Cumplimiento

Sanciones NIS2: multas y responsabilidad directiva

Sanciones NIS2: multas de hasta 10 M EUR o 2 % (esenciales) y 7 M EUR o 1,4 % (importantes), más la responsabilidad personal de los directivos frente al RGPD.

También disponible en:English·Deutsch

En una frase. NIS2 prevé multas de hasta 10 millones de euros o el 2 % de la facturación mundial para las entidades esenciales, y hasta 7 millones o el 1,4 % para las importantes. Pero la novedad de verdad no es la cifra: es la responsabilidad personal de los órganos de dirección, que pueden ser considerados responsables e incluso quedar temporalmente inhabilitados, algo que el RGPD no contempla.

Puntos clave

  • Entidades esenciales: hasta 10 M EUR o 2 % de la facturación anual global (la cifra mayor).
  • Entidades importantes: hasta 7 M EUR o 1,4 %.
  • La dirección responde: los órganos de gestión deben aprobar y supervisar las medidas y pueden ser responsables de su incumplimiento (art. 20 NIS2).
  • Posible inhabilitación temporal de directivos y del consejero delegado en entidades esenciales.
  • En España, la cuantía y el procedimiento se cierran con el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.

1. Los dos tramos de multa

NIS2 gradúa las multas según la categoría de la entidad, en línea con su lógica de proporcionalidad (véase entidades esenciales e importantes):

Categoría Multa máxima Base legal
Entidad esencial 10 M€ o 2 % de la facturación mundial anual Art. 34.4 NIS2
Entidad importante 7 M€ o 1,4 % de la facturación mundial anual Art. 34.5 NIS2

En ambos casos se aplica la cifra que sea mayor, igual que en el RGPD. Para una gran empresa, el 2 % de la facturación global supera con creces los 10 millones, de modo que el tope porcentual es el que muerde de verdad.

Estas cuantías son máximos de la Directiva. Como NIS2 es una directiva, cada Estado fija el detalle en su transposición; en España, en el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. El estado del proceso está en NIS2 en España.

2. La verdadera novedad: la dirección responde en persona

Si algo distingue a NIS2 del RGPD, es esto. El art. 20 NIS2 impone a los órganos de dirección dos obligaciones personales:

  1. Aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.
  2. Formarse en ciberseguridad y promover la formación del personal.

Y el art. 32 NIS2 permite a las autoridades, en el caso de las entidades esenciales, adoptar medidas que llegan a la suspensión temporal de certificaciones o autorizaciones y a la prohibición temporal de ejercer funciones directivas a la persona que ejerza responsabilidades de dirección (nivel de consejero delegado o representante legal) hasta que se subsane el incumplimiento.

Esto cambia el cálculo de incentivos. En el RGPD, la multa la paga la persona jurídica; el consejo puede vivirlo como un coste corporativo. En NIS2, un directivo puede responder personalmente y ver limitada su capacidad de dirigir. La ciberseguridad deja de ser un tema del departamento de IT para convertirse en materia de consejo de administración.

3. NIS2 frente al RGPD: comparación de sanciones

Dimensión NIS2 RGPD
Multa máxima 10 M€ / 2 % (esenciales); 7 M€ / 1,4 % (importantes) 20 M€ / 4 % (art. 83.5)
Responsabilidad personal de directivos (art. 20; inhabilitación temporal) No prevista
Suspensión de autorizaciones (entidades esenciales) No
Autoridad (España) CCN, INCIBE, autoridad competente AEPD

Aunque el techo económico del RGPD (4 %) es superior al de NIS2 (2 %), NIS2 añade palancas que el RGPD no tiene. Para entender el reparto de obligaciones entre ambos regímenes, véase NIS2 vs RGPD. Como referencia de cómo una autoridad aplica de facto un régimen sancionador de datos, sirve el histórico de sanciones RGPD de la AEPD.

4. Qué conductas se sancionan

El régimen sancionador de NIS2 no castiga “haber sufrido un ataque” —eso le puede pasar a cualquiera—, sino la falta de diligencia:

  • No implantar las medidas de gestión de riesgos del art. 21 (análisis de riesgos, continuidad, cadena de suministro, cifrado, control de accesos).
  • No notificar los incidentes significativos en los plazos del art. 23 (véase notificación de incidentes NIS2).
  • No cooperar con la autoridad o con el CSIRT.
  • No cumplir las órdenes e instrucciones de la autoridad competente.

La autoridad, además, puede acompañar la multa con medidas correctivas: advertencias, órdenes vinculantes, instrucciones de subsanación e inspecciones.

5. Cómo reducir la exposición

La defensa frente a una sanción NIS2 no es técnica pura: es acreditar diligencia documentada. Ante la autoridad, lo que marca la diferencia es poder demostrar que la dirección aprobó las medidas, que existe un análisis de riesgos vivo y que el procedimiento de notificación funciona.

Eso exige tres cosas: gobierno (que el consejo se implique y se forme), un sistema de gestión de riesgos actualizado, y trazabilidad documental de todo. Ese último pilar se solapa por completo con lo que ya exige el RGPD. Centralizar el inventario de activos, el mapa de tratamientos y la evidencia de cumplimiento en una herramienta como Legiscope permite acreditar esa diligencia sin reconstruirla a posteriori, cuando ya hay una inspección encima. Un marco como ISO 27001 o el ENS aporta el andamiaje de controles.

Por qué la responsabilidad directiva cambia el juego

Conviene detenerse en el impacto real de trasladar la responsabilidad al consejo. Durante años, muchas direcciones trataron la ciberseguridad como un gasto delegable en el departamento de sistemas: un problema técnico, no de gobierno. NIS2 rompe ese esquema. Cuando un consejero puede responder personalmente y, en entidades esenciales, ver limitada su capacidad de dirigir, la ciberseguridad asciende de golpe a la agenda del comité de dirección.

En términos prácticos, esto obliga a documentar la implicación del consejo: actas donde se aprueban las medidas de gestión de riesgos, evidencia de la formación recibida por los directivos, y un flujo de reporte periódico del CISO hacia el órgano de gobierno. No basta con que las medidas existan; hay que poder demostrar que la dirección las conoció, las aprobó y las supervisó. Esa es la prueba que una autoridad buscará ante un incidente grave.

El coste indirecto: reputación y contratos

Más allá de la multa y de la responsabilidad personal, una sanción NIS2 arrastra costes que no figuran en el importe. Una entidad sancionada por fallos de ciberseguridad pierde credibilidad frente a clientes y socios, y puede verse excluida de contratos que exigen acreditar madurez en seguridad —especialmente en licitaciones públicas y en cadenas de suministro de entidades críticas—. En sectores donde la confianza es el activo principal, el daño reputacional suele superar con creces la cuantía de la multa. Por eso el cálculo racional no es “cuánto me pueden multar”, sino “cuánto me cuesta no ser fiable”.

6. Recursos oficiales

FAQ

¿De cuánto son las multas de NIS2?

Hasta 10 millones de euros o el 2 % de la facturación mundial anual para entidades esenciales, y hasta 7 millones o el 1,4 % para importantes, aplicándose siempre la cifra mayor. Los importes definitivos en España dependen de la ley de transposición.

¿Los directivos pueden responder personalmente?

Sí. El art. 20 NIS2 responsabiliza a los órganos de dirección de aprobar y supervisar las medidas, y el art. 32 permite, en entidades esenciales, prohibir temporalmente a un directivo ejercer funciones de dirección hasta que se subsane el incumplimiento. Es la gran diferencia con el RGPD.

¿Se sanciona por sufrir un ciberataque?

No por el ataque en sí, sino por la falta de diligencia: no implantar las medidas del art. 21, no notificar el incidente en plazo o no cooperar con la autoridad. Acreditar diligencia documentada es la mejor defensa.

¿Las multas de NIS2 son mayores que las del RGPD?

En techo económico, no: el RGPD llega al 4 % y NIS2 al 2 %. Pero NIS2 añade la responsabilidad personal de los directivos y la posible suspensión de autorizaciones, palancas que el RGPD no contempla.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →