NIS2 en España 2026: qué obliga, a quién y cómo prepararse

La directiva NIS2 ha pasado de ser una conversación de comités a una obligación legal que afecta a miles de empresas en España. Si tu organización está en uno de los sectores que cubre, en 2026 ya no toca prepararse: toca demostrar que estás preparado. En este artículo te explico, sin rodeos, qué exige NIS2, a quién obliga, qué cambia respecto a NIS1, cuáles son los plazos de notificación, las sanciones reales y cómo encaja la certificación PECB Lead Implementer en tu hoja de ruta.

Qué es NIS2 y qué cambia respecto a NIS1

NIS2 es la Directiva (UE) 2022/2555 relativa a las medidas para un alto nivel común de ciberseguridad en toda la Unión. Sustituye a la NIS de 2016 y la transforma en algo más ambicioso: amplía sectores, sube el nivel mínimo de medidas técnicas y organizativas, endurece las obligaciones de notificación y, sobre todo, traslada la responsabilidad última al órgano de dirección de la entidad.

En España, NIS2 se transpone mediante el Real Decreto-ley 7/2025 y la ley de coordinación de ciberseguridad, que designan a las autoridades competentes (INCIBE-CERT, CCN-CERT y CCN como autoridad nacional) y desarrollan el régimen sancionador.

A quién aplica en España

El ámbito es amplio y, si nunca te has parado a mirarlo, probablemente te sorprenda. NIS2 cubre 18 sectores agrupados en dos categorías:

Entidades esenciales (alto impacto): energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio.

Entidades importantes (impacto significativo): servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de productos químicos, producción, transformación y distribución de alimentos, fabricación de productos médicos, ordenadores y electrónica, vehículos y otros equipos de transporte, proveedores de servicios digitales y organizaciones de investigación.

El criterio de tamaño es decisivo: en general, NIS2 aplica a entidades medianas o grandes (más de 50 empleados o más de 10 millones de euros de facturación) dentro de esos sectores. Pero hay excepciones: ciertos servicios críticos quedan obligados independientemente de su tamaño, incluidas pymes que prestan servicios esenciales a otras entidades.

Las medidas del artículo 21

El artículo 21 de NIS2 enumera diez bloques de medidas técnicas, operativas y organizativas que toda entidad obligada debe implementar. Es la columna vertebral del cumplimiento. Estos son los diez bloques, con lo que cada uno significa en la práctica:

1. Políticas de análisis de riesgos y de seguridad de la información. Marco de gestión de riesgos formal, no improvisado.
2. Gestión de incidentes. Procesos para detectar, responder y recuperar.
3. Continuidad de negocio. Gestión de copias de seguridad, recuperación ante desastres y gestión de crisis.
4. Seguridad de la cadena de suministro. Cómo gestionas el riesgo de tus proveedores TIC.
5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas. Incluyendo gestión y divulgación de vulnerabilidades.
6. Políticas y procedimientos para evaluar la eficacia de las medidas. Cómo mides que lo que has implantado funciona.
7. Prácticas básicas de ciberhigiene y formación. Concienciación recurrente, no un curso anual de cumplimiento.
8. Políticas y procedimientos sobre uso de criptografía. Y cifrado cuando proceda.
9. Seguridad de los recursos humanos. Control de accesos, gestión de identidades.
10. Uso de autenticación multifactor y soluciones de comunicaciones seguras.

Si tu organización ya tiene un Sistema de Gestión de Seguridad de la Información conforme a ISO/IEC 27001, partes con buena parte del camino hecho. Pero NIS2 va más allá en algunos puntos, especialmente en la gestión del riesgo de cadena de suministro y en la responsabilidad de la dirección.

Plazos de notificación de incidentes

Uno de los cambios más exigentes de NIS2 es el régimen de notificación de incidentes significativos. Los plazos son cortos y no permiten improvisación:

• 24 horas: alerta inicial al CSIRT competente con indicios de que el incidente puede deberse a actos maliciosos o tener impacto transfronterizo.
• 72 horas: notificación formal del incidente, con evaluación inicial (gravedad, impacto, indicadores de compromiso).
• 1 mes: informe final con causas raíz, medidas adoptadas y consecuencias.

Estos plazos no son negociables y exigen tener procesos de detección y clasificación maduros antes de que ocurra el incidente, no después.

Sanciones y responsabilidad de la dirección

El régimen sancionador de NIS2 es deliberadamente disuasorio. Para entidades esenciales, las multas pueden alcanzar los 10 millones de euros o el 2% del volumen de negocio anual mundial, lo que sea mayor. Para entidades importantes, 7 millones de euros o el 1,4% del volumen de negocio.

Pero la novedad más importante no son las cifras: es que NIS2 hace personalmente responsables a los miembros del órgano de dirección. La directiva exige que aprueben las medidas de gestión de riesgos, supervisen su aplicación y reciban formación periódica en ciberseguridad. Pueden ser inhabilitados temporalmente para ejercer funciones directivas si se demuestra incumplimiento grave.

Hoja de ruta práctica para empezar

Si tu organización está obligada y aún no ha avanzado, esto es lo que recomiendo en los proyectos en los que trabajo, por este orden:

1. Test de aplicabilidad. Confirma si tu entidad está cubierta (sector + tamaño) y en qué categoría (esencial o importante). Hay matices y no son obvios.
2. Análisis de brecha contra el artículo 21. Diez bloques de medidas, lo que ya tienes y lo que falta. Probablemente ya tienes más de lo que crees, especialmente si trabajas con ISO 27001.
3. Marco de notificación de incidentes. Procedimientos, plantillas y simulacros para los plazos de 24h, 72h y 1 mes.
4. Inventario de proveedores TIC críticos. Sin un mapa claro de proveedores, el pilar de cadena de suministro es imposible.
5. Implicación formal del órgano de dirección. Aprobación de políticas, plan de formación específico y registro documental de su involucración.

La diferencia entre las organizaciones que cumplirán NIS2 sin sobresaltos y las que se llevarán sanciones no será el presupuesto, sino la anticipación. Quien empieza en 2026 con calma llega; quien empiece cuando reciba la primera inspección, ya llega tarde.

Formarse y certificarse

Si quieres dar el paso a la certificación oficial PECB, el curso NIS2 Lead Implementer es el camino directo. Self-Study oficial PECB para avanzar a tu ritmo, o con coaching 1-a-1 hasta que estés listo para el examen en las normas donde imparto como Formador Certificado.