NIS2 en España

1. Instantánea rápida de aplicabilidad para pymes en España

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para pymes en España?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en España y, en ciertos casos, a los proveedores digitales extranjeros que prestan servicios al mercado español.

Las pymes deben evaluar si califican conforme al marco nacional de ciberseguridad de España en función de la clasificación sectorial y de los umbrales establecidos por ley.

2. Panorama de la implementación de NIS2 en España

España aún no ha promulgado su transposición de NIS2. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros el 14 de enero de 2025 pero, a abril de 2026, sigue pendiente de debate parlamentario en las Cortes Generales. España incumplió el plazo de transposición del 17 de octubre de 2024 y recibió un dictamen motivado de la CE el 7 de mayo de 2025. El marco NIS1 (Real Decreto-ley 12/2018) sigue aplicándose.

Una vez promulgada, la nueva ley creará el Centro Nacional de Ciberseguridad (CNC) como autoridad principal, punto de contacto único ante la UE y coordinador de crisis. Se designan tres CSIRT de referencia — CCN-CERT (sector público), INCIBE-CERT (entidades privadas) y ESPDEF-CERT (Fuerzas Armadas). La notificación se canalizará a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

El anteproyecto español amplía el ámbito más allá del mínimo de la Directiva (universidades, centros de investigación, grandes municipios, empresas de seguridad privada, entidades con implicaciones para la defensa y empresas extranjeras con establecimiento permanente en España), introduce una estructura escalonada de sanciones nacionales (€10.000–€2 M, con topes superiores de tipo NIS2 para los casos más graves) y exige a cada entidad designar un Responsable de Seguridad de la Información.

3. Ámbito de aplicación en España

El ámbito de aplicación en España refleja las categorías sectoriales mínimas de la Directiva, sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en España

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades españolas conservan facultades formales de designación cuando el riesgo sistémico justifica la inclusión.

5. Marco de clasificación de entidades en España

Las entidades se clasifican como:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

España sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en España

El régimen nacional de España se alinea con los requisitos básicos de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro conforme a NIS2 en España
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación en ciberseguridad del personal

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se recomienda la alineación con ISO/IEC 27001 y con las directrices españolas de ciberseguridad.

7. Responsabilidad de los órganos de administración y la gobernanza en España

Los órganos de administración deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

En el marco normativo de España:

• Los consejos de administración rinden cuentas de la supervisión del cumplimiento normativo.
• La alta dirección debe garantizar una competencia suficiente en materia de ciberseguridad.
• Las sanciones administrativas pueden imponerse por fallos de gobernanza.
• La suspensión temporal de funciones directivas podría contemplarse en el marco de mecanismos de ejecución alineados con la Directiva.

Las expectativas de responsabilidad de la dirección en España con arreglo a NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en España

9. Autoridades supervisoras y modelo de aplicación en España

Bajo el marco NIS1 vigente (todavía en vigor), los ministerios sectoriales actúan como autoridades competentes. Conforme al anteproyecto de Ley (aún no promulgado), el Centro Nacional de Ciberseguridad (CNC) será la autoridad principal, punto de contacto único ante la UE y autoridad de gestión de crisis, coordinando los tres CSIRT nacionales (CCN-CERT, INCIBE-CERT, ESPDEF-CERT). Un régimen transitorio mantiene a las autoridades sectoriales hasta que el CNC sea operativo.

España aplica un modelo de supervisión multiautoridad. Los ministerios sectoriales supervisan actualmente bajo NIS1; el anteproyecto de Ley centralizaría la coordinación bajo el CNC, con CCN-CERT, INCIBE-CERT y ESPDEF-CERT prestando apoyo en la respuesta a incidentes. Estas disposiciones aún no están operativas jurídicamente.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación establecidos por la Directiva. Estas facultades aún no están operativas jurídicamente a la espera de la promulgación de la Ley de Coordinación y Gobernanza de la Ciberseguridad.

10. Multas y sanciones de NIS2 en España

España aplica sanciones administrativas alineadas con la Directiva.

Las medidas de ejecución de NIS2 en España, además de las multas, pueden incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a los directivos

La responsabilidad penal solo se aplica cuando esté prevista explícitamente en la legislación española.

11. Seguridad de la cadena de suministro y de proveedores conforme a NIS2 en España

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Cláusulas contractuales de seguridad con efecto de flow-down
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de España se alinea con las expectativas básicas de la Directiva respecto de la gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en España

Las entidades dentro del ámbito de aplicación deben:

• Actualmente no existe en España una obligación de registro NIS2 — la Ley de Coordinación y Gobernanza aún no ha sido promulgada; los requisitos de registro se establecerán una vez aprobada la ley; las entidades deberían iniciar ya una autoevaluación voluntaria para determinar su probable clasificación como esenciales/importantes
• Facilitar datos de identificación corporativa
• Comunicar la clasificación sectorial
• Mantener actualizados los contactos de notificación

No existen plazos activos de registro o cumplimiento NIS2 en España. Una vez promulgada, la ley establecerá plazos de registro y exigirá la designación de un Responsable de Seguridad de la Información por entidad. Utilice las guías sectoriales y herramientas de autoclasificación de INCIBE para prepararse.

La autoidentificación será obligatoria una vez promulgada la ley. Se recomienda encarecidamente realizar ya una evaluación voluntaria del ámbito (clasificación sectorial + umbrales de tamaño).

13. Interacción con el RGPD y otras leyes en España

El Reglamento General de Protección de Datos sigue siendo de aplicación en paralelo.

Entre las consideraciones de solapamiento se incluyen:

• Notificación de violaciones de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control

14. Aplicación transfronteriza

Las entidades con su establecimiento principal en España están supervisadas por las autoridades españolas en relación con los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en España pueden estar sujetos a obligaciones nacionales según su forma de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores de terceros países que prestan servicios en el mercado español.

15. Calendario de implementación en España

• Adopción de la Directiva: 2022
• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Anteproyecto aprobado por el Consejo de Ministros el 14 de enero de 2025; audiencia pública/consulta enero–febrero de 2025; pendiente de debate parlamentario en las Cortes Generales a abril de 2026
• Entrada en vigor: Aún no promulgada; el RD-Ley NIS1 12/2018 sigue aplicándose
• Notificación a la Comisión: Dictamen motivado de la CE de 7 de mayo de 2025; sigue siendo posible la remisión al TJUE
• Hito de cumplimiento: No hay plazos NIS2 activos actualmente; las obligaciones de registro, clasificación y gestión de riesgos se fijarán tras la promulgación

España incumplió el plazo de la UE para NIS2 y sigue siendo objeto de un procedimiento de infracción de la CE. La Ley de Coordinación y Gobernanza está pendiente de adopción parlamentaria; NIS1 sigue aplicándose. Las entidades deberían aprovechar este periodo para realizar evaluaciones voluntarias del ámbito y preparar el cumplimiento.

16. Aspectos clave para pymes en España

• Las entidades medianas en sectores cubiertos entrarán en el ámbito una vez promulgada la ley; el anteproyecto amplía el ámbito más allá del mínimo de la Directiva (universidades, centros de investigación, grandes municipios, empresas de seguridad privada) — inicie ya una evaluación voluntaria del ámbito.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión a nivel del órgano de administración es obligatoria.
• La notificación de incidentes seguirá los plazos de 24 h / 72 h / 1 mes una vez promulgada, presentándose al CSIRT competente — CCN-CERT (público) / INCIBE-CERT (privado) / ESPDEF-CERT (Fuerzas Armadas).
• Las sanciones económicas pueden alcanzar €10 millones o el 2% del volumen de negocios mundial.
• Se exige la gestión de riesgos de proveedores.
• El anteproyecto aún no está promulgado pero su aprobación podría producirse en cualquier momento. Realice una evaluación voluntaria del ámbito utilizando las herramientas de INCIBE, alinee la gobernanza interna con el marco ENS (Esquema Nacional de Seguridad) y prepárese para designar un Responsable de Seguridad de la Información tras la promulgación.

Preguntas frecuentes: Guía NIS2 para pymes en España