La NIS 2 amplía significativamente el perímetro de organizaciones obligadas. Afecta a entidades públicas y privadas de sectores como la energía, el transporte, la banca, la sanidad, las infraestructuras digitales, la alimentación, la industria química o la gestión de residuos, entre otros. Como regla general se aplica a empresas medianas y grandes, aunque puede extenderse a entidades más pequeñas si su actividad resulta crítica o si forman parte de la cadena de suministro de una entidad sujeta.
La norma distingue entre entidades esenciales e importantes, una clasificación que no altera de forma sustancial las obligaciones materiales, sino la intensidad del régimen de supervisión al que quedan sometidas. En ambos casos, las exigencias son de calado: gestión de riesgos, notificación de incidentes, continuidad de negocio, seguridad de proveedores y control de accesos, entre otras.
Y un elemento que no debe pasarse por alto, la alta dirección tiene responsabilidad directa. Los órganos de gobierno deben aprobar y supervisar las medidas de ciberseguridad y recibir formación específica. La NIS 2 no es delegable al equipo técnico.
El 20 de enero de 2026, la Comisión Europea presentó una propuesta de modificación de la Directiva NIS en el marco del Paquete Ómnibus Digital, orientada a simplificar su aplicación y reforzar la armonización normativa en el mercado interior. La propuesta no es un ajuste menor: refleja la voluntad de construir un marco de ciberseguridad más uniforme y adaptado a la realidad empresarial europea.
Entre los cambios más destacados, se introduce una nueva categoría de entidades, las small mid-cap enterprises, que quedarán sujetas a la norma con una carga de cumplimiento reducida, lo que amplía el perímetro de obligados. Al mismo tiempo, se limita la capacidad de los Estados miembros de añadir requisitos propios cuando existan actos de ejecución de la Comisión, frenando así el gold plating que genera asimetrías entre países. Desde una perspectiva tecnológica, las estrategias nacionales deberán incluir planes de transición hacia la criptografía post-cuántica, anticipándose al impacto que la computación cuántica tendrá sobre los sistemas de seguridad actuales. Por último, ENISA refuerza su papel en la supervisión transfronteriza y en el desarrollo de una ventanilla única de notificación de incidentes.
El plazo para la transposición de la NIS 2 finalizó el 17 de octubre de 2024, sin que España completara el proceso dentro del término establecido. Con posterioridad, el 14 de enero de 2025, el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y aquí es donde muchas empresas cometen el error de relajarse. "En España todavía no ha entrado en vigor", dicen. Pero lo que viene a continuación debería encender todas las alarmas.
Esta falta de aprobación definitiva ha motivado la reacción de las instituciones europeas. La Comisión Europea ha decidido llevar a España ante el Tribunal de Justicia de la Unión Europea por el incumplimiento del plazo de transposición, solicitando la imposición de sanciones financieras.
Esperar a que la norma entre en vigor de forma definitiva en España no es una estrategia neutral: es una decisión que tiene costes reales. Cada mes que pasa sin actuar es un mes en el que tu organización acumula vulnerabilidades no gestionadas, procesos no documentados y una exposición regulatoria creciente que será mucho más costosa de corregir bajo presión que de prevenir con tiempo.
Las empresas que ya han iniciado su proceso de adecuación están tomando la delantera. Están reduciendo su exposición a sanciones regulatorias antes de que la supervisión efectiva se active, fortaleciendo su posición frente a clientes y socios comerciales que cada vez exigen mayores garantías de ciberseguridad a sus proveedores, y protegiendo la continuidad de su negocio ante incidentes que, en un entorno de amenazas crecientes, no son una posibilidad remota sino una realidad estadística. En definitiva, están convirtiendo una obligación regulatoria compleja en una ventaja competitiva tangible frente a los que llegan tarde.
La ciberseguridad ha dejado de ser un gasto operativo para convertirse en un activo estratégico. Las organizaciones que lo entiendan ahora estarán en una posición significativamente mejor, tanto ante los reguladores como ante el mercado.
La adecuación a la NIS 2 no es un proyecto que pueda resolverse únicamente desde el departamento de IT. Requiere combinar experiencia regulatoria, conocimiento sectorial y capacidades técnicas, integrando cumplimiento normativo, gobernanza de ciberseguridad y acompañamiento práctico. Intentar abordarlo sin el soporte adecuado puede derivar en un falso cumplimiento que no resista el escrutinio de las autoridades competentes.
En BDO Abogados te ayudamos a traducir la NIS 2 en decisiones estratégicas, acompañándote desde el diagnóstico inicial hasta la plena implementación. El proceso comienza con la clasificación de tu entidad como esencial o importante y un análisis de brecha (gap analysis) que evalúa el nivel de madurez actual de tu organización frente a los requisitos de la Directiva. A partir de ahí, diseñamos un roadmap con medidas priorizadas y proporcionadas, y nos encargamos de la implementación y documentación de las políticas, procedimientos y controles clave.
Preparamos a tu organización para auditorías e inspecciones regulatorias, gestionamos el modelado del reporte de incidentes y evaluamos la seguridad de tu cadena de suministro y los requisitos exigibles a terceros.
El momento de actuar es ahora
La Directiva NIS 2 representa el cambio más significativo en la regulación europea de ciberseguridad de la última década. No solo amplía drásticamente el número de empresas obligadas, sino que eleva el nivel de exigencia en gobernanza, gestión de riesgos y respuesta ante incidentes hasta un estándar que muchas organizaciones aún no han alcanzado. La ausencia de una transposición definitiva en España no elimina ni pospone esos riesgos: simplemente añade incertidumbre a un escenario que ya exige acción.
Las entidades esenciales pueden ser sancionadas con multas de hasta 10 millones de euros o el 2% de su volumen de negocio anual global, aplicándose la cuantía que resulte más elevada. Para las entidades importantes, el límite se sitúa en 7 millones de euros o el 1,4% del volumen de negocio anual global. Estas cifras no son hipotéticas: son los máximos que las autoridades competentes de cada Estado miembro están obligadas a tener disponibles en su arsenal sancionador.
Las organizaciones que actúen hoy tendrán tiempo de construir un cumplimiento sólido, sostenible y estratégicamente alineado con su negocio. Las que esperen se encontrarán con plazos comprimidos, recursos bajo presión y la desventaja de llegar tarde a una exigencia que ya es una realidad en toda Europa.
Por Mario Roy, Manager de Derecho Digital en BDO
