NIS2 sustituye a la directiva NIS original y multiplica el número de sectores y empresas afectadas. La transposición española lleva retraso frente al plazo original de octubre de 2024, pero eso no cambia que la directiva ya está en vigor a nivel europeo y que las empresas afectadas deben ir preparándose independientemente del calendario exacto de la ley española.
¿Tu empresa está obligada?
NIS2 clasifica a las entidades en dos categorías: esenciales (energía, transporte, banca, salud, agua, infraestructura digital, administración pública) y importantes (servicios postales, gestión de residuos, fabricación de productos críticos, proveedores digitales). El criterio de tamaño también importa: en general, aplica a medianas y grandes empresas (más de 50 empleados o más de 10M€ de facturación) de esos sectores, aunque hay excepciones que amplían el ámbito a empresas más pequeñas si prestan servicios críticos.
Qué exige NIS2 en la práctica
| Obligación | En qué consiste |
|---|---|
| Gestión de riesgos | Política formal de gestión de riesgos de ciberseguridad, revisada periódicamente |
| Gobernanza | La alta dirección debe aprobar y supervisar las medidas — no delegable sin más a IT |
| Notificación de incidentes | Alerta temprana en 24h, notificación completa en 72h ante incidentes significativos |
| Continuidad de negocio | Planes de recuperación y gestión de crisis documentados |
| Cadena de suministro | Evaluación de riesgo de proveedores y terceros, no solo de sistemas propios |
El cruce con el AI Act
Si tu empresa usa sistemas de IA dentro de infraestructura considerada crítica bajo NIS2 (por ejemplo, un sistema de IA que gestiona la red eléctrica o el tráfico de una infraestructura de transporte), es muy probable que ese mismo sistema también entre en el Anexo III de alto riesgo del AI Act. En ese caso, la gobernanza de ciberseguridad de NIS2 y la gobernanza de datos del Art. 10 del AI Act se convierten en dos capas de la misma obligación de fondo: demostrar que el sistema es seguro y está controlado.
Puedes comprobar en menos de 3 minutos si tu perfil de riesgo NIS2 tiene gaps críticos con nuestro diagnóstico gratuito — incluye un módulo específico de ciberseguridad NIS2 con sanciones aplicables y recursos adaptados a tu resultado.
Por dónde empezar si no tienes nada montado
- Confirma si tu sector y tamaño te sitúan como entidad esencial o importante — el listado exacto varía por transposición nacional.
- Designa un responsable de ciberseguridad con mandato de dirección, no solo un técnico sin autoridad formal.
- Documenta el proceso de notificación de incidentes antes de que ocurra uno — improvisarlo en 24h es la peor forma de cumplir el plazo.
- Revisa contratos con proveedores críticos: NIS2 responsabiliza también de la cadena de suministro.