Cumplimiento

NIS2: entidades esenciales e importantes

NIS2 entidades esenciales e importantes: cómo saber si tu empresa está obligada, umbrales de tamaño, anexos I y II, diferencias de supervisión y sanciones.

También disponible en:English

En una frase. La Directiva NIS2 clasifica a las organizaciones obligadas en dos categorías —entidades esenciales y entidades importantes— en función del sector (anexos I y II) y del tamaño (regla general: 50 empleados o 10 M EUR de volumen de negocio). Ambas tienen las mismas obligaciones de seguridad, pero se diferencian en cómo se supervisan y en el techo de las sanciones.

Puntos clave

  • Esenciales: sectores de alta criticidad (anexo I) que superan el umbral de gran empresa; supervisión ex ante (proactiva).
  • Importantes: otros sectores críticos (anexo II) o empresas medianas; supervisión ex post (reactiva, tras un incidente o indicio).
  • Umbral general de tamaño: ≥50 empleados o >10 M EUR de facturación/balance.
  • Las obligaciones de gestión de riesgos (art. 21) son idénticas para ambas; cambian el control y las multas.
  • En España el marco se cierra con el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad: véase NIS2 en España.

1. Por qué NIS2 crea dos categorías

La Directiva (UE) 2022/2555 (NIS2) amplió enormemente el número de entidades obligadas respecto a la NIS original. Para no tratar igual a un operador de red eléctrica que a un fabricante de alimentos, distingue dos niveles de riesgo sistémico: esenciales e importantes. La lógica es de proporcionalidad: a mayor impacto potencial de una interrupción, mayor intensidad de la supervisión.

Lo importante para el cumplimiento: las medidas de seguridad del art. 21 son las mismas para ambas. La distinción afecta a la vigilancia y a las consecuencias, no al “qué hay que hacer”.

2. Cómo determinar tu categoría: el doble filtro

Para saber si estás dentro y en qué nivel, aplica dos filtros: sector y tamaño.

Filtro 1: sector (anexos I y II)

  • Anexo I — sectores de alta criticidad: energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC (B2B), administración pública, espacio.
  • Anexo II — otros sectores críticos: servicios postales y de mensajería, gestión de residuos, fabricación y distribución de productos químicos, producción y distribución de alimentos, fabricación (productos sanitarios, electrónica, maquinaria, vehículos), proveedores digitales (mercados en línea, buscadores, redes sociales) e investigación.

Filtro 2: tamaño

Regla general (empresa mediana o superior): ≥50 empleados o >10 M EUR de volumen de negocio anual o balance. Por debajo de ese umbral, la mayoría de microempresas y pequeñas empresas quedan fuera, salvo excepciones (proveedores críticos únicos, registros de nombres de dominio, ciertos servicios de confianza), que entran con independencia del tamaño.

3. Tabla: esencial vs importante

Criterio Entidad esencial Entidad importante
Sector Anexo I (alta criticidad), gran empresa Anexo II, o anexo I mediana empresa
Tamaño típico ≥250 empleados o >50 M€ 50-249 empleados o 10-50 M€
Supervisión Ex ante: inspecciones proactivas Ex post: tras incidente o indicio
Multa máxima Hasta 10 M€ o 2 % de facturación global Hasta 7 M€ o 1,4 %
Obligaciones art. 21 Idénticas Idénticas

La diferencia clave está en la columna de supervisión. A una entidad esencial la autoridad puede inspeccionarla sin que haya pasado nada; a una importante, en principio, solo actúa cuando hay un incidente o una sospecha fundada. El detalle del régimen sancionador lo desarrollamos en sanciones NIS2.

4. El contexto español: quién supervisa

España transpone NIS2 mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aún en tramitación en 2026 (el plazo europeo venció el 17 de octubre de 2024 y la Comisión abrió procedimiento por retraso). El diseño reparte competencias entre varios actores:

  • El CCN (Centro Criptológico Nacional) y su CCN-CERT, con peso en el sector público y el Esquema Nacional de Seguridad.
  • INCIBE e INCIBE-CERT, como referencia para el sector privado.
  • Autoridades sectoriales para ámbitos regulados (por ejemplo, el financiero, donde además concurre DORA).

Para las entidades del sector financiero conviene entender la relación lex specialis: DORA desplaza a NIS2 en gran parte de sus obligaciones, como explicamos en DORA vs NIS2.

5. Qué hacer si estás dentro

Tanto si eres esencial como importante, el art. 21 exige un paquete común de medidas: análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, cifrado, control de accesos y formación de la dirección. Además, el art. 23 impone un régimen escalonado de notificación de incidentes.

El primer paso operativo es determinar tu categoría por escrito y documentarlo, porque la autoridad puede exigir esa autoevaluación. A partir de ahí, muchas de las medidas se solapan con las que ya exige el RGPD (seguridad del art. 32, gestión de brechas), de modo que conviene gestionarlas de forma coordinada. Herramientas de cumplimiento como Legiscope ayudan a mantener el inventario de activos y tratamientos que sirve de base tanto para NIS2 como para el RGPD, y a documentar la brecha de seguridad cuando afecta a datos personales.

El registro nacional y el efecto cascada sobre proveedores

Una novedad de NIS2 frente a la NIS original es que muchas entidades deberán registrarse ante la autoridad competente, aportando datos básicos de contacto, sectores y direcciones IP relevantes. Ese registro no es un trámite decorativo: es la vía por la que la autoridad sabe a quién supervisar y a quién dirigir instrucciones o inspecciones. Quedarse fuera del registro por creer erróneamente que no se está obligado es, en sí mismo, una fuente de riesgo.

El otro efecto que muchas empresas subestiman es el arrastre contractual. Una entidad esencial o importante tiene que gestionar la seguridad de su cadena de suministro (art. 21.2.d NIS2). En la práctica, eso significa que trasladará exigencias de ciberseguridad a sus proveedores mediante contratos: cláusulas de seguridad, derechos de auditoría, obligaciones de notificación. Así, una empresa que técnicamente no está sujeta a NIS2 puede acabar cumpliendo requisitos NIS2 porque se los impone un cliente que sí lo está. Conviene anticipar esa presión, porque suele llegar en forma de cuestionarios de seguridad y anexos contractuales que hay que responder para conservar el contrato.

Autoevaluación en cinco preguntas. Antes de contratar asesoramiento, cualquier organización puede hacer un primer cribado respondiendo a cinco preguntas: ¿opero en un sector de los anexos I o II?; ¿supero los umbrales de 50 empleados o 10 M EUR?; ¿presto algún servicio crítico único sin alternativa en el mercado?; ¿soy proveedor de servicios TIC de otras entidades críticas?; ¿algún cliente ya me ha exigido cumplir NIS2 por contrato? Un “sí” en las dos primeras suele bastar para estar dentro; un “sí” en las tres últimas puede meterte aunque no superes los umbrales generales.

6. Recursos oficiales

Véase también: NIS2 en el sector sanitario y NIS2 en el sector energético.

FAQ

¿Cómo sé si mi empresa es entidad esencial o importante?

Aplica dos filtros: sector (anexos I y II) y tamaño (≥50 empleados o >10 M EUR). Si operas en un sector de alta criticidad del anexo I y eres gran empresa, serás esencial; en el resto de casos que superen el umbral, importante. Documenta esa autoevaluación por escrito.

¿Las obligaciones de seguridad son distintas para cada categoría?

No. Las medidas del art. 21 NIS2 son idénticas para esenciales e importantes. Lo que cambia es la supervisión (ex ante vs ex post) y el techo de las sanciones.

¿Una pyme está obligada por NIS2?

Por regla general no, si tiene menos de 50 empleados y menos de 10 M EUR. Pero hay excepciones que entran con independencia del tamaño: proveedores críticos únicos, registros de dominios y ciertos prestadores de servicios de confianza.

¿Qué pasa si mi empresa es del sector financiero?

El sector financiero se rige principalmente por DORA, que como norma especial desplaza a NIS2 en la mayoría de obligaciones. Consulta DORA vs NIS2 para el árbol de decisión.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →