En octubre de 2024, España debería haber transpuesto la Directiva NIS2 al ordenamiento jurídico español. No lo hizo. El proceso parlamentario sigue en curso y miles de empresas españolas se encuentran en una situación incómoda: saben que la obligación se acerca, pero no saben exactamente cuándo ni qué tienen que hacer.

Si tu empresa opera en España y tienes dudas sobre si NIS2 te afecta, este artículo te da las respuestas concretas que necesitas. Sin tecnicismos innecesarios y sin alarmar — pero sin suavizar lo que está en juego.

Qué es la Directiva NIS2 y por qué importa ahora

NIS2 es la directiva europea de ciberseguridad que obliga a empresas de sectores críticos a implantar medidas técnicas y organizativas mínimas de seguridad, notificar incidentes y garantizar la seguridad de su cadena de suministro.

La Directiva NIS2 (Network and Information Security 2) es la evolución de la directiva NIS de 2016, con un alcance mucho más amplio y sanciones significativamente más severas. Aprobada por el Parlamento Europeo en diciembre de 2022, debía estar transpuesta en todos los estados miembros antes del 17 de octubre de 2024.

España incumplió ese plazo. El proyecto de ley de transposición está en trámite parlamentario y se espera su aprobación en 2025-2026. Esto no significa que las empresas puedan ignorarla — significa que cuando entre en vigor, las obligaciones serán inmediatas y el período de adaptación será mínimo.

Según la Agencia de la Unión Europea para la Ciberseguridad (ENISA), NIS2 amplía el número de entidades obligadas de aproximadamente 2.000 en la directiva original a más de 160.000 entidades en toda Europa. En España, se estima que afectará a decenas de miles de empresas que antes no estaban en el radar regulatorio.

A quién afecta NIS2 en España

NIS2 afecta a empresas medianas y grandes de sectores críticos, pero también a PYMEs si prestan servicios esenciales o forman parte de la cadena de suministro de una entidad obligada.

NIS2 divide las entidades obligadas en dos categorías:

Entidades esenciales (Anexo I): Energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, gestión de servicios TIC, administración pública y espacio.

Entidades importantes (Anexo II): Servicios postales, gestión de residuos, fabricación y distribución de productos químicos, producción y distribución de alimentos, fabricación de equipos médicos y electrónicos, proveedores de servicios digitales e investigación.

Los umbrales generales son empresas con más de 50 empleados o más de 10 millones de euros de facturación anual. Pero hay excepciones importantes: algunas empresas quedan obligadas independientemente de su tamaño si son el único proveedor de un servicio esencial en un país o si un incidente podría tener impacto significativo.

El punto crítico para muchas PYMEs es la cadena de suministro. Aunque tu empresa no entre directamente en los Anexos I o II, si eres proveedor tecnológico, MSP, o prestador de servicios IT de una entidad obligada, esa entidad te va a exigir cumplimiento como condición contractual. NIS2 llega a las PYMEs por arriba.

Qué obliga a hacer NIS2 concretamente

Las obligaciones de NIS2 se agrupan en cuatro bloques: gestión de riesgos, continuidad del negocio, seguridad de la cadena de suministro y notificación de incidentes.

El artículo 21 de NIS2 establece las medidas técnicas y organizativas mínimas que deben implantar las entidades obligadas. En términos prácticos, esto incluye:

Análisis y gestión de riesgos

Identificar, evaluar y documentar los riesgos de ciberseguridad que afectan a los sistemas de información de la organización. No es suficiente con tener antivirus — se requiere un proceso formal y revisable.

Control de acceso y gestión de identidades

Garantizar que solo los usuarios autorizados acceden a los sistemas que necesitan, con los privilegios mínimos necesarios. Aquí es donde la arquitectura Zero Trust se convierte en la respuesta técnica más directa.

Seguridad en el acceso remoto

Proteger las conexiones remotas con medidas de autenticación robusta (MFA), cifrado y monitorización. Las VPN tradicionales sin controles adicionales no son suficientes bajo NIS2.

Continuidad del negocio y gestión de incidentes

Disponer de planes de respuesta ante incidentes y de continuidad operativa. NIS2 obliga a notificar incidentes significativos al INCIBE-CERT o al CSIRT nacional en un plazo máximo de 24 horas tras la detección.

Seguridad de la cadena de suministro

Evaluar y gestionar los riesgos de ciberseguridad de los proveedores y prestadores de servicios. Las entidades obligadas deberán exigir a sus proveedores TI que acrediten medidas de seguridad equivalentes.

Las sanciones: por qué no se puede ignorar

Las sanciones por incumplimiento de NIS2 alcanzan hasta 10 millones de euros o el 2% de la facturación global anual para entidades esenciales, y hasta 7 millones o el 1,4% para entidades importantes.

El régimen sancionador de NIS2 es significativamente más duro que el de la directiva original. Para las entidades esenciales, las multas máximas son de 10 millones de euros o el 2% de la facturación global anual, lo que sea mayor. Para las entidades importantes, el límite es de 7 millones de euros o el 1,4% de la facturación.

Pero las sanciones económicas no son el único riesgo. NIS2 introduce la responsabilidad personal de los órganos de dirección: los directivos pueden ser declarados responsables de incumplimientos y, en casos graves, inhabilitados temporalmente para el ejercicio de funciones directivas. Este es un cambio fundamental respecto al marco anterior.

Qué significa NIS2 para los MSPs y proveedores TI

Los MSPs y proveedores de servicios TI quedan directamente incluidos en el Anexo II de NIS2 como "proveedores de servicios gestionados", lo que les convierte en entidades importantes con obligaciones propias.

Este es el punto que más sorprende al sector. Los MSPs no solo quedan afectados por NIS2 a través de sus clientes — quedan directamente obligados como entidades importantes. Esto significa que un MSP español con más de 50 empleados o 10 millones de facturación tiene que cumplir NIS2 por sí mismo, independientemente de a quién preste servicio.

Las implicaciones son claras: los MSPs que no adapten su stack de seguridad antes de que entre en vigor la transposición española tendrán un problema regulatorio propio y perderán competitividad frente a los que sí estén preparados. NIS2 es, para el canal MSP, tanto una obligación como una oportunidad comercial.

Cómo Zero Trust responde a los requisitos de NIS2

Una arquitectura Zero Trust aborda directamente los requisitos técnicos de NIS2: control de acceso con privilegios mínimos, autenticación multifactor, segmentación de red, monitorización continua y trazabilidad completa de accesos.

NIS2 no prescribe tecnologías concretas — prescribe resultados de seguridad. Pero si analizamos los requisitos técnicos del artículo 21, una arquitectura ZTNA (Zero Trust Network Access) cubre de forma directa la mayoría de ellos:

Requisito NIS2	Cómo lo cubre Zero Trust
Control de acceso y privilegios mínimos	Cada usuario accede solo al recurso que necesita, con permisos definidos explícitamente
Autenticación multifactor	MFA integrado en cada acceso, verificación continua de identidad
Segmentación de red	Ningún usuario accede a la red completa — solo al recurso concreto autorizado
Monitorización y detección de incidentes	Logs en tiempo real de todos los accesos: quién, qué, cuándo y desde dónde
Seguridad en acceso remoto	Cifrado end-to-end, sin puertos expuestos a internet, sin concentradores VPN vulnerables
Gestión de accesos de terceros	Acceso puntual y controlado para proveedores externos, con expiración automática y trazabilidad

ConnectaSec implementa estos principios sobre infraestructura de servidores europeos, lo que añade una capa relevante para empresas que necesitan demostrar cumplimiento con los requisitos de soberanía de datos del RGPD y del ENS además de NIS2.

Qué deberías hacer ahora mismo

No esperes a que entre en vigor la transposición española. Las empresas que empiecen a adaptar su infraestructura ahora tendrán una ventaja real frente a las que tengan que hacerlo bajo presión regulatoria.

El hecho de que España no haya completado la transposición no es una excusa para no actuar — es una ventana de tiempo para prepararse con calma. Esto es lo que puedes hacer ahora:

Paso 1 — Determina si te afecta. Revisa si tu actividad cae en los Anexos I o II de NIS2, o si eres proveedor de una entidad que sí está obligada. Si tienes dudas, consulta con un asesor de ciberseguridad o con el INCIBE, que tiene recursos gratuitos para PYMEs.

Paso 2 — Audita tu situación actual. Evalúa qué medidas de seguridad tienes ya implantadas y qué gaps existen respecto a los requisitos del artículo 21. La mayoría de PYMEs descubren en este punto que su mayor vulnerabilidad es el control de acceso remoto.

Paso 3 — Prioriza el control de acceso. Si tienes empleados en remoto, proveedores que acceden a tus sistemas o una VPN como única medida de seguridad perimetral, el acceso remoto es tu primer frente de mejora. Es donde NIS2 tiene más exigencia y donde las VPN tradicionales más flaquean.

Paso 4 — Documenta todo. NIS2 no solo exige hacer — exige poder demostrar que se hace. Las políticas de seguridad, los registros de acceso y los procedimientos de respuesta a incidentes deben estar documentados y ser auditables.

Paso 5 — Evalúa tu cadena de suministro. Revisa qué proveedores TI tienen acceso a tus sistemas y qué medidas de seguridad tienen. Si son tu punto débil, NIS2 te hará responsable igualmente.

Preguntas frecuentes sobre NIS2 en España

¿Cuándo entra en vigor NIS2 en España exactamente?

España no ha completado la transposición a fecha de 2026. El plazo europeo era octubre de 2024. Se espera que la ley española entre en vigor durante 2025-2026. Las empresas deben seguir el avance parlamentario y prepararse con antelación.

¿Afecta NIS2 a empresas de menos de 50 empleados?

En general, las microempresas (menos de 10 empleados y menos de 2 millones de facturación) quedan excluidas. Las pequeñas empresas (10-50 empleados) también suelen estar fuera del ámbito directo, salvo que sean el único proveedor de un servicio esencial o presten servicios a entidades obligadas que les exijan cumplimiento contractualmente.

¿Un MSP con 30 empleados tiene que cumplir NIS2?

No directamente como entidad obligada por tamaño. Pero sí indirectamente: sus clientes que sean entidades obligadas le exigirán cumplimiento como condición para mantener el contrato. En la práctica, todos los MSPs que sirven a empresas medianas o grandes del sector industrial, sanitario o financiero tendrán que adaptarse.

¿NIS2 y RGPD son lo mismo?

No, son marcos distintos aunque complementarios. El RGPD regula la protección de datos personales. NIS2 regula la seguridad de las redes y sistemas de información. Muchas medidas técnicas sirven para ambas regulaciones — un buen control de acceso, por ejemplo, contribuye a cumplir los dos marcos simultáneamente.

¿Tener ISO 27001 es suficiente para cumplir NIS2?

ISO 27001 es un buen punto de partida y cubre muchos de los requisitos de NIS2, pero no son equivalentes. NIS2 tiene requisitos específicos sobre notificación de incidentes y responsabilidad de los órganos directivos que van más allá del estándar ISO. Tener ISO 27001 facilita la adaptación, pero no garantiza el cumplimiento automático.

En resumen

→ NIS2 amplía enormemente el número de empresas obligadas en España — incluidos MSPs y proveedores TI como entidades importantes.

→ España no ha transpuesto NIS2 aún, pero las empresas deben prepararse ahora — cuando entre en vigor, los plazos de adaptación serán cortos.

→ Las sanciones alcanzan hasta 10 millones de euros o el 2% de la facturación global, con responsabilidad personal para los directivos.

→ El control de acceso con privilegios mínimos, MFA y segmentación de red — los principios de Zero Trust — son la respuesta técnica más directa a los requisitos del artículo 21 de NIS2.

→ ConnectaSec implementa ZTNA sobre infraestructura europea, cubriendo simultáneamente los requisitos de NIS2, RGPD y ENS.

→ Las PYMEs que no están directamente obligadas deben revisar si sus clientes lo están — la exigencia llegará por la cadena de suministro.

¿Quieres saber si tu empresa está preparada para NIS2?

En 30 minutos analizamos tu situación actual y te explicamos qué pasos concretos necesitas dar para cumplir con los requisitos de acceso y segmentación de red.

Solicitar análisis gratuito →