Estos son los 7 puntos que cubre este artículo sobre qué es NIS2 y quién debe cumplirla:
- Qué es NIS2
- Quién debe cumplir NIS2 (entidades esenciales e importantes)
- Qué implica el cumplimiento
- Notificación de incidentes y gestión del riesgo
- Sanciones por incumplimiento
- Plazos y aplicación en la UE
- Cómo prepararte y qué hacer a continuación
Las ciberamenazas han dejado de ser solo un problema técnico: son un riesgo de negocio. Como respuesta, la UE ha desplegado NIS2, la directiva que refuerza la ciberseguridad en sectores críticos y en proveedores de servicios digitales.
Si operas en Europa, en especial en Saas, servicios en la nube o servicios gestionados, necesitas saber qué es NIS2 y quién debe cumplirla.
Esta guía responde exactamente eso: qué es NIS2, quién está obligado a cumplirla, qué exige el cumplimiento y qué plazos y sanciones aplican. Es más amplia, más estricta y más exigible que la directiva NIS original, y no es opcional para las entidades que quedan dentro del alcance.
¿Qué es NIS2?
NIS2 es la segunda versión de la Directiva de la UE sobre la seguridad de las redes y sistemas de información (Directiva 2022/2555). Sustituye y amplía la directiva NIS original con un alcance más amplio, obligaciones más claras y sanciones más contundentes.
El objetivo es establecer una base común para la gestión del riesgo cibernético en todos los Estados miembros, elevar la resiliencia y la capacidad de respuesta ante incidentes. NIS2 deja atrás las “buenas prácticas recomendadas” y las convierte en requisitos obligatorios, respaldados por supervisión y sanción a nivel nacional.
La directiva está en vigor desde enero de 2023; tras la transposición nacional, las autoridades competentes podrán iniciar actuaciones de supervisión y sanción conforme al derecho interno.
Cada país ha incorporado NIS2 a su ordenamiento, por lo que conviene verificar las obligaciones concretas en los Estados donde operas.
¿Quién debe cumplir NIS2? Entidades esenciales e importantes
Para saber qué es NIS2 y quién debe cumplirla hay que fijarse en dos categorías: entidades esenciales y entidades importantes.
Las entidades esenciales incluyen organizaciones de sectores como energía, transporte, banca, sanidad, agua, infraestructuras digitales, administración pública e incluso espacio. Son empresas cuya interrupción tendría consecuencias graves para la sociedad o la economía.
Las entidades importantes abarcan, entre otros: marketplaces online, proveedores de servicios en la nube, plataformas SaaS, empresas de servicios IT gestionados, correos y gestión de residuos, industria química, alimentación, fabricación, investigación.
En la práctica, si prestas servicios digitales a sectores críticos o alojas datos sensibles, es muy probable que encajes aquí.
El tamaño también cuenta: si tu empresa supera ciertos umbrales (habitualmente más de 50 empleados o más de 10 millones de euros de facturación anual), aumenta la probabilidad de estar en el alcance. Incluso empresas más pequeñas pueden estar incluidas si desempeñan un papel relevante en cadenas de suministro críticas o infraestructuras clave.
SaaS no está exento de NIS2. Si das soporte a funciones críticas o a sectores esenciales o importantes, probablemente estés dentro del alcance. Cada Estado miembro ha detallado en su transposición qué actividades y umbrales aplican; conviene contrastar con la normativa nacional.
Un gap analysis o un diagnóstico de alcance con un partner especializado te permite salir de dudas y priorizar las medidas que necesitas antes de una posible inspección.
¿Qué implica el cumplimiento de NIS2?
Entender qué es NIS2 y quién debe cumplirla incluye conocer las obligaciones que genera. En resumen, las organizaciones deben:
- Implementar medidas técnicas y organizativas adecuadas y proporcionales para proteger redes y sistemas: control de accesos, cifrado, evaluaciones periódicas de vulnerabilidades, y gestión de la ciberseguridad de forma estructurada.
- Establecer un mecanismo de notificación de incidentes. Los incidentes graves de ciberseguridad deben notificarse sin demora a la autoridad nacional competente (plazos detallados más abajo), con investigación y acciones correctivas.
- Gestionar el riesgo de forma continua, incluyendo sistemas internos, proveedores y servicios externalizados. Si un proveedor introduce vulnerabilidades, la responsabilidad puede recaer en tu organización.
- Designar un responsable de cumplimiento o de seguridad. NIS2 exige que las responsabilidades en ciberseguridad estén claramente asignadas, con supervisión a nivel de dirección. No se impone un título concreto (CISO, responsable de cumplimiento, etc.), pero debe haber al menos una persona identificable que coordine el cumplimiento y lidere el proceso.
- Formación del personal. La directiva obliga a garantizar que los empleados reciban formación periódica en ciberseguridad, y que la alta dirección se forme para comprender riesgos y responsabilidades (Artículo 20). La formación debe ser recurrente, documentada y adaptada al rol.
- Resiliencia operativa y cadena de suministro. Se esperan pruebas periódicas (simulacros de incidentes, continuidad de negocio), supervisión de proveedores TIC y documentación que demuestre que los controles funcionan en la práctica. Los contratos con proveedores deben incluir cláusulas de seguridad y cooperación regulatoria, y debes poder demostrar que supervisas activamente a los terceros.
Si además procesas datos personales, las buenas prácticas para implementar el RGPD complementan bien tu marco de cumplimiento.
Notificación de incidentes y gestión del riesgo bajo NIS2
Uno de los requisitos más exigentes de NIS2 es la notificación de incidentes. Las autoridades nacionales exigen una alerta temprana en un plazo muy corto (en la práctica, en menos de 24 horas desde que se detecta un incidente grave) y una notificación completa en un plazo mayor (por ejemplo 72 horas según el esquema de la directiva), con detalles sobre impacto y medidas adoptadas.
Por eso las empresas deben tener protocolos internos listos: procedimientos claros para detectar, evaluar y escalar incidentes, con roles definidos y canales de comunicación con la autoridad. Si no tienes definido qué se considera un incidente notificable ni quién activa el proceso, el riesgo de incumplimiento y de respuesta caótica es alto.
La gestión del riesgo no es un ejercicio puntual. NIS2 exige mantener la evaluación de riesgos actualizada, revisarla ante cambios tecnológicos, estructurales o regulatorios, y usarla como base para las decisiones. No basta con haber hecho un análisis en 2024; hay que demostrar que lo revisas y que las medidas evolucionan.
Sanciones por incumplimiento de NIS2
NIS2 otorga a los reguladores nacionales capacidad para investigar, auditar y sancionar a las empresas que no cumplan.
Para entidades esenciales, las multas pueden alcanzar 10 millones de euros o el 2% de la facturación global anual, lo que sea mayor. Para entidades importantes, las sanciones pueden llegar hasta 7 millones de euros o el 1,4% del volumen de negocio global.
Además del impacto económico, el incumplimiento puede conllevar daño reputacional, exclusión de cadenas de suministro y responsabilidad personal de los directivos en casos de negligencia grave. Las autoridades pueden solicitar evidencias, realizar inspecciones y exigir medidas correctivas; en NIS2, lo que no puedes demostrar no existe para el supervisor.
Plazos y aplicación de NIS2 en la UE
Los Estados miembros debían transponer NIS2 a sus leyes nacionales antes del 17 de octubre de 2024. A partir de esa fecha comenzó la aplicación efectiva, con diferencias de detalle según el país.
Startups y scale-ups no deberían asumir que están exentas. Incluso empresas SaaS pequeñas pueden estar en el alcance si prestan servicios a sectores esenciales o importantes o funcionan como eslabón crítico en infraestructuras. Si tienes dudas sobre si tu empresa es entidad esencial o importante, un diagnóstico de alcance y preparación es el primer paso.
Qué documentación y medidas necesitas para cumplir NIS2
Para cumplir NIS2 no basta con “estar al día”: hay que demostrarlo. Las autoridades pueden solicitar documentación actualizada (políticas, procedimientos, contratos con proveedores), evidencias operativas (registros, logs, actas de simulacros de incidentes), trazabilidad entre riesgos y medidas aplicadas, y personas responsables con procesos activos.
Conviene tener: registro de riesgos y plan de tratamiento, política de ciberseguridad y asignación de responsabilidades, procedimiento de notificación de incidentes probado y documentado, programa de formación con registros de asistencia y contenidos por rol, evaluación y supervisión de proveedores TIC, y evidencias de pruebas de resiliencia (simulacros, continuidad).
Un sistemas de gestión de seguridad (SGSI) alineado con obtener la certificación ISO 27001 puede facilitar el cumplimiento de muchos requisitos de NIS2, ya que comparten enfoque de riesgo y controles.
Errores que te pueden frenar al cumplir NIS2
Estos fallos son frecuentes y pueden retrasar el cumplimiento o generar sanciones:
Asumir que “no te aplica” sin comprobarlo. Si operas en sectores digitales o críticos, verifica con la transposición nacional si eres entidad esencial o importante.
No designar un responsable claro. NIS2 exige responsabilidad asignada y supervisión a nivel de dirección; sin un dueño del cumplimiento, la coordinación con autoridades y la coherencia interna se resienten.
Formar solo a IT o hacer una única sesión. La directiva exige formación periódica, documentada y adaptada al rol, incluyendo a la alta dirección. No conservar registros ni evaluaciones debilita tu posición ante una inspección.
No tener protocolo de incidentes listo. Notificar en 24 horas requiere procedimientos claros, roles definidos y equipos que sepan cuándo y cómo activarlos. Improvisar en un incidente real aumenta el riesgo regulatorio y reputacional.
Abandonar la gestión del riesgo después de la primera evaluación. NIS2 exige mantener el cumplimiento: revisar riesgos, actualizar documentación y demostrar mejora continua. El cumplimiento no se archiva; se demuestra cada día.
Cómo puede ayudarte PrivaLex con NIS2
En PrivaLex Partners acompañamos a empresas que necesitan claridad sobre qué es NIS2 y quién debe cumplirla, y a las que ya están en alcance y quieren implementar o mantener el cumplimiento. No vendemos software: aportamos criterio, experiencia y acompañamiento directo en análisis de brechas, mapeo de riesgos, diseño de políticas, planes de respuesta ante incidentes, formación y preparación para inspecciones.
Con más de 200 clientes activos y experiencia en DORA para el cumplimiento en Fintech, obtener la certificación ISO 27001 y cumplimiento normativo en la UE, te ayudamos a convertir NIS2 en ventaja competitiva.
Confianza, resiliencia y preparación ante auditorías e incidentes.
Agenda una sesión estratégica con PrivaLex y aclara si tu empresa debe cumplir NIS2 y cómo prepararte.
Preguntas Frecuentes (FAQs)
¿Qué es NIS2 y quién debe cumplirla en la UE?
NIS2 es la Directiva de la UE sobre seguridad de redes y sistemas de información (Directiva 2022/2555).
Deben cumplirla las entidades esenciales (energía, transporte, banca, sanidad, infraestructuras digitales, etc.) y las entidades importantes (entre otras, proveedores de servicios en la nube, SaaS, marketplaces online, servicios IT gestionados). El tamaño (empleados y facturación) y el papel en cadenas críticas también influyen; cada país ha detallado el alcance en su transposición.
¿Mi empresa SaaS debe cumplir NIS2?
Si tu empresa SaaS opera en la UE y encaja en la definición de entidad esencial o importante (por sector, tamaño o papel en infraestructuras críticas), sí. Los proveedores de servicios digitales que atienden a sectores sensibles o alojan datos críticos suelen estar en el alcance.
Verifica la transposición nacional de tu Estado miembro para confirmar.
¿Qué plazos hay para notificar incidentes bajo NIS2?
La directiva exige notificar incidentes graves con alerta temprana en un plazo muy corto (en la práctica, menos de 24 horas desde la detección) y una notificación completa en un plazo mayor (por ejemplo 72 horas), con información sobre impacto y medidas. Los Estados miembros pueden precisar plazos en su normativa nacional.
¿Qué sanciones hay por no cumplir NIS2?
Para entidades esenciales: hasta 10 millones de euros o el 2% de la facturación global anual. Para entidades importantes: hasta 7 millones de euros o el 1,4% del volumen de negocio global. Además, las autoridades pueden imponer medidas correctivas, y en casos de negligencia grave puede existir responsabilidad personal de los directivos.
¿NIS2 exige formación del personal?
Sí. NIS2 obliga a que los empleados reciban formación periódica en ciberseguridad y que la alta dirección se forme para comprender riesgos y responsabilidades. La formación debe ser recurrente y documentada. Las autoridades pueden solicitar evidencias en una inspección.
¿Cómo me preparo para cumplir NIS2?
Comprueba si tu empresa es entidad esencial o importante según la transposición nacional; asigna un responsable de cumplimiento; realiza una evaluación de riesgos cibernéticos (infraestructura, servicios, APIs, dependencias con terceros); implementa medidas técnicas y organizativas proporcionales (control de accesos, autenticación multifactor, respuesta ante incidentes, formación continua); establece un protocolo de notificación de incidentes probado y con roles definidos; diseña un programa de formación documentado y adaptado por rol; y mantén la documentación y las evidencias actualizadas.
Las auditorías o inspecciones bajo NIS2 no son puntuales: las autoridades pueden solicitar evidencias en cualquier momento, por lo que integrar el cumplimiento en el ritmo operativo es clave. Un partner como PrivaLex puede acompañarte en el diagnóstico y la implementación.
Siguiente paso
Saber qué es NIS2 y quién debe cumplirla es el primer paso; el siguiente es comprobar si tu empresa está en alcance y prepararte con tiempo. Agenda una llamada con PrivaLex y convirtamos el cumplimiento normativo en tu ventaja competitiva.
