NIS2 sustituye a la directiva NIS original y multiplica el número de sectores y empresas afectadas. La transposición española lleva retraso frente al plazo original de octubre de 2024, pero eso no cambia que la directiva ya está en vigor a nivel europeo y que las empresas afectadas deben ir preparándose independientemente del calendario exacto de la ley española.

¿Tu empresa está obligada?

NIS2 clasifica a las entidades en dos categorías: esenciales (energía, transporte, banca, salud, agua, infraestructura digital, administración pública) y importantes (servicios postales, gestión de residuos, fabricación de productos críticos, proveedores digitales). El criterio de tamaño también importa: en general, aplica a medianas y grandes empresas (más de 50 empleados o más de 10M€ de facturación) de esos sectores, aunque hay excepciones que amplían el ámbito a empresas más pequeñas si prestan servicios críticos.

Qué exige NIS2 en la práctica

ObligaciónEn qué consiste
Gestión de riesgosPolítica formal de gestión de riesgos de ciberseguridad, revisada periódicamente
GobernanzaLa alta dirección debe aprobar y supervisar las medidas — no delegable sin más a IT
Notificación de incidentesAlerta temprana en 24h, notificación completa en 72h ante incidentes significativos
Continuidad de negocioPlanes de recuperación y gestión de crisis documentados
Cadena de suministroEvaluación de riesgo de proveedores y terceros, no solo de sistemas propios

El cruce con el AI Act

Si tu empresa usa sistemas de IA dentro de infraestructura considerada crítica bajo NIS2 (por ejemplo, un sistema de IA que gestiona la red eléctrica o el tráfico de una infraestructura de transporte), es muy probable que ese mismo sistema también entre en el Anexo III de alto riesgo del AI Act. En ese caso, la gobernanza de ciberseguridad de NIS2 y la gobernanza de datos del Art. 10 del AI Act se convierten en dos capas de la misma obligación de fondo: demostrar que el sistema es seguro y está controlado.

Sanciones: hasta 10 millones de euros o el 2% de la facturación anual global para entidades esenciales, lo que sea mayor. No es una directiva menor comparada con el AI Act o el RGPD.

Puedes comprobar en menos de 3 minutos si tu perfil de riesgo NIS2 tiene gaps críticos con nuestro diagnóstico gratuito — incluye un módulo específico de ciberseguridad NIS2 con sanciones aplicables y recursos adaptados a tu resultado.

Por dónde empezar si no tienes nada montado

  • Confirma si tu sector y tamaño te sitúan como entidad esencial o importante — el listado exacto varía por transposición nacional.
  • Designa un responsable de ciberseguridad con mandato de dirección, no solo un técnico sin autoridad formal.
  • Documenta el proceso de notificación de incidentes antes de que ocurra uno — improvisarlo en 24h es la peor forma de cumplir el plazo.
  • Revisa contratos con proveedores críticos: NIS2 responsabiliza también de la cadena de suministro.