Cumplimiento

NIS2 España 2026: transposición, entidades esenciales, plazos y sanciones

NIS2 España 2026: estado de la transposición, entidades esenciales e importantes, papel de INCIBE y CCN, obligaciones, plazos de notificación y sanciones.

También disponible en:Svenska·da·no·Italiano·Português·fi·et·Lietuvių

En una frase. La Directiva NIS2 (UE 2022/2555) se transpone en España mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aún en tramitación en 2026: obliga a las entidades esenciales e importantes de sectores críticos a implantar medidas de gestión de riesgos, notificar incidentes en plazos escalonados y responder a nivel de dirección, con sanciones de hasta 10 millones de euros.

Puntos clave

  • NIS2 sustituye a la Directiva NIS y amplía enormemente el número de entidades obligadas.
  • España no cumplió el plazo de transposición del 17 de octubre de 2024; la Comisión Europea le remitió dictamen motivado en mayo de 2025.
  • La ley crea un Centro Nacional de Ciberseguridad y reparte competencias entre Interior, Defensa (CCN) y Transformación Digital.
  • Notificación de incidentes en tres pasos: alerta temprana en 24 h, notificación en 72 h e informe final en un mes.
  • Sanciones: hasta 10 M EUR o el 2 % de la facturación mundial para entidades esenciales; hasta 7 M EUR o el 1,4 % para importantes.

1. Qué es NIS2 y por qué importa

La Directiva (UE) 2022/2555 (NIS2) es la norma europea de ciberseguridad que sustituye a la Directiva NIS de 2016. Su objetivo es elevar el nivel común de seguridad de las redes y sistemas de información en la UE, y su gran cambio es de alcance: donde la NIS original cubría a un puñado de operadores de servicios esenciales, NIS2 abarca a miles de entidades medianas y grandes de dieciocho sectores. Para muchas organizaciones que nunca se consideraron «infraestructura crítica», NIS2 es su primera obligación reglada de ciberseguridad.

A diferencia del RGPD, NIS2 no protege datos personales sino la resiliencia de los sistemas; pero ambos marcos se solapan en la práctica (seguridad del art. 32 RGPD, notificación de brechas) y conviene gestionarlos de forma coordinada, como explicamos en la guía del Esquema Nacional de Seguridad.

2. Estado de la transposición en España

España no cumplió el plazo de transposición del 17 de octubre de 2024. El Gobierno aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que sigue su tramitación parlamentaria en 2026. En mayo de 2025, la Comisión Europea remitió a España un dictamen motivado por el retraso, paso previo a una posible demanda ante el Tribunal de Justicia de la UE con sanciones al Estado. El horizonte de plena aplicación efectiva se sitúa en torno a octubre de 2026.

Para las empresas, la incertidumbre sobre la fecha exacta no es excusa para no prepararse: los requisitos técnicos y organizativos de NIS2 son conocidos y su implantación lleva meses.

3. Gobernanza: quién manda en ciberseguridad

El anteproyecto reordena el mapa institucional:

Órgano Ámbito
Centro Nacional de Ciberseguridad Dirección y coordinación nacional, adscrito a Presidencia
Ministerio del Interior (Oficina de Coordinación de Ciberseguridad) Coordinación operativa
Ministerio de Defensa (Centro Criptológico Nacional, CCN) Sector público y ámbito criptológico
Ministerio para la Transformación Digital Sectores digitales y telecomunicaciones
INCIBE-CERT Equipo de respuesta para el sector privado y ciudadanos

El CCN-CERT atiende al sector público, el INCIBE-CERT al privado y a la ciudadanía, y el ESPDEF-CERT al ámbito de defensa. Las entidades obligadas deberán registrarse ante la autoridad competente y canalizar sus notificaciones por los cauces que fije la ley.

4. Entidades esenciales e importantes

NIS2 distingue dos categorías, con obligaciones equivalentes pero regímenes de supervisión y sanción distintos:

  • Entidades esenciales: sectores de alta criticidad (energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, administración pública, espacio). Supervisión proactiva.
  • Entidades importantes: otros sectores críticos (servicios postales, gestión de residuos, productos químicos, alimentación, fabricación, proveedores digitales, investigación). Supervisión reactiva (tras un incidente o indicio).

El criterio general de tamaño es la regla de la mediana empresa: quedan cubiertas las entidades con 50 o más empleados o un volumen de negocio o balance superior a 10 millones de euros en los sectores incluidos, con excepciones que capturan a entidades menores por su criticidad (proveedores de DNS, registros de dominios, algunas administraciones).

5. Obligaciones de gestión de riesgos

El art. 21 de la Directiva impone medidas técnicas, operativas y organizativas proporcionadas al riesgo. El catálogo mínimo incluye:

  • Políticas de análisis de riesgos y de seguridad de los sistemas.
  • Gestión de incidentes.
  • Continuidad de negocio y gestión de copias de seguridad.
  • Seguridad de la cadena de suministro.
  • Seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
  • Evaluación de la eficacia de las medidas.
  • Higiene básica de ciberseguridad y formación.
  • Criptografía y cifrado.
  • Control de accesos y gestión de activos.
  • Autenticación multifactor y comunicaciones seguras.

Estas medidas son plenamente compatibles con marcos ya conocidos: quien tiene implantado el ENS o ISO 27001 parte con gran ventaja. El solapamiento con el art. 32 RGPD es evidente y aconseja unificar la gestión de la seguridad.

6. Notificación de incidentes: los tres plazos

NIS2 establece una notificación escalonada al CSIRT o a la autoridad competente:

Fase Plazo Contenido
Alerta temprana 24 horas Indicio de incidente significativo
Notificación de incidente 72 horas Evaluación inicial: gravedad, impacto, indicadores
Informe final 1 mes Descripción detallada, causa raíz, medidas

Un incidente es «significativo» si causa o puede causar una perturbación operativa grave o pérdidas financieras, o si afecta a terceros con daños materiales o inmateriales considerables. Este flujo recuerda al de las brechas del RGPD, pero es autónomo: un mismo incidente puede exigir notificar tanto al CSIRT (NIS2) como a la AEPD (RGPD) si además hay datos personales. Nuestra guía de brecha de seguridad RGPD detalla el circuito de datos personales.

7. Responsabilidad de la dirección

Una novedad de peso: NIS2 hace responsables a los órganos de dirección de la aprobación y supervisión de las medidas de gestión de riesgos, y prevé formación obligatoria para directivos. La dirección puede responder personalmente del incumplimiento. La ciberseguridad deja de ser un asunto delegable al departamento de IT para convertirse en una obligación de gobierno corporativo.

8. Sanciones

El régimen sancionador distingue por categoría:

  • Entidades esenciales: multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial total, la cifra más alta.
  • Entidades importantes: multas de hasta 7 millones de euros o el 1,4 % del volumen de negocio anual mundial total.

Además de las multas, las autoridades pueden imponer medidas correctoras, suspensiones temporales de certificaciones o autorizaciones e incluso la inhabilitación temporal de directivos en entidades esenciales. Es un régimen calcado en su lógica al del RGPD, cuya escala de sanciones ya conocen las empresas por el panorama de sanciones RGPD.

9. Cómo prepararse ahora

  • Determinar si tu entidad está incluida (sector + tamaño) y en qué categoría.
  • Realizar un análisis de riesgos y una autoevaluación frente al catálogo del art. 21.
  • Implantar o alinear un marco de seguridad (ENS, ISO 27001).
  • Definir un procedimiento de gestión y notificación de incidentes con los tres plazos.
  • Revisar la seguridad de la cadena de suministro y los contratos con proveedores.
  • Formar a la dirección y documentar su implicación.
  • Integrar la auditoría de seguridad en el ciclo anual y apoyarse en la checklist RGPD España para la parte de datos personales.

Coordinar NIS2, ENS y RGPD en un único sistema documental —registro, medidas, incidentes— es precisamente donde una plataforma como Legiscope reduce el trabajo manual; para comparar herramientas, ver software de cumplimiento RGPD.

Véase también: sanciones NIS2.

Véase también: software de cumplimiento NIS2.

Preguntas frecuentes

¿Cuándo entra en vigor NIS2 en España?

La directiva debía transponerse antes del 17 de octubre de 2024, plazo que España incumplió. La ley de transposición sigue en tramitación en 2026, con plena aplicación prevista en torno a octubre de ese año. La Comisión Europea ya remitió a España un dictamen motivado por el retraso.

¿Qué empresas están obligadas por NIS2?

Con carácter general, las entidades de los sectores incluidos con 50 o más empleados o más de 10 millones de euros de volumen de negocio o balance, clasificadas como esenciales o importantes, más ciertas entidades menores por su criticidad (DNS, registros de dominios, algunas administraciones).

¿En cuánto tiempo hay que notificar un incidente?

En tres fases: una alerta temprana en 24 horas, una notificación de incidente en 72 horas y un informe final en el plazo de un mes desde la notificación.

¿Cuánto puede sancionar NIS2?

Hasta 10 millones de euros o el 2 % de la facturación mundial para entidades esenciales, y hasta 7 millones de euros o el 1,4 % para entidades importantes, además de medidas correctoras y responsabilidad de los directivos.

Conclusión

NIS2 convierte la ciberseguridad en una obligación reglada para miles de empresas españolas que hasta ahora no la tenían, con un régimen de notificación escalonada, responsabilidad directa de la dirección y sanciones a la altura del RGPD. Aunque la ley de transposición aún se tramita en 2026, los requisitos son conocidos y su implantación lleva meses: determinar si tu entidad está incluida, alinear un marco de seguridad (ENS o ISO 27001) y montar el procedimiento de incidentes son los primeros pasos ineludibles. Coordinar NIS2 con el RGPD desde el principio evita duplicar esfuerzos y expedientes.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →