Cumplimiento de NIS2 para el sector manufacturero

Una guía completa sobre las obligaciones de NIS2 para los fabricantes en toda la UE.

Este documento presenta la información vigente a febrero de 2026. Aunque se tomaron todas las medidas razonables para verificar la exactitud del contenido, la información se ofrece sin garantía de integridad ni de precisión y puede estar sujeta a cambios. Si bien prevemos realizar actualizaciones periódicas de este contenido, se recomienda a los lectores que verifiquen de forma independiente la información crítica.

1. ¿Qué es NIS2 y por qué se aplica al sector manufacturero?

La industria manufacturera es una piedra angular de la economía de la Unión Europea, respaldando cadenas de suministro en automoción, electrónica, maquinaria, dispositivos médicos y equipos industriales. Los entornos modernos de fabricación dependen de sistemas de producción digitales, tecnologías de control industrial, robótica y plataformas de cadena de suministro interconectadas. A medida que la tecnología operativa se integra con los sistemas TI empresariales, aumenta la exposición a riesgos cibernéticos.

La Directiva NIS2 establece obligaciones de ciberseguridad a nivel de la UE para entidades Esenciales e Importantes y amplía significativamente el alcance del marco NIS original. El cumplimiento de NIS2 en el sector manufacturero tiene como objetivo reforzar la resiliencia en industrias que sostienen actividad económica crítica y sectores Esenciales aguas abajo.

La Directiva se aplica a organizaciones medianas y grandes que operan en subsectores de fabricación designados. Muchos fabricantes pueden entrar en el alcance dependiendo de sus actividades y de los umbrales de tamaño.

Si su organización opera en la fabricación dentro de los subsectores listados, puede estar sujeta a NIS2 como una Entidad Importante.

2. ¿El sector manufacturero se clasifica como Esencial o Importante según NIS2?

El sector manufacturero se clasifica como:

Anexo relevante: Annex II (Entidades Importantes)

Entidad Importante según Annex II

Fabricación de dispositivos médicos y de dispositivos médicos de diagnóstico in vitro
Fabricación de productos informáticos, electrónicos y ópticos

Cobertura por subsector (Annex II – Manufacturing):

3. ¿Qué organizaciones manufactureras están dentro del alcance?

El cumplimiento de NIS2 para el sector manufacturero se aplica a:

Esto incluye a los fabricantes que operan en los subsectores del Annex II mencionados arriba.

La aplicabilidad de NIS2 a las PYME es muy relevante en la fabricación, ya que muchos productores industriales operan a escala de empresa mediana. Los fabricantes más pequeños que no cumplan los umbrales de tamaño pueden quedar fuera del alcance a menos que sean designados por la legislación nacional.

Dado que la fabricación respalda sectores Esenciales como la salud, el transporte y la infraestructura digital, la resiliencia en ciberseguridad de este sector es una prioridad regulatoria.

Empresas de tamaño medio (≥50 empleados y/o €10 millones de facturación anual o total del balance)
Empresas grandes que excedan esos umbrales

4. Requisitos básicos de ciberseguridad de NIS2 para el sector manufacturero

En virtud del Article 21 de la Directiva NIS2, las entidades manufactureras deben implementar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos de ciberseguridad.

Las medidas obligatorias incluyen:

Para el sector manufacturero, estas medidas de seguridad de NIS2 deben proteger los sistemas de control industrial (ICS), los controladores lógicos programables (PLCs), las plataformas robóticas y los sistemas de gestión de la producción.

El cumplimiento de NIS2 para el sector manufacturero exige segmentación entre las redes de TI y de tecnología operativa, una supervisión rigurosa de los proveedores terceros y planificación de resiliencia para la continuidad de la producción. Los incidentes cibernéticos que afecten a líneas de producción automatizadas pueden provocar interrupciones operativas significativas.

Marco de gestión de riesgos
Procedimientos de gestión de incidentes
Continuidad del negocio y recuperación ante desastres
Seguridad de la cadena de suministro
Desarrollo y mantenimiento seguros
Políticas sobre cifrado y criptografía
Control de acceso y MFA
Gestión de vulnerabilidades y de parches
Formación en higiene cibernética
Uso de comunicaciones seguras

5. Obligaciones de notificación de incidentes para el sector manufacturero

Las entidades manufactureras deben cumplir el calendario de notificación de incidentes de NIS2 cuando ocurran incidentes significativos.

Las obligaciones de notificación incluyen:

Los informes deben presentarse al CSIRT nacional correspondiente o a la autoridad competente.

La regla de notificación en 24 horas de NIS2 es especialmente relevante cuando los incidentes cibernéticos interrumpen líneas de producción, sistemas de la cadena de suministro o plataformas de automatización industrial. Los incidentes que afecten la entrega de productos a sectores Esenciales pueden calificarse como significativos.

El incumplimiento de los plazos de notificación prescritos puede dar lugar a medidas de ejecución administrativa y sanciones económicas.

Informe	Plazo
Aviso temprano	Dentro de las 24 horas siguientes a tener conocimiento de un incidente significativo
Notificación de incidente	Dentro de 72 horas
Informe final	Dentro de un mes

6. Gobernanza y responsabilidad de la dirección

El cumplimiento de NIS2 para el sector manufacturero impone responsabilidad al órgano de dirección.

Los requisitos clave de gobernanza incluyen:

El Article 21 de la Directiva NIS2 eleva la ciberseguridad a una responsabilidad a nivel ejecutivo. La alta dirección debe asegurarse de que el riesgo de ciberseguridad se integre en la gestión de riesgos de la empresa y en la planificación de continuidad operacional.

Las fallas de gobernanza pueden exponer a los fabricantes a un escrutinio regulatorio y a responsabilidades contractuales en la cadena de suministro.

Aprobación de las medidas de gestión de riesgos de ciberseguridad por el órgano de dirección
Supervisión continua de la implementación
Formación obligatoria en ciberseguridad para la dirección
Posible exposición a responsabilidad personal conforme a la legislación nacional

7. Supervisión y sanciones

Como entidades del Annex II, las empresas manufactureras clasificadas como Entidades Importantes están sujetas a supervisión reactiva. Las autoridades competentes generalmente inician medidas de supervisión tras pruebas o notificación de incumplimiento.

Las sanciones administrativas por incumplimiento son:

Las leyes nacionales de transposición pueden matizar los mecanismos de supervisión, pero la Directiva establece umbrales mínimos de sanción armonizados entre los Estados miembros.

Se espera que el enfoque de la ejecución se centre en la resiliencia de la cadena de suministro y la continuidad operativa.

Entidades Importantes: Hasta €7 millones o 1,4% de la facturación anual mundial total (lo que sea mayor)

8. Pasos prácticos de cumplimiento para las PYME manufactureras

Las PYME manufactureras deberían adoptar un enfoque estructurado de cumplimiento:

La preparación temprana reduce el riesgo de sanciones y las interrupciones operativas.

Realizar una evaluación de brechas frente a NIS2
Mapear sistemas críticos de producción y automatización
Formalizar un marco documentado de gestión de riesgos de ciberseguridad
Actualizar y probar planes de respuesta a incidentes y de continuidad de la producción
Revisar contratos con proveedores y de tecnología industrial
Capacitar a la alta dirección y a los responsables de planta
Establecer un flujo de trabajo de notificación 24h/72h/1 mes

9. Riesgos clave para el sector manufacturero bajo NIS2

Las entidades manufactureras enfrentan riesgos específicos del sector bajo NIS2:

Por tanto, el cumplimiento de NIS2 para el sector manufacturero es un elemento crítico de la resiliencia industrial y la estabilidad de la cadena de suministro.

Interrupción de la producción: Los incidentes cibernéticos pueden paralizar las líneas de fabricación automatizadas.
Interrupción de la cadena de suministro: La compromisión de los sistemas de los proveedores puede afectar la entrega de materias primas o componentes.
Compromiso de la tecnología operativa: Los sistemas de control industrial pueden ser objetivo de ataques.
Sanciones regulatorias: El incumplimiento puede resultar en sanciones financieras significativas.
Exposición reputacional y contractual: Los retrasos en las entregas pueden afectar las relaciones con clientes y las obligaciones contractuales.

10. Preguntas frecuentes

¿Se aplica NIS2 a los pequeños fabricantes?

Sí: si cumplen el umbral de empresa mediana de la UE (≥50 empleados y/o €10 millones de facturación anual o total del balance), estarán dentro del alcance. Los fabricantes más pequeños pueden quedar fuera del alcance salvo que sean designados por la legislación nacional.

¿Cuál es la diferencia entre entidades Esenciales y Entidades Importantes?

Las entidades Importantes, como los fabricantes en subsectores del Annex II, están sujetas a supervisión reactiva y a sanciones máximas inferiores en comparación con las entidades Esenciales.

¿En qué se diferencia NIS2 del GDPR?

El GDPR se centra en la protección de datos personales, mientras que NIS2 aborda la gestión de riesgos de ciberseguridad y la resiliencia operacional. Los fabricantes pueden necesitar cumplir ambos marcos cuando se procesen datos personales.

¿Los fabricantes no pertenecientes a la UE que operan en la UE están sujetos a NIS2?

Sí: cuando suministran productos o servicios dentro de la UE y cumplen los criterios de alcance, pueden verse obligados a cumplir las obligaciones de NIS2 conforme a las leyes de transposición nacionales.

¿Están cubiertos los fabricantes de dispositivos médicos por NIS2?

Sí. Los fabricantes de dispositivos médicos y de dispositivos médicos de diagnóstico in vitro están explícitamente incluidos en el Annex II y se clasifican como entidades Importantes cuando se cumplen los umbrales de tamaño.