Qué empresas están afectadas por NIS2
NIS2 amplía enormemente el ámbito de aplicación respecto a la directiva NIS1 original. Afecta a dos tipos de entidades: las esenciales (grandes empresas de sectores críticos como energía, transporte, banca, salud, agua, infraestructura digital, administración pública y espacio) y las importantes (medianas empresas de sectores como servicios postales, gestión de residuos, alimentación, fabricación de productos críticos, química, proveedores digitales e investigación). El criterio general es: empresas de más de 50 empleados o más de 10 millones de euros de facturación en los sectores indicados. Pero hay excepciones importantes: los proveedores de servicios DNS, registros de dominios y proveedores de servicios de confianza digital están incluidos independientemente de su tamaño.
Obligaciones principales y cómo ISO 27001 ayuda
NIS2 exige a las entidades afectadas implementar medidas de gestión de riesgos de ciberseguridad proporcionadas (análisis de riesgos, seguridad de la cadena de suministro, gestión de incidentes, continuidad de negocio, criptografía, control de acceso), notificar incidentes significativos en plazos estrictos (alerta temprana en 24 horas, notificación completa en 72 horas), y garantizar la responsabilidad de la alta dirección (los directivos deben aprobar las medidas y pueden ser personalmente responsables de su incumplimiento). ISO 27001:2022 cubre la mayoría de estos requisitos técnicos: evaluación de riesgos, controles de seguridad, gestión de incidentes, continuidad de negocio. La principal ventaja de tener ISO 27001 certificada cuando NIS2 se transponga es que ya tendrás implementado el 70-80% de lo que la ley va a exigir.
Lo que ISO 27001 no cubre de NIS2 son los requisitos de gobernanza (responsabilidad directa de la dirección con formación obligatoria en ciberseguridad), los plazos específicos de notificación de incidentes (24/72 horas), la gestión de riesgos de la cadena de suministro como obligación explícita (que la directiva trata de forma más prescriptiva que ISO 27001), y la cooperación con las autoridades competentes. Estos gaps deberán cubrirse con políticas y procedimientos adicionales cuando se conozca el texto final de la ley española.
/controles-nuevos-iso-27001-2022/, /blog/ens-vs-iso-27001/, /rgpd-aepd-multas-iso-27001/, /transicion-iso-27001-2022/
ARTÍCULOS RELACIONADOS SUGERIDOS: ver índice del cluster ISO para enlazado cruzado.
Te puede interesar:ISO 9001:2026: Qué Cambios Trae la Revisión y CómoCertificaciones ISO en España 2024: Ranking Mundia.
Preguntas frecuentes
¿NIS2 ya está en vigor en España?
No, la transposición está pendiente. El anteproyecto de ley se aprobó en enero de 2025 y la tramitación parlamentaria continúa. Se espera la aprobación en 2026. La CE emitió dictamen motivado por el retraso en mayo de 2025.
¿Puedo esperar a que se transponga para actuar?
No es recomendable. Implementar medidas de ciberseguridad desde cero cuando la ley entre en vigor será mucho más costoso y arriesgado. ISO 27001 te da una base sólida que cubre el 70-80% de las obligaciones previstas.
¿Mi PYME de 30 empleados está afectada?
En principio, NIS2 aplica a empresas con más de 50 empleados o más de 10M€ de facturación en sectores regulados. Pero si eres proveedor de una entidad afectada, puedes tener obligaciones indirectas por la gestión de riesgos de cadena de suministro.
¿Las sanciones de 10M€ son reales?
Sí, es el límite máximo previsto en la directiva para entidades esenciales. La cuantía real dependerá de la gravedad, la duración, los antecedentes y las medidas adoptadas. Son sanciones disuasorias comparables a las del RGPD.
¿ISO 27001 + ENS cubren NIS2?
En gran medida sí. La combinación de ISO 27001 (gestión de seguridad de la información) y ENS (requisitos del sector público español) cubre la mayoría de las obligaciones técnicas de NIS2. Los gaps serán principalmente de gobernanza y notificación.
Preguntas frecuentes.
¿NIS2 ya está en vigor en España?
No, la transposición está pendiente. El anteproyecto de ley se aprobó en enero de 2025 y la tramitación parlamentaria continúa. Se espera la aprobación en 2026. La CE emitió dictamen motivado por el retraso en mayo de 2025.
¿Puedo esperar a que se transponga para actuar?
No es recomendable. Implementar medidas de ciberseguridad desde cero cuando la ley entre en vigor será mucho más costoso y arriesgado. ISO 27001 te da una base sólida que cubre el 70-80% de las obligaciones previstas.
¿Mi PYME de 30 empleados está afectada?
En principio, NIS2 aplica a empresas con más de 50 empleados o más de 10M€ de facturación en sectores regulados. Pero si eres proveedor de una entidad afectada, puedes tener obligaciones indirectas por la gestión de riesgos de cadena de suministro.
¿Las sanciones de 10M€ son reales?
Sí, es el límite máximo previsto en la directiva para entidades esenciales. La cuantía real dependerá de la gravedad, la duración, los antecedentes y las medidas adoptadas. Son sanciones disuasorias comparables a las del RGPD.
¿ISO 27001 + ENS cubren NIS2?
En gran medida sí. La combinación de ISO 27001 (gestión de seguridad de la información) y ENS (requisitos del sector público español) cubre la mayoría de las obligaciones técnicas de NIS2. Los gaps serán principalmente de gobernanza y notificación.
¿Empezamos a trabajar juntos?
Cuéntanos qué necesitas. Te respondemos en menos de 24 h con un plan concreto.
Empecemos →