NIS2 en 2026: a quién aplica, plazos y cómo cumplir
NIS2 en 2026: a quién aplica, plazos y cómo cumplir.
A año y medio largo de la fecha límite de transposición, NIS2 ha dejado de ser un proyecto futuro y se ha convertido en deuda técnica acumulada. Si tu empresa entra en alguno de los 18 sectores y supera los 50 empleados o los 10 millones de facturación, esto va contigo — y las autoridades europeas ya están haciendo preguntas. Esta guía te dice exactamente qué pide la directiva, qué herramientas la cubren y por dónde se empieza sin alarmismo.
Si en tu empresa la frase «plan de continuidad» todavía provoca risa nerviosa, llevas tarde con NIS2 — pero no eres la única. La Directiva (UE) 2022/2555 entró en vigor en enero de 2023, la fecha límite de transposición fue octubre de 2024 y, a estas alturas de 2026, las primeras inspecciones en sectores esenciales ya están en marcha. La parte que importa: las obligaciones ya aplican, esté como esté la ley española en el momento que estés leyendo esto.
Esto no es un artículo jurídico (no soy abogado, no juego a serlo) ni una pieza de marketing del miedo. Es lo que repetimos en cada reunión con un cliente al que NIS2 le ha llegado tarde: a quién aplica realmente, qué pide el artículo 21, cómo se sostienen los plazos 24/72 h en el mundo real y por dónde se empieza sin volverse loco. Spoiler: la mayoría del trabajo ya está hecho si tienes un SIEM decente, MFA donde toca y a alguien atendiendo cuando algo se rompe a las tres de la mañana.
NIS2 cubre 18 sectores (Anexos I y II) y aplica por defecto a entidades de ≥50 empleados o ≥10 M€ de facturación. Exige 10 medidas mínimas de gestión de riesgos (art. 21), notificación de incidentes en 24 h / 72 h / 1 mes (art. 23) y responsabiliza al órgano de dirección (art. 20). Sanciones: hasta 10 M€ o el 2 % de la facturación mundial (esenciales) y 7 M€ o el 1,4 % (importantes).
(Anexos I + II)
de incidentes (art. 23)
entidades esenciales
¿Qué es NIS2 y por qué sustituye a la NIS de 2016?
NIS2 es la segunda directiva europea sobre seguridad de las redes y los sistemas de información. Reemplaza a la Directiva 2016/1148 (NIS1) con tres cambios mayores: amplía sectores y entidades cubiertas, endurece las obligaciones técnicas y de gobernanza, e introduce sanciones armonizadas en toda la UE. La NIS1 se quedó pequeña después del volumen de ciberataques que sufrió Europa entre 2020 y 2023; la NIS2 no es revolución, es la lección aprendida.
NIS2 es directiva, no reglamento. Eso significa que cada país transpone a su derecho nacional, pero las obligaciones de fondo no cambian — el calendario y los detalles administrativos (autoridad competente, procedimientos sancionadores) sí los pone cada Estado. Que la ley española aún no haya cerrado todos los matices no es una excusa para no estar cumpliendo lo que ya pide la directiva.
¿A quién aplica NIS2?
NIS2 aplica por defecto a entidades medianas y grandes en alguno de los 18 sectores recogidos en los anexos I y II de la directiva. Por «mediana» se entiende ≥50 empleados o ≥10 M€ de facturación anual o balance (artículo 2, referenciando la Recomendación 2003/361/CE). Por debajo del umbral, las autoridades nacionales pueden incluir a una entidad de manera específica si su actividad es crítica.
Fuente: Anexos I y II + arts. 31–32 + art. 34, Directiva (UE) 2022/2555.
Las 10 medidas mínimas del artículo 21
El artículo 21(2) lista diez áreas mínimas que toda entidad afectada tiene que cubrir con medidas «técnicas, operativas y organizativas adecuadas y proporcionadas». No hay que reinventar nada — la mayoría ya están en ISO 27001, ENS o NIST CSF. La novedad es que ahora son obligación legal, con sanciones armonizadas.
Políticas de análisis de riesgos y seguridad de la información
Gestión de incidentes (detección y respuesta)
Continuidad de negocio: backups, recuperación, gestión de crisis
Seguridad de la cadena de suministro
Seguridad en adquisición, desarrollo y mantenimiento (incl. vulnerabilidades)
Evaluación de la eficacia de las medidas
Ciberhigiene básica y formación
Criptografía y, cuando proceda, cifrado
Seguridad de RR. HH., control de acceso y gestión de activos
MFA o autenticación continua y comunicaciones seguras
Texto literal en el artículo 21(2) de la Directiva (UE) 2022/2555.
Las medidas 2, 5, 6 y 10 (gestión de incidentes, vulnerabilidades, evaluación de eficacia y MFA) son las que más esfuerzo requieren si arrancas desde cero. La forma rápida y razonable de cubrirlas — y demostrarlas en una auditoría — es un SIEM/XDR centralizado. En SIXE desplegamos Wazuh con dashboards mapeados a NIS2 y ENS, sin coste de licencia, que es justo lo que la mayoría de empresas medianas necesitan oír cuando NIS2 entra en el presupuesto.
¿En cuánto hay que notificar un incidente?
El artículo 23 define tres pasos para reportar un incidente significativo a la autoridad competente. La clave está en la palabra «significativo» (impacto operativo grave, pérdidas financieras o repercusión en terceros) y en que el reloj corre desde que la entidad tiene conocimiento del incidente, no desde que ocurre.
Aguantar estos plazos sin un SIEM/XDR con casos de uso decentes, runbooks y un equipo localizable 24/7 es, sencillamente, imposible. La forma rápida de quedarse fuera de plazo es enterarte por un usuario que «algo va raro» a las 8 de la mañana, descubrir que el incidente empezó ayer y mirar el reloj con cara de circunstancias.
Detección sin ojos no existe. En SIXE combinamos implantación de Wazuh (SIEM/XDR open source con casos de uso adaptados a NIS2) con soporte 24/7 atendido en español, inglés y francés. Esa es la pieza que materialmente sostiene los 24 y 72 horas — sin telemetría y sin alguien que descuelgue, los plazos son papel mojado. Si necesitas plataforma comercial con integraciones avanzadas, también desplegamos IBM QRadar.
Sanciones (sí, también personales)
NIS2 armoniza el régimen sancionador (artículo 34). Pero la parte que suele acabar las reuniones de comité es la otra: la responsabilidad del órgano de dirección.
- Entidades esenciales: hasta 10 M€ o el 2 % de la facturación anual mundial (la mayor).
- Entidades importantes: hasta 7 M€ o el 1,4 % de la facturación anual mundial (la mayor).
- Dirección (art. 20): los órganos de dirección son responsables de aprobar y supervisar las medidas de gestión de riesgos. Tienen que recibir formación en ciberseguridad y velar por que el resto del personal la reciba también.
- Inhabilitación (art. 32.5): en entidades esenciales y casos graves, las autoridades pueden inhabilitar temporalmente a personas físicas de ejercer funciones de dirección en la entidad afectada.
Más allá de la cifra, dos cosas suelen hacer que la dirección financiera empiece a tomarse esto en serio: la posibilidad de que se publique el incumplimiento y la responsabilidad personal del directivo. La parte económica es importante; la parte reputacional, en muchas empresas, lo es aún más — sobre todo si la inspección llega antes de que tengas el SIEM en pie.
¿NIS2 te aplica? Tres preguntas y un veredicto
Atajo orientativo de tres preguntas para hacerte una idea. No sustituye un análisis formal de aplicabilidad (la autoridad competente puede incluir entidades por debajo del umbral) pero te da una primera lectura útil antes de empezar a llamar a abogados.
¿NIS2 te aplica?
3 preguntas · respuesta inmediata · ninguna telemetría
1. ¿Tu organización tiene 50 o más empleados o factura 10 M€ o más al año?
2. ¿Operáis en alguno de los sectores esenciales? (energía, transporte, banca, mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, servicios TIC B2B, administración pública o espacio)
3. ¿Operáis en alguno de los sectores importantes? (postales, residuos, productos químicos, alimentación, fabricación —p. ej. dispositivos médicos, electrónica, vehículos—, proveedores digitales o investigación)
Probablemente sí — como entidad esencial.
Sois del grupo con supervisión proactiva y sanciones máximas de 10 M€ o el 2 % de la facturación. En este perfil, lo razonable es arrancar ya con un análisis de brechas contra el artículo 21 y tener SIEM + soporte 24/7 operativos para sostener los plazos.
Probablemente sí — como entidad importante.
Las obligaciones técnicas son las mismas que para una esencial; cambia la supervisión (reactiva) y la sanción máxima (7 M€ o 1,4 %). Mismo plan: gap analysis del artículo 21, SIEM operativo y proceso de notificación de incidentes documentado.
A verificar — caso a caso.
Si vuestro sector no aparece claramente en los anexos I/II, la decisión depende del análisis concreto. La autoridad competente puede incluir entidades específicas por su criticidad. Lo prudente: revisar los anexos y, si hay duda, una llamada de 30 minutos resuelve la mayoría de los casos.
Por defecto, fuera del alcance directo.
Por debajo del umbral, NIS2 no aplica por defecto. Pero dos avisos: las autoridades pueden incluir entidades pequeñas si su actividad es crítica, y si sois proveedores de una entidad afectada, los contratos van a empezar a incluir cláusulas NIS2 (medida 4 del art. 21 — cadena de suministro). En cualquier caso, el SIEM y el MFA siguen siendo buena idea.
Cómo cumplir NIS2 sin entrar en pánico
Cumplir NIS2 no es magia. Es disciplina, instrumentación y dejarlo documentado. Estos son los siete frentes por los que arrancamos cuando un cliente nos llama para esto — y, en cada uno, la pieza concreta que ponemos:
- Diagnóstico de aplicabilidad y brechas. Sector, tamaño y mapeo contra el artículo 21 partiendo de lo que ya tienes documentado (ISO 27001, ENS, NIST CSF). Lo que típicamente cubrimos con una auditoría de seguridad y hacking ético.
- Gobierno de la ciberseguridad. Responsable nombrado, política aprobada en consejo (es obligatorio que la dirección la apruebe) y formación documentada para la dirección.
- SIEM/XDR y gestión de incidentes. Sin telemetría centralizada y runbooks, los plazos 24/72 h son cuento. Wazuh es nuestra vía por defecto — open source, sin coste de licencia, dashboards mapeados a NIS2/ENS. Si necesitas plataforma comercial corporativa con integraciones avanzadas, también desplegamos IBM QRadar.
- Soporte 24/7 con SLA. Detección sin equipo que responda no sirve para sostener las 24 h. Soporte 24/7 atendido en español, inglés y francés — sin intermediarios.
- MFA donde toca. Accesos privilegiados y remotos, mínimo. Si tienes entornos IBM Power (AIX, IBM i), PowerSC cubre esa capa con compliance integrado.
- Cadena de suministro. Inventario de proveedores TIC críticos y cláusulas de seguridad/notificación en contratos. La medida 4 del artículo 21 es donde más empresas se atascan — y donde, si eres proveedor de una entidad afectada, vas a recibir cláusulas igual aunque NIS2 no te aplique directamente.
- Formación periódica a empleados y dirección. La directiva lo exige expresamente (art. 20.2).
Capa extra si tu sector es industrial (energía, agua, transporte, fabricación, OT en general): la seguridad operativa no aparece en ningún ISO genérico. Para eso desplegamos Claroty con visibilidad de red OT y la auditoría de dispositivos industriales con Tenable.
Preguntas rápidas
¿NIS2 ya es exigible si España no ha publicado la ley nacional?
Sí. La fecha límite de transposición era el 17 de octubre de 2024 (art. 41 de la directiva). El estado concreto de la ley española puede haber cambiado para cuando leas esto — comprueba el BOE —, pero las obligaciones de la directiva ya aplican desde esa fecha.
¿Qué diferencia hay entre entidad esencial e importante?
Las obligaciones técnicas del artículo 21 son idénticas. Cambian dos cosas: el régimen de supervisión (proactivo en esenciales, reactivo en importantes) y la sanción máxima (10 M€ o 2 % en esenciales; 7 M€ o 1,4 % en importantes).
¿Plazos exactos para notificar un incidente?
Alerta temprana en 24 h, notificación en 72 h e informe final en 1 mes. Cuentan desde que la entidad tiene conocimiento del incidente significativo (art. 23). Para sostenerlos hace falta SIEM y equipo localizable: Wazuh + soporte 24/7 es la combinación que típicamente desplegamos en SIXE.
¿Hay sanciones personales para directivos?
Sí. En supuestos graves de entidades esenciales: inhabilitación temporal para funciones de dirección (art. 32.5). Además, los órganos de dirección son responsables de aprobar y supervisar las medidas y de recibir formación específica (art. 20).
¿Vale mi ISO 27001 o ENS para cumplir NIS2?
Como base, sí — la mayoría de controles ya están. Pero no es equivalencia automática. Hay que mapear contra el artículo 21 y completar lo que falte: notificación 24/72 h, cadena de suministro, formación documentada a dirección. Es el primer entregable de una auditoría de seguridad bien hecha.
¿Y si soy proveedor TIC de una entidad afectada?
Aunque NIS2 no te aplique directamente, vas a empezar a recibir cláusulas NIS2 en contratos (medida 4 del art. 21 — cadena de suministro). Mejor anticiparlo: SIEM básico, MFA y un análisis propio de brechas evitan que un cliente te exija cosas a contrarreloj.
Te ayudamos a aterrizar NIS2 sin venderte miedo
Empezamos por un diagnóstico de aplicabilidad y brechas contra el artículo 21, montamos el SIEM que sostiene los plazos 24/72 h y dejamos un equipo localizable 24/7 para cuando algo se rompe a las tres de la mañana. Más de 15 años en ciberseguridad de infraestructuras críticas, atención en español, inglés y francés, sin intermediarios.
