Inicio » NIS2 para PYMEs

Cumplimiento NIS2 para PYMEs en España: guía completa 2026

La Directiva NIS2 (UE 2022/2555) es la mayor reforma de ciberseguridad europea de la década y obliga a miles de PYMEs españolas a implantar medidas técnicas, notificar incidentes al CSIRT en 24 horas y asumir multas de hasta 10 millones de euros. Esta guía resume todo lo que necesitas saber y cómo cumplir paso a paso.

// RESUMEN EN 30 SEGUNDOS

📋 Descarga el checklist NIS2 gratuito (PDF)

// ÍNDICE

1. ¿Qué es la Directiva NIS2?

La Directiva (UE) 2022/2555, conocida como NIS2, es la norma europea que sustituye a la Directiva NIS de 2016 y establece un marco común de ciberseguridad reforzado para entidades públicas y privadas. España la ha transpuesto a través del proyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.

NIS2 amplía drásticamente el ámbito de aplicación: pasa de unos cientos de "operadores de servicios esenciales" a decenas de miles de entidades en 18 sectores. Para las PYMEs significa que muchas que antes quedaban fuera de la normativa, ahora están obligadas a cumplir.

Sectores afectados

Entidades esenciales (Anexo I)Entidades importantes (Anexo II)
Energía · Transporte · Banca · Salud · Agua potable · Aguas residuales · Infraestructura digital · Administración pública · EspacioServicios postales · Gestión de residuos · Química · Alimentación · Fabricación · Proveedores digitales · Investigación

2. ¿A qué PYMEs afecta NIS2 en España?

NIS2 aplica a entidades de los sectores anteriores que cumplan al menos uno de estos criterios:

Excepciones: Algunas entidades quedan obligadas independientemente del tamaño cuando son únicas en su Estado miembro, prestan servicios transfronterizos, o son críticas por su rol social/económico (por ejemplo, proveedores DNS, registradores TLD, proveedores de servicios fiduciarios). Si tienes dudas, calcula tu exposición con nuestra calculadora de multa NIS2.

Una estimación conservadora coloca el universo de PYMEs españolas afectadas en 35.000-45.000 organizaciones, frente a las menos de 500 que estaban bajo el marco NIS anterior.

3. Plazos NIS2 Art. 23: 24h, 72h y 30 días

El Art. 23 de la Directiva impone una secuencia obligatoria de notificación al CSIRT nacional. En España, INCIBE-CERT para entidades privadas y CCN-CERT para la administración pública.

FasePlazoContenido
Alerta temprana< 24 horas desde la detecciónIndicación de si el incidente parece causado por una acción ilícita o maliciosa, o si puede tener impacto transfronterizo.
Notificación de incidente< 72 horasEvaluación inicial: gravedad, impacto y, cuando se conozcan, indicadores de compromiso (IoC).
Informe intermedioBajo petición del CSIRTActualizaciones del estado.
Informe final< 1 mes desde la notificaciónCausa raíz, impacto detallado y medidas correctivas.
⚠ Atención: el plazo de 24 horas se mide desde la detección del incidente, no desde su inicio. Por eso la capacidad de detección automática es lo primero que tienes que cubrir.

4. Sanciones NIS2: hasta 10 millones de euros

NIS2 introduce un régimen sancionador armonizado a nivel europeo y muy superior al anterior:

Si quieres una estimación específica para tu PYME, usa la calculadora de exposición a sanciones NIS2 con tu facturación, número de empleados y sector.

5. Cómo cumplir NIS2 paso a paso

Paso 1 · Identificación obligatoria

Verifica si tu empresa entra en el ámbito de NIS2 según sector y umbrales. Si entras, regístrate en el portal único nacional cuando esté disponible y notifica datos básicos del responsable.

Paso 2 · Gobernanza (Art. 20)

El órgano de dirección debe aprobar formalmente las medidas de gestión de riesgos. Designa un responsable de seguridad (CISO o equivalente) y forma a la dirección en ciberseguridad: la ley exige que la dirección comprenda los riesgos.

Paso 3 · Medidas técnicas mínimas (Art. 21)

Implanta al menos:

Paso 4 · Sistema de notificación al CSIRT

Configura un canal automático para enviar la alerta temprana, la notificación detallada y el informe final dentro de plazo. Sin automatización, cumplir los 24/72h de forma manual es prácticamente imposible para una PYME.

Paso 5 · Trazabilidad inmutable

Tus logs deben ser firmados criptográficamente (HMAC) y conservados al menos 12 meses. En caso de inspección, son la prueba principal de tu cumplimiento.

💡 Atajo recomendado: los pasos 3, 4 y 5 son los que más esfuerzo técnico requieren. Existen plataformas llave en mano como Sentinel Box que los cubren desde el primer minuto, evitando contratar un equipo de seguridad interno.

6. Sentinel Box: cumplimiento NIS2 llave en mano

Sentinel Box es una plataforma de ciberseguridad perimetral diseñada específicamente para que PYMEs sin equipo IT cumplan NIS2 y RGPD desde el primer minuto. Combina un router MikroTik endurecido (modelo hAP ac² o equivalente) con una plataforma SaaS que automatiza:

Cumple NIS2 en 30 minutos

Tres planes desde 49 €/mes. Instalación en menos de 30 minutos con un USB y un comando PowerShell. Sin contratos largos.

Ver planes Calcula tu multa Checklist gratis

7. Preguntas frecuentes

¿Cuándo entra en vigor NIS2 en España?

La directiva debía estar transpuesta antes del 17 de octubre de 2024. España aprobó el texto definitivo en 2025-2026. Las obligaciones técnicas son ya exigibles para las entidades obligadas.

¿Qué pasa si mi PYME ya cumplía la NIS original?

Tendrás ventaja, pero NIS2 amplía las medidas técnicas, refuerza la gobernanza, acorta plazos y aumenta sanciones. Revisa el checklist y cubre las nuevas obligaciones.

¿Puedo usar el Kit Digital para financiar el cumplimiento?

Sí. El segmento V del Kit Digital incluye "Ciberseguridad" hasta 2.500 € y el segmento "Comunicaciones seguras" hasta 6.000 €. Sentinel Box es un agente digitalizador candidato para esas líneas. Pregunta a tu consultor.

¿Es lo mismo NIS2 que RGPD?

No. RGPD protege datos personales (Reglamento UE 2016/679). NIS2 protege la continuidad de servicios esenciales e importantes. Sin embargo, ambos comparten medidas técnicas: cifrado, MFA, trazabilidad, formación. Cumplir NIS2 te acerca a cumplir RGPD y viceversa.

¿Necesito un DPO?

El DPO es exigencia de RGPD (Art. 37), no de NIS2. Pero si manejas datos personales a gran escala, sí necesitarás DPO además del responsable de seguridad NIS2.

¿Sentinel Box vale para entidades esenciales?

Sí. El plan Esencial (149 €/mes) incluye soporte prioritario y configuraciones específicas para entidades esenciales (energía, salud, agua, transporte). El plan Compliance (89 €/mes) cubre entidades importantes.


Última actualización: 20 de junio de 2026. Sentinel Box no presta servicios jurídicos: para tu caso concreto consulta a tu asesor legal. La información de esta página está basada en el texto oficial de la Directiva (UE) 2022/2555 y en las orientaciones publicadas por ENISA, INCIBE-CERT, CCN-CERT y la Comisión Europea.