¿Tu empresa está preparada para la NIS 2?
¿Tu empresa está preparada para la NIS 2?
La nueva norma que está cambiando las reglas del juego en ciberseguridad
La Directiva (UE) 2022/2555, conocida como Directiva NIS 2, es el nuevo pilar del marco europeo de ciberseguridad. Sustituye a la anterior Directiva NIS de 2016 con el objetivo de reforzar de forma significativa la protección de las redes y los sistemas de información en toda la Unión Europea. No es una actualización cosmética: es un cambio estructural que afecta a miles de empresas en España que todavía no lo saben.La NIS 2 introduce un enfoque mucho más ambicioso. La ciberseguridad deja de concebirse como un mero problema técnico para integrarse plenamente en el ámbito del gobierno corporativo, la gestión de riesgos y el cumplimiento normativo.
Dicho en términos prácticos, si tu empresa opera en un sector relevante, la ciberseguridad ya no es solo cosa del departamento de IT. Es responsabilidad de la dirección. Y tiene consecuencias legales, económicas y reputacionales si no se gestiona correctamente.
¿A quién afecta la NIS 2?
La NIS 2 amplía significativamente el perímetro de organizaciones obligadas. Afecta a entidades públicas y privadas de sectores como la energía, el transporte, la banca, la sanidad, las infraestructuras digitales, la alimentación, la industria química o la gestión de residuos, entre otros. Como regla general se aplica a empresas medianas y grandes, aunque puede extenderse a entidades más pequeñas si su actividad resulta crítica o si forman parte de la cadena de suministro de una entidad sujeta.La norma distingue entre entidades esenciales e importantes, una clasificación que no altera de forma sustancial las obligaciones materiales, sino la intensidad del régimen de supervisión al que quedan sometidas. En ambos casos, las exigencias son de calado: gestión de riesgos, notificación de incidentes, continuidad de negocio, seguridad de proveedores y control de accesos, entre otras.
Y un elemento que no debe pasarse por alto, la alta dirección tiene responsabilidad directa. Los órganos de gobierno deben aprobar y supervisar las medidas de ciberseguridad y recibir formación específica. La NIS 2 no es delegable al equipo técnico.
Novedades de enero de 2026: la normativa sigue evolucionando
El 20 de enero de 2026, la Comisión Europea presentó una propuesta de modificación de la Directiva NIS en el marco del Paquete Ómnibus Digital, orientada a simplificar su aplicación y reforzar la armonización normativa en el mercado interior. La propuesta no es un ajuste menor: refleja la voluntad de construir un marco de ciberseguridad más uniforme y adaptado a la realidad empresarial europea.Entre los cambios más destacados, se introduce una nueva categoría de entidades, las small mid-cap enterprises, que quedarán sujetas a la norma con una carga de cumplimiento reducida, lo que amplía el perímetro de obligados. Al mismo tiempo, se limita la capacidad de los Estados miembros de añadir requisitos propios cuando existan actos de ejecución de la Comisión, frenando así el gold plating que genera asimetrías entre países. Desde una perspectiva tecnológica, las estrategias nacionales deberán incluir planes de transición hacia la criptografía post-cuántica, anticipándose al impacto que la computación cuántica tendrá sobre los sistemas de seguridad actuales. Por último, ENISA refuerza su papel en la supervisión transfronteriza y en el desarrollo de una ventanilla única de notificación de incidentes.
La falta de transposición de la NIS 2 en España, provoca una urgencia real
El plazo para la transposición de la NIS 2 finalizó el 17 de octubre de 2024, sin que España completara el proceso dentro del término establecido. Con posterioridad, el 14 de enero de 2025, el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y aquí es donde muchas empresas cometen el error de relajarse. "En España todavía no ha entrado en vigor", dicen. Pero lo que viene a continuación debería encender todas las alarmas.Esta falta de aprobación definitiva ha motivado la reacción de las instituciones europeas. La Comisión Europea ha decidido llevar a España ante el Tribunal de Justicia de la Unión Europea por el incumplimiento del plazo de transposición, solicitando la imposición de sanciones financieras.
El coste de esperar frente al valor de anticiparse
Esperar a que la norma entre en vigor de forma definitiva en España no es una estrategia neutral: es una decisión que tiene costes reales. Cada mes que pasa sin actuar es un mes en el que tu organización acumula vulnerabilidades no gestionadas, procesos no documentados y una exposición regulatoria creciente que será mucho más costosa de corregir bajo presión que de prevenir con tiempo.Las empresas que ya han iniciado su proceso de adecuación están tomando la delantera. Están reduciendo su exposición a sanciones regulatorias antes de que la supervisión efectiva se active, fortaleciendo su posición frente a clientes y socios comerciales que cada vez exigen mayores garantías de ciberseguridad a sus proveedores, y protegiendo la continuidad de su negocio ante incidentes que, en un entorno de amenazas crecientes, no son una posibilidad remota sino una realidad estadística. En definitiva, están convirtiendo una obligación regulatoria compleja en una ventaja competitiva tangible frente a los que llegan tarde.
La ciberseguridad ha dejado de ser un gasto operativo para convertirse en un activo estratégico. Las organizaciones que lo entiendan ahora estarán en una posición significativamente mejor, tanto ante los reguladores como ante el mercado.
¿Por dónde empezar? Nosotros te acompañamos en cada paso
La adecuación a la NIS 2 no es un proyecto que pueda resolverse únicamente desde el departamento de IT. Requiere combinar experiencia regulatoria, conocimiento sectorial y capacidades técnicas, integrando cumplimiento normativo, gobernanza de ciberseguridad y acompañamiento práctico. Intentar abordarlo sin el soporte adecuado puede derivar en un falso cumplimiento que no resista el escrutinio de las autoridades competentes.En BDO Abogados te ayudamos a traducir la NIS 2 en decisiones estratégicas, acompañándote desde el diagnóstico inicial hasta la plena implementación. El proceso comienza con la clasificación de tu entidad como esencial o importante y un análisis de brecha (gap analysis) que evalúa el nivel de madurez actual de tu organización frente a los requisitos de la Directiva. A partir de ahí, diseñamos un roadmap con medidas priorizadas y proporcionadas, y nos encargamos de la implementación y documentación de las políticas, procedimientos y controles clave.
Preparamos a tu organización para auditorías e inspecciones regulatorias, gestionamos el modelado del reporte de incidentes y evaluamos la seguridad de tu cadena de suministro y los requisitos exigibles a terceros.
El momento de actuar es ahora
La Directiva NIS 2 representa el cambio más significativo en la regulación europea de ciberseguridad de la última década. No solo amplía drásticamente el número de empresas obligadas, sino que eleva el nivel de exigencia en gobernanza, gestión de riesgos y respuesta ante incidentes hasta un estándar que muchas organizaciones aún no han alcanzado. La ausencia de una transposición definitiva en España no elimina ni pospone esos riesgos: simplemente añade incertidumbre a un escenario que ya exige acción.
Las entidades esenciales pueden ser sancionadas con multas de hasta 10 millones de euros o el 2% de su volumen de negocio anual global, aplicándose la cuantía que resulte más elevada. Para las entidades importantes, el límite se sitúa en 7 millones de euros o el 1,4% del volumen de negocio anual global. Estas cifras no son hipotéticas: son los máximos que las autoridades competentes de cada Estado miembro están obligadas a tener disponibles en su arsenal sancionador.
Las organizaciones que actúen hoy tendrán tiempo de construir un cumplimiento sólido, sostenible y estratégicamente alineado con su negocio. Las que esperen se encontrarán con plazos comprimidos, recursos bajo presión y la desventaja de llegar tarde a una exigencia que ya es una realidad en toda Europa.
