Empresas que deben cumplir NIS2: Guía rápida 2025

La directiva NIS2 ha ampliado significativamente las obligaciones de ciberseguridad en la Unión Europea. Entrará en pleno vigor en 2025 y afectará a miles de empresas españolas. Si te preguntas si tu organización está dentro del alcance de esta normativa crítica, esta guía te proporciona respuestas claras y prácticas.

¿Qué es NIS2 y por qué es importante?

La Directiva NIS2 (Network and Information Security 2) es la actualización de la primera directiva europea sobre ciberseguridad. Su objetivo es elevar el nivel de seguridad cibernética en toda la UE, estableciendo requisitos mínimos para empresas y organizaciones consideradas "esenciales" o "importantes".

📅 Plazo crítico

Los Estados miembros deben trasponer NIS2 a su legislación nacional antes del 17 de octubre de 2024. Las empresas afectadas deben estar cumpliendo a más tardar en 2025. Las sanciones por incumplimiento pueden ser severas, alcanzando hasta el 2% del volumen de negocio anual global o 10 millones de euros para infracciones graves.

¿Qué empresas están obligadas a cumplir NIS2?

NIS2 clasifica las entidades en dos categorías principales: sectores esenciales y sectores importantes. La diferencia radica en el nivel de criticidad para la sociedad y la economía.

Energía

Electricidad, petróleo, gas, calefacción, refrigeración y hidrógeno.

Transporte

Aéreo, ferroviario, por carretera, marítimo y logística.

Banca

Entidades de crédito, empresas de servicios de pago.

Salud

Fabricantes de productos sanitarios, hospitales, clínicas.

Infraestructuras digitales

DNS, TLD, registradores de nombres, proveedores de nube, centros de datos.

Agua

Potable, residual, gestión de recursos hídricos.

Sectores importantes (ampliados con NIS2)

Servicios postales y de mensajería
Gestión de residuos
Fabricación de productos químicos
Producción, procesado y distribución de alimentos
Fabricación de productos médicos, informáticos, electrónicos, ópticos, eléctricos y de maquinaria
Proveedores de servicios digitales como motores de búsqueda, plataformas de comercio electrónico y redes sociales

Criterios de aplicación: ¿Por tamaño o sector?

NIS2 introduce criterios mixtos para determinar qué entidades deben cumplirla:

Categoría	Criterio de tamaño	Excepciones
Sectores esenciales	Medianas y grandes empresas (50+ empleados o >10M€ facturación)	Sin mínimo para infraestructuras críticas específicas
Sectores importantes	Medianas y grandes empresas (50+ empleados o >10M€ facturación)	Algunos servicios digitales sin umbral mínimo
Administraciones públicas	Todas las entidades	No aplica

⚠️ Atención a las PYMEs

Aunque NIS2 se enfoca principalmente en empresas medianas y grandes, las PYMEs que operen en sectores esenciales pueden quedar incluidas si son consideradas críticas por las autoridades nacionales. Además, las empresas de menor tamaño que sean proveedoras de entidades esenciales pueden verse indirectamente afectadas por los requisitos de la cadena de suministro.

Obligaciones clave bajo NIS2

Las empresas incluidas en el ámbito de aplicación de NIS2 deberán implementar medidas de gestión de riesgos y notificación que incluyen:

1. Gestión de riesgos de ciberseguridad

Evaluaciones periódicas de riesgos y políticas internas de seguridad
Medidas técnicas y organizativas para gestionar los riesgos de seguridad de red y sistemas de información
Plan de continuidad del negocio y gestión de crisis
Procedimientos de cifrado y gestión de accesos

2. Notificación de incidentes

Plazos estrictos para notificar incidentes significativos:

24 horas para notificación inicial tras ser conscientes del incidente
72 horas para proporcionar información más detallada
1 mes para presentar un informe final

3. Medidas de supervisión y cumplimiento

Auditorías de seguridad periódicas por personal cualificado
Evaluación de la cadena de suministro y requisitos para proveedores
Formación y concienciación del personal en ciberseguridad
Pruebas de seguridad como pentesting y análisis de vulnerabilidades

Pasos para prepararse en 2025

Determina si tu empresa está dentro del ámbito: Revisa los sectores y criterios anteriores.
Realiza un análisis de brechas: Evalúa tu estado actual frente a los requisitos de NIS2.
Desarrolla un plan de implementación: Prioriza acciones basadas en riesgo y criticidad.
Establece procedimientos de notificación: Prepara canales y formatos para incidentes.
Documenta todo: La trazabilidad y documentación son cruciales para demostrar cumplimiento.

💡 Cómo puede ayudar SecurityWP

Nuestro equipo especializado en compliance de ciberseguridad ofrece servicios para ayudar a las empresas a prepararse para NIS2: análisis de brechas, desarrollo de políticas, implementación de controles técnicos, formación del personal y auditorías de cumplimiento. Si necesitas ayuda para evaluar tu situación frente a NIS2, contacta con nosotros para una consulta inicial sin compromiso.

La implementación de NIS2 representa un cambio significativo en el panorama regulatorio de ciberseguridad en Europa. Las empresas que actúen con anticipación no solo evitarán sanciones, sino que fortalecerán su resiliencia frente a amenazas cibernéticas cada vez más sofisticadas.