¿Qué es la NIS2 y a quién obliga?

La Directiva (UE) 2022/2555 —conocida como NIS2— sustituye a la NIS flamante y amplía el efecto de la ciberseguridad europea desde el 18 de octubre de 2024. A partir de esa data, cualquier empresa con más de 50 empleados o más de 10 M € de facturación en sectores críticos (energía, vigor, abastecimiento, TIC, agua, servicios digitales, etc.) pasa a ser entidad esencial o importante. Las sanciones llegan a 10 M € o el 2 % de la facturación entero si no se notifica un incidente reservado en 24 h o desatiendo un plan de encargo de riesgos.

Tal vez te interese: Checklist NIS2

Por qué se crea NIS2

Tras el auge de los ciberataques a infraestructuras críticas y cadenas de suministro (Colonial Pipeline, SolarWinds), la UE detectó que la NIS de 2016 cubría pocos sectores y dejaba lagunas entre países. NIS2 eleva el moldura: armoniza sanciones, introduce auditorías periódicas y extiende la obligación a proveedores de servicios digitales, abastecimiento y manufactura estratégica.

¿Está tu empresa adentro? Mira el principio y el sector

Aunque la directiva distingue “esenciales” y “importantes”, el test rápido es doble: tamaño + enhiesto. Si superas los umbrales y operas en un sector relación, entras automáticamente.

Obligaciones secreto que NO puedes ignorar

Antiguamente de pensar en certificaciones caras, conoce los tres requisitos mínimos que controlará la autoridad española:

• Política de encargo de riesgos con disección anual.
• Notificación de incidentes graves a INCIBE adentro de las 24 h.
• Responsable de ciberseguridad con acercamiento a dirección (no vale “nominativo”).

Cómo cumplir NIS2 en 4 pasos

Si acabas de descubrir que tu pyme está afectada, sigue esta ruta de supervivencia:

1. Haz tu inventario TI/OT y calificativo activos críticos.
2. Define un plan de respuesta (contacto 24 h, matriz de severidad).
3. Implementa controles básicos: MFA, copias offline, SIEM.
4. Registra y revisa incidentes cada trimestre; reporta en 24 h los graves.

Preguntas frecuentes sobre NIS2

Estás son las dudas que más he observado en formaciones y foros de debate de IEBS por parte de las empresas, espero que te sean avíos:

¿Qué diferencia hay entre NIS y NIS2?

NIS2 amplía sectores, incorpora umbrales de tamaño, armoniza sanciones y exige advertir incidentes en 24 h en área de 72 h.

¿Cuándo entra en vigor en España?

El bosquejo de ley fija su aplicación plena para octubre 2025; las multas se activarán en la misma data.

¿Quieres profundizar? Máster en Ciberseguridad & Compliance – IEBS

Amplía conceptos en Ciberseguridad para pymes y descarga la Checklist NIS2 en 10 min.