Cumplimiento

NIS2 en el sector energético: obligaciones 2026

NIS2 sector energético: qué operadores de electricidad, gas, hidrógeno y petróleo quedan obligados, medidas del art. 21 y notificación de incidentes.

También disponible en:Français·Deutsch

En una frase. La energía es un sector de alta criticidad del Anexo I de NIS2: los operadores de electricidad, gas, hidrógeno, petróleo y calefacción urbana serán, según su tamaño, entidades esenciales o importantes, con obligaciones de gestión del riesgo (art. 21), notificación de incidentes (art. 23) y responsabilidad directa de sus órganos de dirección (art. 20).

La Directiva NIS2 sector energético eleva la ciberseguridad de la cadena de suministro eléctrico y gasista a obligación legal reforzada. Una comercializadora, un distribuidor o un operador de puntos de recarga que sufra un ciberataque no solo se enfrenta a la interrupción del servicio: se expone a un régimen sancionador nuevo que puede llegar a 10 millones de euros y a la exigencia de responsabilidad personal de sus administradores. Esta guía explica quién queda dentro, qué debe hacer y cómo encaja NIS2 con la normativa española de infraestructuras críticas.

Puntos clave

  • La energía figura en el Anexo I de NIS2 como sector de alta criticidad: el nivel de exigencia es máximo.
  • Quedan cubiertos electricidad, sistemas urbanos de calefacción y refrigeración, petróleo, gas e hidrógeno, incluidos los puntos de recarga de vehículos eléctricos.
  • Las grandes empresas del sector serán normalmente entidades esenciales (supervisión ex ante); las medianas, importantes (supervisión ex post).
  • NIS2 se solapa con la Ley 8/2011 de Protección de Infraestructuras Críticas (Ley PIC) y con el Esquema Nacional de Seguridad.
  • Los contadores inteligentes convierten a las energéticas en responsables de grandes volúmenes de datos personales, con exposición añadida ante la AEPD.

1. Por qué la energía es un sector esencial en NIS2

La Directiva (UE) 2022/2555 clasifica los sectores en dos anexos. El Anexo I recoge los sectores de alta criticidad y la energía encabeza la lista. Dentro de ella, NIS2 distingue varios subsectores:

  • Electricidad: empresas eléctricas, gestores de redes de transporte y distribución, productores, operadores del mercado, operadores de puntos de recarga y participantes en el mercado de servicios de flexibilidad.
  • Sistemas urbanos de calefacción y refrigeración (district heating).
  • Petróleo: operadores de oleoductos, almacenamiento, refino y tratamiento.
  • Gas: empresas de suministro, distribución, transporte, almacenamiento, GNL y gestores de red.
  • Hidrógeno: producción, almacenamiento y transporte, un subsector de nueva incorporación respecto a la NIS original.

La lógica es evidente: un incidente en una infraestructura energética tiene efecto cascada sobre sanidad, agua, transporte y telecomunicaciones. Por eso el legislador europeo eleva el listón de seguridad. Para entender el marco completo, conviene leer primero la transposición de NIS2 en España.

2. Qué entidades del sector energético quedan obligadas

NIS2 aplica la regla del tamaño: por defecto, quedan cubiertas las entidades de los Anexos I y II que sean, al menos, medianas empresas (50 o más empleados, o un volumen de negocio superior a 10 millones de euros). Sobre esa base:

Perfil Categoría probable Supervisión
Gestor de red de transporte eléctrico o gasista Esencial Ex ante (proactiva)
Gran comercializadora o distribuidora Esencial Ex ante
Operador mediano de puntos de recarga Importante Ex post (reactiva)
Productor renovable de tamaño mediano Importante Ex post
Microempresa energética Fuera de NIS2 (salvo excepciones)

La diferencia entre entidad esencial e importante no es menor: cambia la intensidad de la supervisión y el techo de las sanciones. La distinción exacta se detalla en la guía sobre entidades esenciales e importantes de NIS2. Ciertos operadores pueden ser designados esenciales con independencia de su tamaño cuando prestan un servicio crítico único.

3. Obligaciones concretas para las energéticas

Medidas de gestión del riesgo (art. 21)

El art. 21 NIS2 exige implantar medidas técnicas y organizativas proporcionadas al riesgo: análisis de riesgos, gestión de incidentes, continuidad de negocio y copias de seguridad, seguridad de la cadena de suministro, cifrado, control de accesos y políticas de higiene de ciberseguridad. En un entorno energético, esto se traduce en proteger no solo la TI corporativa, sino también los sistemas OT/SCADA que gobiernan subestaciones, gasoductos y contadores.

Notificación de incidentes (art. 23)

Un incidente significativo dispara el sistema de tres fases: alerta temprana en 24 horas, notificación en 72 horas e informe final en un mes. El procedimiento y sus plazos se explican en la guía de notificación de incidentes NIS2. Si el incidente compromete además datos personales —muy probable con los datos de consumo—, se activa en paralelo la notificación de brechas a la AEPD.

Gobernanza y responsabilidad directiva (art. 20)

NIS2 introduce una novedad frente al RGPD: los órganos de dirección deben aprobar las medidas de ciberseguridad, supervisar su aplicación y formarse. Su incumplimiento puede acarrear responsabilidad personal.

4. Solapamiento con la Ley PIC y el ENS

Muchas energéticas ya son operadores críticos designados bajo la Ley 8/2011 de Protección de Infraestructuras Críticas. NIS2 no sustituye ese régimen: se superpone. En España, la coordinación recaerá en el CCN (sector público) e INCIBE-CERT (sector privado), a la espera del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.

Para las energéticas que operan sistemas de la Administración o servicios públicos, el Esquema Nacional de Seguridad (ENS) añade una tercera capa de exigencia. Una herramienta que unifique el cumplimiento —como las plataformas de software de cumplimiento NIS2— ayuda a evitar duplicar controles.

5. Contadores inteligentes: la dimensión de datos personales

El despliegue masivo de contadores inteligentes ha convertido a las energéticas en gestoras de datos de consumo altamente reveladores: patrones de uso que permiten inferir horarios, ausencias y hábitos del hogar. La AEPD ya ha sancionado a comercializadoras por contrataciones fraudulentas y cesiones indebidas, como recoge el análisis de sanciones AEPD a energéticas y utilities. NIS2 y el RGPD conviven aquí: proteger el contador es a la vez ciberseguridad y protección de datos.

6. Hoja de ruta de cumplimiento para una energética

Llegar preparado a la exigibilidad plena de NIS2 exige un plan escalonado, no una carrera de última hora. Una secuencia razonable para un operador del sector energético:

  1. Determinar el encaje: verificar si la empresa es esencial o importante según subsector, tamaño y criticidad, y comprobar si ya está designada como operador crítico bajo la Ley PIC.
  2. Registrarse ante la autoridad competente cuando el sistema nacional lo habilite, aportando los datos de contacto y el perímetro de servicios afectados.
  3. Analizar el riesgo de la totalidad del entorno, con especial atención a los sistemas OT/SCADA de subestaciones, gasoductos y telecontrol, que rara vez se inventarían con el mismo rigor que la TI corporativa.
  4. Implantar las medidas del art. 21: gestión de incidentes, continuidad y copias de seguridad, cifrado, control de accesos, seguridad de la cadena de suministro y formación de la dirección.
  5. Preparar la notificación: procedimientos y plantillas para las fases de 24 y 72 horas, con un canal claro hacia el CSIRT de referencia (INCIBE-CERT o CCN-CERT).
  6. Auditar a los proveedores tecnológicos y reflejar las exigencias de seguridad en los contratos, porque un ataque a la cadena de suministro compromete a toda la red.

La energía es, junto a la sanidad, uno de los sectores donde un incidente tiene efecto sistémico inmediato. Documentar cada uno de estos pasos —quién decidió qué, cuándo y con qué evidencia— es lo que marca la diferencia entre una entidad preparada y una expuesta a la responsabilidad personal de sus administradores que introduce el art. 20.

FAQ

¿Los puntos de recarga de vehículos eléctricos están sujetos a NIS2?

Sí. Los operadores de puntos de recarga figuran expresamente en el subsector de electricidad del Anexo I. Si superan el umbral de mediana empresa, quedan obligados como entidad importante o esencial según su dimensión y criticidad.

¿Una comercializadora eléctrica pequeña queda fuera de NIS2?

Como regla general, las microempresas (menos de 10 empleados y 2 millones de euros) quedan fuera. Pero una comercializadora mediana entra, y ciertos operadores pueden ser designados con independencia del tamaño si prestan un servicio esencial único. Conviene verificar el encaje con la guía de entidades esenciales e importantes.

¿Qué pasa si una energética sufre un ciberataque con robo de datos de clientes?

Se activan dos regímenes simultáneos: la notificación NIS2 al CSIRT competente (24/72 horas) y la notificación de la brecha a la AEPD en 72 horas si hay riesgo para los derechos de los afectados. Documentar ambos flujos por anticipado es imprescindible.

¿NIS2 obliga a proteger los sistemas SCADA además de la TI de oficina?

Sí. El art. 21 no distingue: exige proteger todos los sistemas de red e información que sostienen el servicio, incluidos los entornos OT/SCADA industriales, que suelen ser el eslabón más vulnerable en el sector energético.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →