El 60% de las PYMES que sufren un ciberataque grave cierran en los seis meses siguientes, y el 43% de todos los ciberataques se dirigen ya a la pequeña y mediana empresa. En este contexto llega NIS2, la nueva directiva europea de ciberseguridad que España está terminando de transponer durante 2026. Muchos empresarios respiran tranquilos al leer que «no afecta a las pequeñas empresas». Es un error que puede salir caro: aunque tu PYME no esté obligada de forma directa, lo más probable es que NIS2 acabe llegando a tu puerta a través de tus clientes y proveedores.
Qué es NIS2 y en qué punto está su transposición en España
NIS2 (Directiva UE 2022/2555) es la actualización de la primera directiva europea de seguridad de redes y sistemas de información. Su objetivo es elevar el nivel común de ciberseguridad en toda la Unión Europea, ampliando los sectores afectados y endureciendo las obligaciones de gestión de riesgos, notificación de incidentes y responsabilidad de la dirección.
El plazo para que los Estados miembros la incorporaran a su legislación nacional venció el 17 de octubre de 2024. España no llegó a tiempo: en enero de 2025 el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que aún sigue su tramitación parlamentaria, con entrada en vigor estimada a lo largo de 2026. La Comisión Europea, ante el retraso, envió en mayo de 2025 un dictamen motivado a 19 Estados, entre ellos España. Traducción para el empresario: la norma llegará, y conviene no esperar al último día.
¿A quién afecta NIS2 realmente?
Con carácter general, NIS2 no se aplica a microempresas ni a pequeñas empresas (menos de 50 empleados y menos de 10 millones de euros de facturación). Hasta aquí, la lectura tranquilizadora. Pero hay tres matices que cambian por completo el escenario para muchas PYMES españolas.
- Excepciones por sector: proveedores de servicios DNS, registros de dominios, proveedores de servicios de confianza y entidades de administración pública están sujetos con independencia de su tamaño.
- Efecto cascada en la cadena de suministro: las grandes empresas obligadas deben gestionar el riesgo de sus proveedores. Si vendes software, servicios IT, logística o cualquier servicio crítico a una entidad sujeta a NIS2, te exigirán por contrato medidas de seguridad equivalentes.
- Sectores ampliados: NIS2 cubre energía, transporte, banca, sanidad, agua, infraestructura digital, fabricación, alimentación, gestión de residuos y servicios postales, entre otros. Muchas medianas empresas de estos ámbitos sí entran de forma directa.
Dicho de otro modo: la pregunta correcta no es «¿estoy obligado?», sino «¿alguno de mis clientes lo está?». Si la respuesta es sí, las exigencias acabarán trasladándose a ti.
Entidades esenciales frente a entidades importantes
NIS2 distingue dos categorías de organizaciones, con un mismo conjunto de obligaciones pero distinto régimen de supervisión y sanción. Esta tabla resume las diferencias clave:
| Aspecto | Entidades esenciales | Entidades importantes |
|---|---|---|
| Ejemplos de sectores | Energía, banca, sanidad, agua, infraestructura digital | Fabricación, alimentación, residuos, servicios postales |
| Supervisión | Proactiva (inspecciones, auditorías periódicas) | Reactiva (tras indicios o incidentes) |
| Sanciones máximas | Hasta 10 M€ o el 2% de la facturación global | Hasta 7 M€ o el 1,4% de la facturación global |
| Responsabilidad | Directiva personalmente responsable | Directiva personalmente responsable |
En ambos casos, la dirección de la empresa responde personalmente del cumplimiento. No es un asunto que pueda delegarse por completo en «el de informática»: es una responsabilidad de gobierno corporativo.
Las obligaciones que ya puedes empezar a cumplir
Aunque el detalle de inspecciones y multas concretas dependerá de la ley española definitiva, las obligaciones operativas nacen del propio texto de la directiva y de las guías de ENISA. Puedes empezar a trabajarlas hoy mismo:
- Análisis de riesgos y políticas de seguridad: identificar tus activos críticos y documentar cómo los proteges.
- Gestión de incidentes: capacidad de detectar, responder y notificar. NIS2 exige un primer aviso en 24 horas y un informe completo en 72 horas.
- Continuidad de negocio: copias de seguridad, recuperación ante desastres y gestión de crisis.
- Seguridad en la cadena de suministro: evaluar el riesgo de tus proveedores y de tu propio papel como proveedor.
- Control de accesos y cifrado: autenticación multifactor, mínimo privilegio y protección de datos en tránsito y reposo.
- Formación y concienciación: el eslabón humano sigue siendo la principal vía de entrada de los ataques.
La buena noticia es que estas medidas no solo sirven para cumplir NIS2: son exactamente las que reducen tu riesgo real de sufrir un incidente que paralice tu negocio.
¿Cómo puede ayudarte DYD IT?
En DYD IT Cloud Solutions acompañamos a las PYMES españolas en el camino hacia el cumplimiento de NIS2 sin que se convierta en un proyecto inabarcable. Empezamos con un diagnóstico de tu situación actual frente a los requisitos de la directiva e identificamos las brechas prioritarias.
A partir de ahí, ponemos en marcha las capas que faltan con nuestros servicios de ciberseguridad gestionada: EDR para detección y respuesta en los equipos, firewall perimetral, monitorización SIEM para detectar incidentes a tiempo y respaldos con plan de recuperación ante desastres. Complementamos la parte técnica con segmentación de redes que limita el alcance de cualquier intrusión y con políticas de acceso bien diseñadas.
Si prefieres delegar la operación del día a día, nuestros planes MSP combinan soporte IT, seguridad y mantenimiento desde 299 €/mes, con SLA garantizado, de modo que tu empresa cumple y, sobre todo, está protegida de verdad, mientras tú te centras en tu negocio.
No esperes a que la norma esté publicada
NIS2 no es una moda regulatoria pasajera: marca el estándar de ciberseguridad de la próxima década en Europa. Las empresas que se adelanten convertirán el cumplimiento en una ventaja competitiva frente a clientes que cada vez exigen más garantías. Las que esperen al último momento se arriesgan a perder contratos y a afrontar el proceso con prisas.
¿Quieres saber cómo afecta NIS2 a tu empresa y por dónde empezar? Contacta con nosotros en contacto@dyd-it.com o llámanos al +34 614 04 50 09. Puedes escribirnos también desde nuestro formulario de contacto y te haremos un primer diagnóstico sin compromiso.
