La directiva NIS2 en España plantea una duda cada vez más frecuente entre empresas de sectores estratégicos, compañías tecnológicas y proveedores que trabajan con operadores críticos: saber si el cumplimiento les afecta de forma directa, indirecta o si, por el momento, quedan fuera de su ámbito principal.
La respuesta no depende de un único factor. Para determinar si una organización debe cumplir con NIS2, es necesario analizar su sector de actividad, su tamaño, el tipo de servicios que presta y, en algunos casos, su papel dentro de la cadena de suministro de entidades ya obligadas. La Comisión Europea explica que NIS2 amplía de forma relevante el alcance de la antigua NIS1 y establece un marco común de ciberseguridad para 18 sectores críticos en la Unión Europea.
Qué es NIS2 y por qué importa a las empresas
La Directiva NIS2 es la norma europea que refuerza las obligaciones de ciberseguridad para entidades cuya actividad tiene relevancia social, económica o estratégica. Su objetivo es elevar el nivel común de seguridad de redes y sistemas de información en toda la Unión Europea, reforzando tanto la prevención como la respuesta ante incidentes.
La Comisión Europea destaca que NIS2 no solo amplía el número de sectores cubiertos, sino que endurece las obligaciones de gestión de riesgos, notificación de incidentes y supervisión. También introduce una lógica más exigente en materia de gobernanza, de forma que la ciberseguridad deja de ser una cuestión meramente técnica y pasa a situarse en el ámbito de la responsabilidad organizativa y directiva.
Por eso, la pregunta ya no es únicamente si una empresa puede sufrir un incidente, sino si está jurídicamente obligada a implantar medidas, documentarlas y poder acreditar su cumplimiento.
A quién afecta la directiva NIS2 en España
La directiva NIS2 en España afecta, con carácter general, a entidades medianas y grandes que operan en alguno de los sectores incluidos en sus anexos y que desarrollan actividades consideradas esenciales o importantes desde el punto de vista de la ciberseguridad.
INCIBE resume esta lógica de forma clara: si una organización pertenece a alguno de los sectores previstos en NIS2, realiza alguna de las actividades descritas en los anexos I y II y es una mediana o gran empresa, en principio debe cumplir con la norma. En algunos supuestos, además, la obligación existe con independencia del tamaño.
Esto significa que el análisis debe hacerse combinando tres elementos: sector, tamaño y criticidad del servicio.
Los sectores afectados por NIS2
La directiva distingue entre sectores de alta criticidad y otros sectores críticos. Entre los sectores de alta criticidad se encuentran, entre otros, energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua, infraestructura digital, gestión de servicios TIC, administración pública y espacio. Entre los otros sectores críticos se incluyen servicios postales, gestión de residuos, industria química, alimentación, fabricación, proveedores digitales e investigación. La Comisión Europea y los materiales de INCIBE recogen esta ampliación del ámbito de aplicación respecto al régimen anterior.
A efectos prácticos, esto implica que muchas empresas que antes no se percibían como sujetas a obligaciones específicas de ciberseguridad ahora deben revisar si su actividad entra dentro de alguno de estos sectores.
El tamaño de la empresa también es determinante
NIS2 utiliza como regla general el criterio de tamaño para delimitar buena parte de su ámbito de aplicación. La Comisión Europea señala que la directiva introduce un umbral de tamaño para definir qué entidades quedan incluidas en su ámbito. En términos generales, la referencia suele centrarse en medianas y grandes empresas, es decir, organizaciones que superan los 50 empleados o determinados umbrales económicos.
No obstante, este criterio no opera de forma absoluta. Existen supuestos en los que una pequeña empresa o incluso una microempresa pueden quedar incluidas si prestan servicios especialmente críticos o si ocupan una posición singular dentro del ecosistema digital o de infraestructuras.
No todas las entidades obligadas tienen la misma categoría
La norma distingue entre entidades esenciales y entidades importantes. Esta clasificación no es meramente teórica, ya que influye en el tipo de supervisión y en la intensidad del control administrativo.
INCIBE explica que NIS2 diferencia ambas categorías en función del grado de criticidad del sector, del tamaño de la entidad y del tipo de servicio que presta. En general, las entidades esenciales están sometidas a una supervisión más intensa, mientras que las importantes quedan sujetas a un control relevante, aunque con un enfoque menos estricto en determinados aspectos.
Desde la perspectiva empresarial, esta distinción es clave porque afecta al nivel de exigencia práctica, a la preparación documental y a la exposición ante auditorías o requerimientos.
¿Afecta también a pequeñas empresas y pymes?
Aunque muchas pymes quedan fuera del ámbito directo por no alcanzar el tamaño mínimo exigido, no puede afirmarse de forma automática que NIS2 no les afecte.
En primer lugar, porque hay excepciones expresas para determinadas entidades cuya actividad se considera crítica con independencia del tamaño. INCIBE señala que, en algunos casos, la obligación existe aunque la empresa no alcance los umbrales generales.
En segundo lugar, porque muchas pequeñas empresas pueden verse afectadas de manera indirecta por la cadena de suministro. NIS2 obliga a las entidades incluidas en su ámbito a gestionar los riesgos de ciberseguridad asociados a proveedores y terceros. Esto implica que una pyme que preste servicios a una entidad obligada puede encontrarse con exigencias contractuales, auditorías, cuestionarios de seguridad o condiciones técnicas más estrictas. INCIBE subraya expresamente la importancia de la cadena de suministro TIC dentro del cumplimiento NIS2.
Cuándo conviene revisar si una empresa está afectada
Desde una perspectiva práctica, una empresa debería revisar su situación respecto de NIS2 si se encuentra en alguno de estos escenarios:
- opera en un sector estratégico o crítico
- presta servicios digitales o tecnológicos a terceros
- trabaja con infraestructuras, datos o servicios sensibles
- tiene clientes sometidos a exigencias regulatorias de ciberseguridad
- o forma parte de la cadena de suministro de entidades esenciales o importantes.
Una revisión preventiva resulta especialmente aconsejable cuando la empresa no sabe con claridad si entra en el ámbito directo de NIS2, pero empieza a recibir exigencias contractuales o cuestionarios de cumplimiento por parte de sus clientes.
Tabla orientativa: cuándo puede afectarte NIS2
| Situación de la empresa | Posible afectación NIS2 |
|---|---|
| Empresa mediana o grande en sector crítico | Alta probabilidad de afectación directa |
| Empresa tecnológica o digital con servicios relevantes | Probable afectación, según actividad concreta |
| Pyme fuera de sectores listados | Baja afectación directa |
| Pyme proveedora de entidad esencial o importante | Afectación indirecta probable |
| Empresa en infraestructura digital o servicios TIC críticos | Revisión prioritaria |
| Organización con funciones estratégicas o singulares | Posible afectación aunque no cumpla el umbral general |
Esta tabla no sustituye el análisis jurídico del caso concreto, pero permite identificar con rapidez cuándo existe un riesgo regulatorio real.
Situación actual en España
En España, la directiva NIS2 debe entenderse dentro de un contexto de adaptación normativa todavía en desarrollo. La Comisión Europea mantiene una página específica sobre el estado de implementación en España y el BOE ha dejado constancia de que la transposición se encuentra en tramitación a través de un anteproyecto de ley de coordinación y gobernanza en ciberseguridad.
Esto no significa que las empresas puedan desentenderse hasta la aprobación definitiva de la norma interna. Al contrario, el marco europeo ya marca la dirección del cumplimiento y muchas organizaciones deben prepararse con antelación para adaptar su gobernanza, su política de riesgos y su relación con proveedores.
Conclusión
La directiva NIS2 en España afecta a más empresas de las que habitualmente se cree. Su aplicación no se limita a grandes operadores tecnológicos, sino que alcanza a entidades medianas y grandes de numerosos sectores críticos y, en determinados casos, también a organizaciones de menor tamaño por la naturaleza del servicio que prestan o por su posición en la cadena de suministro.
Por ello, no basta con preguntarse si la empresa pertenece formalmente a un sector sensible. También es necesario analizar su tamaño, su actividad concreta, sus clientes y su exposición contractual o regulatoria. Esa revisión es la que permite determinar si existe una obligación directa, una afectación indirecta o un riesgo de cumplimiento que conviene anticipar.
Preguntas frecuentes sobre la directiva NIS2 en España
¿La directiva NIS2 en España solo afecta a grandes empresas?
No. Aunque la regla general se centra en entidades medianas y grandes, existen excepciones para determinadas actividades críticas y, además, muchas pymes pueden verse afectadas indirectamente a través de la cadena de suministro.
¿Qué sectores están más claramente afectados?
Entre los sectores más claramente afectados se encuentran energía, transporte, banca, sanidad, agua, infraestructura digital, servicios TIC, servicios postales, residuos, industria química, alimentación, fabricación, proveedores digitales e investigación.
¿Qué diferencia hay entre entidad esencial y entidad importante?
La diferencia principal está en el nivel de criticidad, en la intensidad de la supervisión y en el régimen de control aplicable. Las entidades esenciales están sometidas a una vigilancia más intensa que las importantes.
¿Puede afectar NIS2 a una pyme que no esté obligada directamente?
Sí. Puede verse afectada por exigencias contractuales, controles de seguridad o auditorías de clientes que sí estén dentro del ámbito de la directiva, especialmente si forma parte de su cadena de suministro TIC.
¿España ya ha transpuesto completamente NIS2?
La situación ha estado en desarrollo. La Comisión Europea ha seguido el estado de implementación en España y el BOE ha indicado que la transposición se articula mediante un anteproyecto de ley en tramitación.
Si su empresa opera en un sector crítico, presta servicios tecnológicos o trabaja con clientes especialmente regulados, conviene analizar con antelación si la directiva NIS2 en España le afecta de forma directa o indirecta.
En DIG Abogados asesoramos a empresas en la identificación de obligaciones regulatorias, en la revisión de contratos y proveedores y en la preparación jurídica del cumplimiento en materia de ciberseguridad.
