienciación en ciberseguridad para todos los empleados.
  • Designa responsables internos de seguridad de la información.

Paso 5: Establece el proceso de notificación

  • Define internamente qué constituye un incidente significativo.
  • Prepara plantillas y procedimientos para las notificaciones en los plazos exigidos.
  • Identifica los canales de comunicación con las autoridades competentes.
  • Realiza simulacros de notificación.

Paso 6: Documenta y audita

  • Documenta todas las medidas implementadas.
  • Establece un ciclo de revisión y mejora continua.
  • Considera obtener certificaciones de referencia como ISO 27001 o el Esquema Nacional de Seguridad (ENS).
  • Programa auditorías internas o externas periódicas.

Relación entre NIS2 y otras normativas

La NIS2 no vive sola en tu agenda de cumplimiento, y conviene saber con quién comparte espacio para no duplicar esfuerzos ni dejar huecos:

  • RGPD: si el incidente afecta a datos personales, además tendrás que notificar a la AEPD según el RGPD. Plazos y requisitos son complementarios, no excluyentes.
  • ENS (Esquema Nacional de Seguridad): obligatorio para empresas que trabajan con la Administración Pública, y con sinergias notables respecto a lo que pide la NIS2.
  • DORA (Digital Operational Resilience Act): específica del sector financiero. Una entidad financiera puede estar sujeta a ambas a la vez.
  • Reglamento de Ciberresiliencia (CRA): afecta a fabricantes de productos con elementos digitales. Si fabricas o distribuyes software o hardware, también te toca.

La buena noticia: si avanzas en una, casi siempre estás avanzando en las demás.

Oportunidades para las pymes

Hasta ahora hemos hablado de deberes. Démosle la vuelta, porque adaptarse a la NIS2 no es solo evitar multas:

  • Ventaja competitiva: una pyme que cumple puede presentarse como proveedor de confianza ante clientes que ya exigen seguridad a sus proveedores.
  • Acceso a contratos públicos: muchas licitaciones exigen, o valoran, estándares de ciberseguridad acreditados.
  • Mejora operativa: ordenar copias de seguridad, accesos y continuidad hace que el negocio funcione mejor, no solo más seguro.
  • Protección real del negocio: más allá del papel, estas medidas frenan ataques que pueden costar mucho más que la inversión en prevenirlos.

Preguntas frecuentes sobre NIS2 para pymes

¿Mi empresa de 15 empleados está afectada? En principio, con menos de 50 empleados y menos de 10 millones de facturación, no estarás directamente obligada. Pero hay dos peros: si operas en sectores específicos (servicios de confianza digital, DNS) o si eres proveedor de empresas afectadas, podrías quedar dentro de todos modos.

¿Cuánto cuesta cumplir con la NIS2? Depende mucho de tu punto de partida. Una pyme que arranca de cero puede mover entre 15.000 y 60.000 euros, contando consultoría, herramientas y formación. Si ya tienes medidas básicas funcionando, la cifra baja.

¿Puedo cumplir NIS2 con ISO 27001? ISO 27001 cubre buena parte de los requisitos, no todos. Tener la certificación te coloca en una posición cómoda de salida, pero necesitarás ajustes concretos, sobre todo en notificación de incidentes y en la responsabilidad de la dirección.

¿Qué ocurre si no cumplo? Además de las sanciones económicas, puedes perder contratos con clientes que exigen cumplimiento a sus proveedores, sufrir daño reputacional y quedar expuesto a la responsabilidad personal de los directivos.

No dejes el cumplimiento para el último momento

La NIS2 no es una moda que vaya a evaporarse: es el nuevo estándar de ciberseguridad en Europa. Las empresas que se adelanten partirán con ventaja frente a las que esperen a la primera sanción para moverse. Y adelantarse no significa correr; significa empezar con orden.

En Tangram Consulting acompañamos a pymes en ese recorrido: evaluamos si te afecta la normativa NIS2, diseñamos planes de adecuación a medida y estamos al lado del cliente durante toda la implementación, no solo al principio.

¿No tienes claro si tu empresa entra dentro de la NIS2? Cuéntanoslo en https://tangramconsulting.es/contacto y lo aclaramos contigo. Si te afecta, te propondremos un plan realista, ajustado a los recursos reales de tu pyme y sin sustos. Cumplir con la norma, hecho con cabeza, no es un dolor de cabeza: es una inversión en que tu empresa siga funcionando mañana.

Contacta con nosotros

¿Tienes un proyecto en mente?

Agendar consultoría gratuita