Cumplimiento NIS2 para PYMEs en España: guía completa 2026
La Directiva NIS2 (UE 2022/2555) es la mayor reforma de ciberseguridad europea de la década y obliga a miles de PYMEs españolas a implantar medidas técnicas, notificar incidentes al CSIRT en 24 horas y asumir multas de hasta 10 millones de euros. Esta guía resume todo lo que necesitas saber y cómo cumplir paso a paso.
// RESUMEN EN 30 SEGUNDOS
- NIS2 aplica si tienes ≥50 empleados o >10 M€ facturación y operas en un sector regulado.
- Plazos críticos: alerta CSIRT en 24h, notificación detallada en 72h, informe final en 30 días.
- Sanciones: hasta 10 M€ o el 2% de facturación global para entidades esenciales.
- Obligación de medidas técnicas (MFA, cifrado, hardening), trazabilidad HMAC y formación de la dirección.
- Sentinel Box automatiza la mayor parte del cumplimiento desde 49 €/mes.
// ÍNDICE
1. ¿Qué es la Directiva NIS2?
La Directiva (UE) 2022/2555, conocida como NIS2, es la norma europea que sustituye a la Directiva NIS de 2016 y establece un marco común de ciberseguridad reforzado para entidades públicas y privadas. España la ha transpuesto a través del proyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
NIS2 amplía drásticamente el ámbito de aplicación: pasa de unos cientos de "operadores de servicios esenciales" a decenas de miles de entidades en 18 sectores. Para las PYMEs significa que muchas que antes quedaban fuera de la normativa, ahora están obligadas a cumplir.
Sectores afectados
| Entidades esenciales (Anexo I) | Entidades importantes (Anexo II) |
|---|---|
| Energía · Transporte · Banca · Salud · Agua potable · Aguas residuales · Infraestructura digital · Administración pública · Espacio | Servicios postales · Gestión de residuos · Química · Alimentación · Fabricación · Proveedores digitales · Investigación |
2. ¿A qué PYMEs afecta NIS2 en España?
NIS2 aplica a entidades de los sectores anteriores que cumplan al menos uno de estos criterios:
- Tamaño: 50 o más empleados a tiempo completo equivalente.
- Facturación: más de 10 millones de euros anuales o balance superior a 10 millones.
Una estimación conservadora coloca el universo de PYMEs españolas afectadas en 35.000-45.000 organizaciones, frente a las menos de 500 que estaban bajo el marco NIS anterior.
3. Plazos NIS2 Art. 23: 24h, 72h y 30 días
El Art. 23 de la Directiva impone una secuencia obligatoria de notificación al CSIRT nacional. En España, INCIBE-CERT para entidades privadas y CCN-CERT para la administración pública.
| Fase | Plazo | Contenido |
|---|---|---|
| Alerta temprana | < 24 horas desde la detección | Indicación de si el incidente parece causado por una acción ilícita o maliciosa, o si puede tener impacto transfronterizo. |
| Notificación de incidente | < 72 horas | Evaluación inicial: gravedad, impacto y, cuando se conozcan, indicadores de compromiso (IoC). |
| Informe intermedio | Bajo petición del CSIRT | Actualizaciones del estado. |
| Informe final | < 1 mes desde la notificación | Causa raíz, impacto detallado y medidas correctivas. |
4. Sanciones NIS2: hasta 10 millones de euros
NIS2 introduce un régimen sancionador armonizado a nivel europeo y muy superior al anterior:
- Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación anual global del ejercicio anterior, lo que sea mayor.
- Entidades importantes: hasta 7 millones de euros o el 1,4%.
- Responsabilidad personal de directivos: la dirección puede ser inhabilitada temporalmente para el ejercicio de funciones directivas.
- Las autoridades pueden imponer medidas cautelares e incluso suspender la actividad.
Si quieres una estimación específica para tu PYME, usa la calculadora de exposición a sanciones NIS2 con tu facturación, número de empleados y sector.
5. Cómo cumplir NIS2 paso a paso
Paso 1 · Identificación obligatoria
Verifica si tu empresa entra en el ámbito de NIS2 según sector y umbrales. Si entras, regístrate en el portal único nacional cuando esté disponible y notifica datos básicos del responsable.
Paso 2 · Gobernanza (Art. 20)
El órgano de dirección debe aprobar formalmente las medidas de gestión de riesgos. Designa un responsable de seguridad (CISO o equivalente) y forma a la dirección en ciberseguridad: la ley exige que la dirección comprenda los riesgos.
Paso 3 · Medidas técnicas mínimas (Art. 21)
Implanta al menos:
- Política de seguridad y análisis de riesgos documentado.
- Gestión de incidentes con flujos definidos.
- Continuidad de actividad y backups verificados.
- Seguridad de la cadena de suministro (DDQ a proveedores TIC).
- Cifrado en reposo y en tránsito (AES-256, TLS 1.3).
- Control de acceso por roles + MFA obligatorio para administradores.
- Higiene básica: parches, antivirus, hardening, formación recurrente.
Paso 4 · Sistema de notificación al CSIRT
Configura un canal automático para enviar la alerta temprana, la notificación detallada y el informe final dentro de plazo. Sin automatización, cumplir los 24/72h de forma manual es prácticamente imposible para una PYME.
Paso 5 · Trazabilidad inmutable
Tus logs deben ser firmados criptográficamente (HMAC) y conservados al menos 12 meses. En caso de inspección, son la prueba principal de tu cumplimiento.
6. Sentinel Box: cumplimiento NIS2 llave en mano
Sentinel Box es una plataforma de ciberseguridad perimetral diseñada específicamente para que PYMEs sin equipo IT cumplan NIS2 y RGPD desde el primer minuto. Combina un router MikroTik endurecido (modelo hAP ac² o equivalente) con una plataforma SaaS que automatiza:
- Detección de amenazas en tiempo real con feeds de threat intelligence (AbuseIPDB, Spamhaus, FireHOL, AlienVault OTX...).
- Notificación automática al CSIRT (INCIBE o CCN según tu sector) en los plazos 24h/72h/30d.
- Trazabilidad HMAC-SHA256 de todos los eventos, retenida 12 meses.
- Cifrado AES-256-GCM para todas las credenciales y datos en el vault.
- MFA obligatorio (TOTP) para todos los administradores.
- Asistente IA con un técnico virtual disponible 24/7 para resolver incidencias y guiar instalaciones.
- Informes de compliance y RAT (Registro de Actividades de Tratamiento, RGPD Art. 30) generados automáticamente.
Cumple NIS2 en 30 minutos
Tres planes desde 49 €/mes. Instalación en menos de 30 minutos con un USB y un comando PowerShell. Sin contratos largos.
Ver planes Calcula tu multa Checklist gratis7. Preguntas frecuentes
¿Cuándo entra en vigor NIS2 en España?
La directiva debía estar transpuesta antes del 17 de octubre de 2024. España aprobó el texto definitivo en 2025-2026. Las obligaciones técnicas son ya exigibles para las entidades obligadas.
¿Qué pasa si mi PYME ya cumplía la NIS original?
Tendrás ventaja, pero NIS2 amplía las medidas técnicas, refuerza la gobernanza, acorta plazos y aumenta sanciones. Revisa el checklist y cubre las nuevas obligaciones.
¿Puedo usar el Kit Digital para financiar el cumplimiento?
Sí. El segmento V del Kit Digital incluye "Ciberseguridad" hasta 2.500 € y el segmento "Comunicaciones seguras" hasta 6.000 €. Sentinel Box es un agente digitalizador candidato para esas líneas. Pregunta a tu consultor.
¿Es lo mismo NIS2 que RGPD?
No. RGPD protege datos personales (Reglamento UE 2016/679). NIS2 protege la continuidad de servicios esenciales e importantes. Sin embargo, ambos comparten medidas técnicas: cifrado, MFA, trazabilidad, formación. Cumplir NIS2 te acerca a cumplir RGPD y viceversa.
¿Necesito un DPO?
El DPO es exigencia de RGPD (Art. 37), no de NIS2. Pero si manejas datos personales a gran escala, sí necesitarás DPO además del responsable de seguridad NIS2.
¿Sentinel Box vale para entidades esenciales?
Sí. El plan Esencial (149 €/mes) incluye soporte prioritario y configuraciones específicas para entidades esenciales (energía, salud, agua, transporte). El plan Compliance (89 €/mes) cubre entidades importantes.
Última actualización: 20 de junio de 2026. Sentinel Box no presta servicios jurídicos: para tu caso concreto consulta a tu asesor legal. La información de esta página está basada en el texto oficial de la Directiva (UE) 2022/2555 y en las orientaciones publicadas por ENISA, INCIBE-CERT, CCN-CERT y la Comisión Europea.