Normativa NIS2 en España: qué empresas están obligadas en 2026

por Fernando Lominchar | 19 Dic, 2025

Si eres directivo de una empresa en cualquiera de los 18 sectores críticos, seguro que has oído hablar de NIS2. Probablemente en una reunión alguien dijo «tenemos que cumplir con esto», todos asintieron, y ahí quedó la cosa. Mientras tanto, el reloj no se ha parado.

La normativa NIS2 España entró en vigor oficialmente en enero de 2025, después de que el país llegara tarde (como suele pasar) a la fecha límite europea de octubre 2024. Ahora mismo, cerrando 2025, las empresas afectadas tienen unos meses contados para implementar medidas que realísticamente necesitan entre medio año y un año. Y aquí viene lo que preocupa de verdad: las multas arrancan en 7 millones de euros y llegan hasta 10 millones. Con responsabilidad personal de directivos. Sí, personal.

Lo que hace especial a esta normativa no es solo el dinero. Es que el alcance se multiplicó: donde antes NIS1 cubría cuatro operadores grandes muy específicos, ahora NIS2 mete en el mismo saco desde compañías eléctricas hasta marketplaces online, pasando por fábricas de componentes electrónicos y empresas de gestión de residuos. Si tienes más de 50 empleados en estos sectores, hay muchas posibilidades de que estés dentro.

Vamos al grano: qué cambia exactamente, quién está obligado de verdad, cuánto duele no cumplir, y sobre todo, qué pasos dar ahora mismo antes de que empiecen las inspecciones en serio durante 2026.

Timeline implementación normativa NIS2 España 2025-2026

Contenido del artículo

Qué es la directiva NIS2 y por qué es urgente

La directiva ciberseguridad NIS2 (Network and Information Security Directive 2) es la normativa europea que obliga a empresas de sectores críticos a tener medidas de seguridad digital robustas y demostrables. Sustituye a la anterior NIS1, que apenas cubría unos pocos operadores muy grandes.

El objetivo oficial suena bonito: proteger infraestructuras críticas europeas de ciberataques que podrían dejar sin luz a ciudades enteras, paralizar hospitales o tumbar redes de suministro. El objetivo práctico para ti como empresa es más directo: demostrar con papeles y evidencias que sabes prevenir, detectar y responder a problemas de seguridad. No vale con «tenemos buenas prácticas». Hay que probarlo.

La urgencia viene por tres frentes que coinciden en el tiempo:

Los plazos ya se cumplieron. España aprobó la transposición en enero 2025. Técnicamente hay un periodo de adaptación, pero las autoridades competentes van a empezar inspecciones y procedimientos sancionadores durante 2026. No es que «vayan a empezar algún día», es que van a empezar el año que viene.

Implementar esto lleva tiempo real. No es firmar un documento y listo. Necesitas hacer análisis de riesgos, documentar políticas, implementar controles técnicos, formar a tu gente, probar procedimientos, y generar evidencias auditables de todo. Si empiezas ahora en diciembre 2025, con suerte llegas para marzo o abril 2026. Y eso trabajando a buen ritmo.

La dirección responde personalmente. Este punto lo repito porque mucha gente no se lo cree hasta que lo ve negro sobre blanco. No puedes delegar esto al informático y olvidarte del tema. Los CEOs y consejos de administración responden ante las autoridades por el cumplimiento NIS2. Si hay brecha por negligencia demostrable, pueden inhabilitarte temporalmente como directivo. No es broma.

Diferencias entre NIS1 y NIS2

NIS1 era un marco muy básico que solo cubría operadores grandes en sectores muy concretos. Funcionó como piloto, pero se quedó corto. NIS2 lo cambia todo:

El ámbito se multiplica. De 7 sectores pasamos a 18. De unos cientos de empresas obligadas a potencialmente cientos de miles en toda Europa.

El tamaño ya no te salva. NIS1 se centraba en grandes corporaciones. NIS2 incluye empresas medianas (50+ empleados o 10 millones de facturación) e incluso pymes si hacen algo crítico o único.

Tus proveedores también importan. NIS1 apenas mencionaba la cadena de suministro. Ahora tienes que evaluar la seguridad de tus proveedores críticos antes de contratarlos, meter cláusulas específicas en contratos, y auditarlos periódicamente.

La dirección está en primera línea. Antes no había responsabilidad personal clara. Ahora la alta dirección tiene que formarse obligatoriamente en gestión de riesgos cibernéticos y responder directamente si las cosas van mal.

Las sanciones tienen números concretos. NIS1 hablaba de multas «efectivas y disuasorias» pero sin cifras. NIS2 va directo: hasta 10 millones o 2% de facturación global para entidades esenciales. Hasta 7 millones o 1,4% para entidades importantes.

Los plazos de notificación son estrictos. Ya no vale con «avisamos cuando podamos». Tienes 24 horas para la alerta inicial, 72 horas para la notificación formal, y 30 días para el informe completo. Incumplir estos plazos es sancionable por sí solo.

Cambios clave de la normativa

Más allá de la lista de diferencias, hay cambios que te van a afectar operativamente cada día:

Todo necesita evidencias. Ya no funciona eso de «sí, tenemos buenas prácticas de seguridad». Necesitas un análisis de riesgos documentado, actualizado mínimo cada año, que identifique amenazas específicas, vulnerabilidades concretas, impactos potenciales medidos, y las medidas que has puesto para mitigarlo todo.

Hay controles técnicos obligatorios. La norma lista cosas específicas que debes tener: análisis de vulnerabilidades regular, cifrado, autenticación multifactor, segmentación de redes, backups probados, gestión de incidentes, planes de continuidad, y formación continua de personal. No son sugerencias.

Las autoridades van a venir a ver. No solo reaccionan cuando hay un problema. Van a hacer inspecciones periódicas, pedirte evidencias, y puedes estar obligado a contratar auditorías externas que certifiquen tu cumplimiento.

Tienes que compartir información. Participación en esquemas de intercambio de inteligencia de amenazas con otras empresas del sector y con las autoridades. Si descubres una vulnerabilidad nueva o un tipo de ataque emergente, no te lo puedes quedar para ti.

Supply chain security es parte del juego. Evaluación de proveedores críticos, cláusulas de seguridad en todos los contratos relevantes, y mecanismos para verificar que tu cadena de suministro también cumple. Porque si un proveedor te la lía, tú respondes.

Empresas obligadas a cumplir NIS2 en 2026

Tamaño empresarial y sectores críticos

El criterio base es relativamente simple: si tu empresa tiene más de 50 empleados O más de 10 millones de euros de facturación en uno de los 18 sectores críticos, probablemente estés dentro. Pero ojo, hay excepciones que meten también a empresas más pequeñas.

Los 18 sectores críticos son estos:

Anexo I (los más críticos): Energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital (DNS, TLD, registros de nombres de dominio, proveedores de servicios cloud, centros de datos), gestión de servicios TIC B2B (servicios gestionados y de seguridad gestionados), administración pública, espacio.

Anexo II (también críticos, pero un escalón menos): Servicios postales, gestión de residuos, fabricación (productos químicos, dispositivos médicos, electrónica, maquinaria, vehículos), alimentación, proveedores digitales (marketplaces online, motores de búsqueda, plataformas de redes sociales), investigación.

Pero el tamaño no lo es todo. Una startup tecnológica de 20 personas que gestiona infraestructura DNS crítica está claramente dentro. Una pyme logística de 35 empleados que opera en puertos puede entrar por la criticidad de lo que hace, no por su tamaño.

Entidades esenciales vs importantes

La normativa NIS2 España separa empresas en dos categorías que tienen obligaciones muy parecidas pero sanciones diferentes:

Entidades esenciales (Anexo I):

Los sectores de máxima criticidad: energía, transporte, banca, salud, agua, infraestructura digital
Supervisión más dura con inspecciones regulares programadas
Obligación de auditorías de seguridad cada 2 años como mínimo
Multas hasta 10 millones de euros o 2% facturación global, lo que sea mayor

Entidades importantes (Anexo II):

Sectores críticos pero con impacto sistémico menos inmediato
Supervisión más ligera, principalmente cuando hay incidentes
Auditorías según lo que decidan las autoridades caso por caso
Multas hasta 7 millones de euros o 1,4% facturación global

Las dos categorías comparten prácticamente todas las obligaciones NIS2: análisis de riesgos, medidas técnicas y organizativas, políticas de seguridad documentadas, gestión de continuidad, seguridad de proveedores, procedimientos de notificación, formación de dirección y empleados.

La diferencia principal está en cuánto te vigilan y cuánto te pueden multar, no en lo que tienes que hacer. Así que no te confíes si estás en Anexo II pensando que es más light. Las medidas son las mismas.

Directivos analizando sanciones y responsabilidad por incumplimiento NIS2

Sanciones por incumplimiento: hasta 10 millones de euros

Multas y responsabilidad directiva

Las sanciones de NIS2 son las más serias que se han visto en normativa de ciberseguridad en Europa hasta ahora. El mensaje del regulador está clarísimo: la seguridad digital es tan importante como la seguridad física o financiera.

Para entidades esenciales:

Hasta 10.000.000 € o 2% de facturación anual global del ejercicio anterior, lo que sea mayor
Responsabilidad personal de los miembros del órgano de dirección
Inhabilitación temporal posible para ejercer funciones directivas

Para entidades importantes:

Hasta 7.000.000 € o 1,4% de facturación anual global, otra vez lo que sea mayor
Misma responsabilidad personal que las esenciales
Sanciones proporcionales según gravedad y si hay reincidencia

¿Qué cosas concretas te pueden sancionar?

No tener medidas de gestión de riesgos. Literalmente no tener análisis de riesgos, o tenerlo pero no implementar los controles necesarios, o tenerlo todo pero sin actualizarlo nunca.

No notificar incidentes correctamente. No avisar en plazo, ocultar información, dar notificaciones incompletas o directamente falsas.

No cooperar con las autoridades. No dar información cuando te la piden, poner trabas en inspecciones, no implementar medidas correctoras que te hayan ordenado.

Dirección sin formación. Los órganos de dirección tienen que recibir formación específica en gestión de riesgos cibernéticos. La ignorancia ya no es excusa válida para nada.

Lo que hace esto especialmente serio es la responsabilidad personal directiva. El CEO puede ser personalmente sancionado e inhabilitado si se demuestra que no supervisó el cumplimiento NIS2 de la empresa. Ya no es «la empresa tiene un problema», es «tú como directivo tienes un problema».

Casos reales de sanciones en Europa

NIS2 es relativamente reciente, pero ya hay precedentes bajo marcos similares que nos dan pistas de por dónde van los tiros:

Alemania – Operador de energía (2024): Multa de 3,2 millones de euros a una operadora eléctrica por no tener medidas de seguridad adecuadas. Una auditoría detectó vulnerabilidades críticas conocidas sin parchear durante meses. Meses, no días.

Francia – Hospital público (2024): Sanción administrativa de 1,8 millones después de una brecha de ransomware que expuso datos de 750.000 pacientes. La investigación demostró que el hospital no había implementado medidas básicas de seguridad que eran obligatorias.

Países Bajos – Proveedor cloud (2023): Multa de 4,5 millones por varios incumplimientos a la vez: no notificaron un incidente en plazo, el análisis de riesgos estaba totalmente desactualizado, y faltaban medidas de cifrado básicas en datos sensibles.

Italia – Operador telecomunicaciones (2024): Sanción de 2,7 millones por una brecha que afectó a 1,2 millones de clientes. Factores que agravaron la multa: era reincidencia, tardaron demasiado en notificar, y no tenían plan de continuidad lo que alargó la interrupción del servicio.

El patrón común en todos estos casos: las multas más gordas vienen cuando se combinan varios incumplimientos, especialmente si hay una brecha real que afecta a gente o servicios críticos, más falta de cooperación o transparencia con las autoridades cuando vienen a investigar.

Checklist medidas técnicas obligatorias cumplimiento NIS2

Cómo empezar con NIS2 antes de que sea tarde

Evaluación de riesgos inicial

Lo primero que tienes que hacer sí o sí es un análisis formal de riesgos de ciberseguridad. No un documento genérico que te bajas de internet y cambias el nombre de la empresa. Tiene que ser específico de tu organización e identificar:

Tus activos críticos de información. Sistemas, datos, aplicaciones, infraestructuras que son vitales para que tu operación funcione. Esto incluye no solo lo que tienes en tu oficina, también servicios cloud o cosas que gestionan terceros para ti.

Amenazas que te afectan de verdad. Ransomware, phishing, ataques de denegación de servicio, amenazas internas, fallos de proveedores. Basadas en tu sector y tu perfil de riesgo real, no una lista genérica copiada de cualquier sitio.

Vulnerabilidades que tienes ahora mismo. Software sin parchear, contraseñas débiles, falta de segmentación de red, backups que nadie ha probado si funcionan, personal que no sabe ni qué es el phishing. Un pentesting profesional aquí es muy recomendable.

Qué pasaría si cada amenaza se materializa. Impacto económico cuantificado, interrupción operativa medida en tiempo, daño reputacional estimado, responsabilidad legal. Todo en términos de negocio que la dirección entienda.

Medidas para mitigar cada riesgo. Qué controles técnicos, organizativos y procedimentales bajarían cada riesgo a un nivel que puedas aceptar. Priorizados por criticidad real y por coste-beneficio.

Este análisis tiene que estar documentado, aprobado formalmente por la dirección, y revisarse como mínimo cada año o cuando cambie algo importante (nuevos sistemas, nuevas amenazas descubiertas, incidentes que hayas sufrido).

En Edorteam hacemos análisis de riesgos específicos para cumplimiento NIS2, mapeando lo que tienes contra lo que pide la directiva y dándote un roadmap priorizado y realista de implementación.

Medidas técnicas básicas

La directiva ciberseguridad NIS2 lista medidas técnicas que son básicamente obligatorias. No hay mucho margen para decir «mi empresa no necesita esto»:

Políticas de análisis de vulnerabilidades y gestión de parches. Escaneos periódicos mínimo cada tres meses, parches críticos aplicados en días no en semanas, todo el proceso registrado y documentado.

Gestión de incidentes de seguridad. Procedimientos claros para detectar, analizar, contener, erradicar y recuperar de incidentes. Con responsables nombrados, canales de comunicación definidos, escalado claro, y conexión con autoridades preparada.

Continuidad de negocio y recuperación ante desastres. Planes probados de verdad, no solo escritos en un cajón, para mantener operaciones críticas durante y después de incidentes. Incluye backups verificados que funcionen, sistemas redundantes, y personal que sepa qué hacer.

Seguridad de la cadena de suministro. Evaluación de proveedores críticos antes de contratarlos, cláusulas de seguridad metidas en contratos, auditorías periódicas de terceros que manejan tus datos o sistemas.

Seguridad en redes. Segmentación adecuada, firewalls configurados bien, sistemas de prevención de intrusiones, monitorización de tráfico anómalo, control de accesos basado en necesidad real de saber.

Control de accesos y gestión de identidades. Autenticación multifactor obligatoria para accesos críticos, revisión periódica de quién tiene permisos de qué, cuentas de empleados que se van eliminadas inmediatamente, principio de mínimo privilegio aplicado de verdad.

Cifrado. Datos sensibles cifrados cuando viajan por la red y cuando están almacenados. Especialmente crítico para backups y cualquier dispositivo móvil.

Formación y concienciación. Programa continuo de capacitación en seguridad para todos los empleados, con foco en reconocer phishing y saber qué hacer cuando detectas algo raro.

Notificación de incidentes

Una de las obligaciones NIS2 más rígidas son los plazos de notificación de incidentes significativos a las autoridades:

24 horas – Alerta temprana: Notificación inicial en cuanto detectes que puede haber un incidente significativo. Con información básica: cuándo pasó, qué sistemas están afectados, impacto que estimas, primeras medidas que has tomado.

72 horas – Notificación formal: Informe más detallado con análisis preliminar: causa probable del incidente, alcance confirmado hasta ese momento, qué datos se han comprometido si es el caso, acciones correctivas que estás haciendo, estimación de impacto final.

30 días – Informe final: Análisis forense completo, causa raíz identificada con certeza, todas las medidas correctivas ya implementadas, lecciones aprendidas del incidente, cambios que has hecho en controles de seguridad para que no vuelva a pasar.

Incumplir estos plazos es infracción sancionable por sí misma, incluso si el incidente al final no causó daños graves. Tienes que notificar aunque no tengas toda la información perfectamente clara en cada plazo.

¿Qué es exactamente un «incidente significativo»? Cualquier cosa que:

Afecte disponibilidad, confidencialidad o integridad de servicios críticos que das
Pueda impactar a otras entidades o servicios en la UE
Cause interrupción operativa importante
Comprometa datos personales o sensibles
Tenga potencial de generar pérdidas económicas o daño reputacional serio

En la práctica, la mayoría de brechas de seguridad confirmadas van a requerir notificación. Es mejor pasarse notificando que quedarte corto y que luego te pillen sin haber avisado de algo que sí era significativo.

Conclusión: cumplir NIS2 no es opcional, es supervivencia

La normativa NIS2 España no son buenas prácticas recomendadas. Es obligación legal con sanciones millonarias y responsabilidad personal de directivos. Las empresas que esperaron hasta el último momento están ahora en modo crisis, intentando meter en semanas lo que debería llevar meses.

El mensaje no puede ser más claro: si estás en uno de los 18 sectores críticos, con más de 50 empleados o 10 millones de facturación, tienes que empezar ya. No en enero cuando vuelvas de vacaciones, no «cuando tengamos presupuesto aprobado», ahora mismo. Porque las inspecciones van a empezar durante 2026 y la excusa de «estamos trabajando en ello» no va a impedir sanciones si te pillan sin medidas realmente implementadas.

El cumplimiento NIS2 tampoco es solo comprar tecnología. Es gobernanza, políticas, procedimientos, formación, cultura organizacional. Puedes tener el mejor firewall del mercado, pero si tu CEO no sabe qué hacer cuando le llamen del INCIBE avisando de una brecha, estás incumpliendo la norma igualmente.

Las empresas que lo están haciendo bien tienen tres cosas en común:

Compromiso real de dirección. No solo firmar cosas, sino participar de verdad en evaluaciones de riesgo, aprobar presupuestos necesarios sin regatear, y formarse en ciberseguridad aunque no les apetezca.

Roadmap realista y priorizado. No intentan hacer todo a la vez y acabar haciendo todo mal. Atacan primero lo crítico: análisis de riesgos, procedimientos de incidentes, controles técnicos esenciales. El resto viene después.

Asesoramiento especializado. NIS2 es compleja y tiene muchos matices. Intentar interpretarla y aplicarla sin ayuda experta lleva a errores caros y mucho tiempo perdido.

¿Tu empresa está preparada para las inspecciones NIS2 de 2026? En Edorteam te ayudamos a evaluar dónde estás realmente, identificar qué falta, e implementar las medidas técnicas y organizativas que exige la norma. Nuestro servicio incluye análisis de riesgos conforme a NIS2, implementación de controles de seguridad, preparación de toda la documentación requerida, y formación de tu equipo directivo.

Contacta con nosotros para una evaluación de cumplimiento NIS2 y empieza 2026 con la tranquilidad de saber que tienes todo en orden antes de que lleguen las inspecciones.

Directivos empresa española analizando cumplimiento normativa NIS2 2026

Solicita información

Síguenos en redes

Categorías del blog

Otras publicaciones relacionadas

IA en la empresa: cómo evitar la fuga de datos cuando tu equipo usa ChatGPT y otras IA

9 Dic, 2025 | Ciberseguridad

Imagina esta escena: lunes por la mañana. Una persona de tu equipo abre el navegador, entra en ChatGPT y pega un trozo de contrato: “Revísame esta cláusula y dime si hay algún riesgo para mi empresa.” Diez minutos después, otra persona hace lo mismo con una nómina:...

6 diferencias de certificarte con la ISO 27001 o ENS con Edorteam

14 Nov, 2025 | Ciberseguridad

La diferencia está en quién te acompaña en el camino. Certificar tu empresa en ISO 27001 o en el Esquema Nacional de Seguridad es una decisión importante. No solo porque implica trabajo, sino porque condiciona directamente la seguridad de tu información, la confianza...

ISO 27001 y teletrabajo: cómo proteger equipos remotos

3 Sep, 2025 | Ciberseguridad

Cumplir la ISO 27001 en teletrabajo exige controles reales. Descubre cómo proteger equipos remotos con políticas claras y Edorteam DLP como solución eficaz.