Si tu empresa opera en uno de los sectores afectados por la consultoría NIS2, ya estás obligada a cumplirla. No cuando España apruebe la ley de transposición. Ahora. Y las sanciones por incumplimiento son de las más elevadas de toda la regulación europea: hasta 10 millones de euros o el 2% de la facturación global anual. Este artículo te explica qué exige la NIS2, a quién afecta en España y cómo prepararte con tiempo antes de que lleguen las inspecciones.
Qué es la NIS2 y por qué tu empresa debe actuar ahora
La NIS2 (Network and Information Security Directive 2) es la directiva europea de ciberseguridad que sustituyó a la NIS original en 2023. Su objetivo es elevar el nivel de seguridad de las redes y sistemas de información en toda la Unión Europea, con un alcance mucho más amplio que su predecesora.
La directiva debía transponerse al ordenamiento de cada estado miembro antes del 17 de octubre de 2024. España transpuso parcialmente la normativa mediante el Real Decreto-ley 7/2025 y mantiene en tramitación la Ley de Coordinación y Gobernanza de la Ciberseguridad. La Comisión Europea ha abierto procedimiento de infracción contra España por el retraso, lo que puede acelerar la aprobación en cualquier momento. Esperar no es una estrategia viable.
Puedes consultar el texto oficial de la Directiva NIS2 en el Diario Oficial de la UE para verificar directamente su alcance y requisitos.
La pregunta no es si la consultoría NIS2 te afecta. Es si estarás preparado cuando llegue la inspección.
Tabla 1 — NIS vs NIS2
| NIS (2016) | NIS2 (2023) | |
|---|---|---|
| Sectores cubiertos | 7 sectores esenciales | 18 sectores (esenciales + importantes) |
| Categorías de entidades | Operadores de servicios esenciales y proveedores digitales | Entidades esenciales y entidades importantes |
| Sanciones máximas | Definidas por cada estado miembro | Hasta 10 M€ o 2% de facturación global |
| Notificación de incidentes | Sin plazos armonizados | 24h alerta / 72h notificación / 1 mes informe final |
| Responsabilidad directivos | No contemplada | Sí, incluyendo inhabilitación temporal |
| Supervisión | Reactiva | Proactiva y auditada |
A qué empresas afecta la NIS2 en España
La NIS2 en España establece dos categorías de entidades con obligaciones diferenciadas. El criterio general es: empresas medianas (más de 50 empleados o más de 10 millones de euros de facturación) y grandes empresas (más de 250 empleados o más de 50 millones de facturación) en los sectores listados.
Entidades esenciales
Son las que operan en sectores de alta criticidad: energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital (DNS, IXP, cloud, datacenters), servicios TIC gestionados, administración pública y espacio.
Entidades importantes
Incluyen sectores como servicios postales y mensajería, gestión de residuos, fabricación de productos críticos (equipos médicos, vehículos, maquinaria), producción y distribución de sustancias químicas, producción y distribución de alimentos, y proveedores digitales (marketplaces, motores de búsqueda, redes sociales). El régimen de supervisión es menos intensivo que el de las entidades esenciales, pero las obligaciones de fondo son equivalentes.
Si tienes dudas sobre si tu empresa está dentro del ámbito de aplicación, el primer paso de cualquier consultoría NIS2 es precisamente ese análisis de alcance.
Tabla 2 — Sectores afectados por la NIS2
| Entidades esenciales | Entidades importantes |
|---|---|
| Energía | Servicios postales y mensajería |
| Transporte | Gestión de residuos |
| Banca | Fabricación de productos críticos |
| Infraestructuras del mercado financiero | Producción y distribución de sustancias químicas |
| Salud | Producción y distribución de alimentos |
| Agua potable y aguas residuales | Proveedores digitales (marketplaces, buscadores, redes sociales) |
| Infraestructura digital (DNS, cloud, datacenters) | |
| Servicios TIC gestionados | |
| Administración pública | |
| Espacio |
Qué exige la NIS2: las 10 medidas obligatorias de cumplimiento
La normativa NIS2 exige un enfoque de gestión de riesgos basado en estas medidas mínimas. No se trata solo de documentación — las autoridades supervisoras exigen evidencias operativas de que los controles realmente funcionan:
- Análisis y gestión de riesgos: política documentada de identificación, evaluación y tratamiento de riesgos de seguridad.
- Gestión de incidentes: procedimientos para detectar, notificar y responder a incidentes, con plazos estrictos (alerta en 24h, notificación en 72h).
- Continuidad del negocio: plan de continuidad y gestión de crisis que incluya copias de seguridad y recuperación ante desastres.
- Seguridad de la cadena de suministro: evaluación de los riesgos de seguridad de proveedores y socios tecnológicos.
- Seguridad en el ciclo de vida de los sistemas: controles en la adquisición, desarrollo y mantenimiento de software y hardware.
- Evaluación de eficacia: auditorías y métricas que permitan demostrar que las medidas implementadas funcionan.
- Ciberhigiene y formación: programas de concienciación para empleados y formación específica para los responsables de seguridad.
- Criptografía: políticas sobre el uso de cifrado en comunicaciones y almacenamiento de datos.
- Seguridad de recursos humanos: controles de acceso y gestión de identidades, incluyendo verificación de personal en posiciones sensibles.
- Autenticación multifactor: obligatoria para el acceso a sistemas críticos y comunicaciones internas.
En BCNSoluciona implementamos todas estas medidas como parte de nuestra consultoría NIS2, con un enfoque práctico adaptado al tamaño y sector de cada organización.
Sanciones NIS2: por qué no se puede improvisar el cumplimiento
La NIS2 introduce el régimen sancionador más severo de la historia de la ciberseguridad europea. Y no son sanciones teóricas: las inspecciones han comenzado en 2026 y los directivos responden personalmente. Estas son las cifras:
- Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación global anual (la cifra más alta de las dos).
- Entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación global anual.
- Responsabilidad personal de directivos: la NIS2 introduce la posibilidad de sancionar a los máximos responsables de forma individual, incluyendo inhabilitación temporal para ejercer funciones directivas.
Estos importes no son teóricos. El RGPD, que sigue una lógica similar, ya ha generado multas millonarias en España. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) publica guías actualizadas sobre cómo los estados miembros están aplicando el régimen sancionador.
¿Tu empresa está preparada para la NIS2?
Solicita un diagnóstico inicial sin compromiso y descubre en qué punto está tu organización antes de que lleguen las sanciones.
Cómo es el proceso de consultoría NIS2 paso a paso
Una consultoría NIS2 bien estructurada no es un proyecto de meses interminables. Con metodología clara, las organizaciones pueden tener un plan de cumplimiento operativo en pocas semanas. Un proyecto típico dura entre 8 y 12 semanas. Este es el proceso que seguimos en BCNSoluciona:
Fase 1: análisis de alcance y diagnóstico de brecha NIS2
Lo primero es determinar si la empresa está dentro del ámbito de aplicación de la NIS2 y en qué categoría. Después se realiza un análisis de brecha (gap analysis) que compara el estado actual de seguridad de la organización con los requisitos de la directiva. El resultado es un mapa claro de qué se cumple, qué falta y qué riesgo implica cada carencia.
Fase 2: plan de adecuación NIS2 priorizado
Con el diagnóstico en mano, se diseña un plan de acción priorizado por impacto y urgencia. No todas las medidas son igual de urgentes ni igual de costosas. El objetivo es maximizar el nivel de cumplimiento con los recursos disponibles en el menor tiempo posible.
Fase 3: implementación y documentación
Se implementan las medidas técnicas y organizativas definidas en el plan: políticas, procedimientos, controles técnicos, formación del equipo y documentación de todo el proceso. La documentación es crítica: ante una auditoría, no basta con tener las medidas implementadas — hay que poder demostrarlo con evidencias auditables.
Fase 4: preparación para la supervisión NIS2
El proceso finaliza con una revisión de la posición de cumplimiento, simulación de un escenario de auditoría y preparación de los procedimientos de notificación de incidentes que la NIS2 exige. Si la empresa cuenta con CISO as a Service, este rol lidera la interlocución con la autoridad supervisora.
NIS2 e ISO 27001: dos marcos que se complementan
Una pregunta frecuente en cualquier consultoría NIS2 es si hay que implantar ISO 27001 para cumplir la directiva. La respuesta es que no es obligatorio, pero sí muy recomendable. Los requisitos de gestión de riesgos, control de accesos, gestión de incidentes y auditoría interna que exige la NIS2 están cubiertos en gran medida por los controles del estándar ISO. De hecho, ISO 27001 cubre entre el 60% y el 70% del trabajo necesario para NIS2.
Las organizaciones que ya tienen ISO 27001 implantada tienen una ventaja considerable: el esfuerzo adicional para cumplir la NIS2 es significativamente menor que el de partir de cero. Y, al revés, las organizaciones que se adecúan a la NIS2 tienen mucho del trabajo hecho para certificarse en ISO 27001 si así lo deciden.
Puedes consultar la norma ISO/IEC 27001 en la web oficial de ISO para entender su estructura y relación con la NIS2.
Por qué contratar una consultoría NIS2 externa: errores habituales
La NIS2 es una normativa técnica y compleja. Interpretarla correctamente, aplicarla al contexto específico de cada sector y documentar el cumplimiento de forma que soporte una auditoría real requiere experiencia. Estos son los errores más habituales cuando las organizaciones intentan abordarla internamente:
- Subestimar el alcance: muchas empresas asumen que no les afecta y descubren que sí, cuando ya es tarde.
- Confundir cumplimiento con certificación: la NIS2 no se certifica como la ISO 27001 — es un proceso continuo de gestión del riesgo.
- Documentar mal: ante una inspección, la carga de la prueba recae sobre la empresa. Sin evidencias auditables, no hay cumplimiento.
- Ignorar la cadena de suministro: la NIS2 exige evaluar la seguridad de los proveedores. Muchas empresas se olvidan de este punto hasta que es demasiado tarde.
- No tener un plan de notificación de incidentes: el plazo de 24 horas para la alerta inicial no admite improvisación. Si no tienes el proceso listo, no podrás cumplirlo.
Cómo puede ayudarte BCNSoluciona con la consultoría NIS2
Somos miembros de INCIBE y de la European Cyber Security Organisation (ECSO). Nuestro equipo ha acompañado a organizaciones de sectores como seguros, farmacia, logística y media en sus procesos de adecuación normativa, incluyendo NIS2, ISO 27001 y ENS. Todo el trabajo lo hace nuestro equipo interno — sin subcontratas, sin intermediarios.
También realizamos auditorías de seguridad y pentest para validar que los controles técnicos implementados resisten ataques reales — un requisito implícito de la NIS2 en cuanto a evaluación de eficacia.
Si quieres saber exactamente en qué punto está tu empresa respecto a la consultoría NIS2 y qué pasos necesitas dar, solicita un diagnóstico inicial sin compromiso en nuestra página de servicios de ciberseguridad. En una primera reunión podemos darte una visión clara de tu situación real.
La NIS2 no es una amenaza futura. Es una obligación presente. Las empresas que empiecen el proceso de adecuación ahora tendrán tiempo de hacerlo bien, con criterio y sin prisas. Las que esperen se encontrarán con plazos imposibles, costes más elevados y el riesgo real de una sanción que puede alcanzar el 2% de su facturación global.
La pregunta que deberías hacerte hoy no es si tienes tiempo para ocuparte de la consultoría NIS2. Es si puedes permitirte no hacerlo.
Preguntas frecuentes sobre la Consultoría NIS2
¿A qué empresas afecta la NIS2 en España?
La NIS2 afecta a entidades de sectores considerados esenciales o importantes: energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio. También se amplía a sectores como servicios postales, gestión de residuos, fabricación, producción y distribución de sustancias químicas, alimentación y proveedores digitales. El criterio de tamaño general es: empresas medianas (más de 50 empleados o más de 10 millones de euros de facturación) y grandes empresas (más de 250 empleados o más de 50 millones de facturación).
¿Cuándo entra en vigor la NIS2 en España?
La Directiva NIS2 debía transponerse al ordenamiento jurídico español antes del 17 de octubre de 2024. A fecha de 2026, España aún no ha aprobado definitivamente la ley de transposición nacional, aunque el proceso legislativo está avanzado. Sin embargo, la directiva europea ya es aplicable y las empresas deben comenzar a prepararse con independencia de la aprobación formal de la ley española, ya que las sanciones pueden aplicarse desde el momento en que la transposición sea efectiva.
¿Qué diferencia hay entre NIS y NIS2?
La NIS original de 2016 tenía un alcance limitado a operadores de servicios esenciales y proveedores de servicios digitales. La NIS2 amplía significativamente ese alcance a más sectores y tipos de entidades, introduce la distinción entre entidades esenciales e importantes con regímenes de supervisión diferenciados, eleva los requisitos mínimos de seguridad, establece obligaciones de reporte de incidentes más estrictas y aumenta drásticamente las sanciones por incumplimiento (hasta 10 millones de euros o el 2% de la facturación global anual para entidades esenciales).
¿Cuáles son las sanciones por incumplir la NIS2?
Las sanciones de la NIS2 son de las más elevadas de la regulación europea. Para entidades esenciales, las multas pueden alcanzar los 10 millones de euros o el 2% de la facturación global anual (la cifra más alta). Para entidades importantes, el límite es de 7 millones de euros o el 1,4% de la facturación global. Además, la directiva introduce responsabilidad personal para los directivos en caso de incumplimiento grave, incluyendo la posibilidad de inhabilitación temporal.
¿Qué medidas de seguridad exige la NIS2?
La NIS2 exige un enfoque basado en la gestión de riesgos que incluye: políticas de análisis y gestión de riesgos, gestión de incidentes, continuidad del negocio y gestión de crisis, seguridad en la cadena de suministro, seguridad en la adquisición, desarrollo y mantenimiento de sistemas, políticas de evaluación de la eficacia de las medidas de gestión de riesgos, prácticas básicas de ciberhigiene y formación, políticas sobre el uso de criptografía, seguridad de los recursos humanos, uso de autenticación multifactor y comunicaciones seguras.
¿Cuánto tiempo tengo para notificar un incidente bajo NIS2?
La NIS2 establece un sistema de notificación escalonado. En las primeras 24 horas tras tener conocimiento del incidente significativo, debe enviarse una alerta temprana a la autoridad competente. En un plazo de 72 horas, debe presentarse la notificación del incidente con una evaluación inicial. En el plazo de un mes, debe presentarse un informe final con descripción completa, causa raíz, impacto y medidas adoptadas. Estos plazos son más estrictos que los de la NIS original y exigen que las organizaciones tengan procesos de detección y respuesta preparados.
¿Necesito ISO 27001 para cumplir la NIS2?
¿Qué es una consultoría NIS2 y para qué sirve?
Una consultoría NIS2 es un servicio especializado que ayuda a las organizaciones a evaluar su nivel de cumplimiento actual respecto a los requisitos de la directiva, identificar las brechas existentes, diseñar un plan de adecuación priorizado y acompañar en su implementación. El objetivo es que la empresa pueda demostrar conformidad con la NIS2 antes de que las autoridades inicien los procesos de supervisión y auditoría, evitando así las sanciones y gestionando los riesgos de ciberseguridad de forma estructurada.
