Sanciones NIS2 y responsabilidad de directivos: lo que el CEO debe saber

20 de mayo de 2026
Ciberseguridad, Ciso, Cumplimiento, España, Seguridad de Datos
NIS2-sanciones-banner
NIS2 · Gobernanza

Sanciones NIS2 y responsabilidad de directivos:
lo que el CEO debe saber

📅 Actualizado: mayo 2026 Lectura: 7 min 👤 Para: CEO / COO / CFO

En 2024, INCIBE gestionó 97.348 incidentes de ciberseguridad en España — un 16,6% más que el año anterior. De ellos, 31.540 afectaron directamente a empresas, con un incremento interanual del 43%. En paralelo, detectó de forma proactiva 183.851 sistemas vulnerables susceptibles de ser explotados.

NIS2 no llegó a responder a estas cifras con más tecnología. Llegó con una decisión política clara: poner la responsabilidad donde siempre debió estar. En la dirección. En el consejo. En el CEO.

Esta guía explica qué sanciones establece NIS2, qué dice exactamente el artículo 20 sobre la responsabilidad personal de los directivos, cómo saber si tu PYME está dentro del ámbito y qué acciones concretas protegen a la dirección antes de que llegue una auditoría.

Sanciones NIS2 y responsabilidad de directivos: lo que el CEO debe saber

¿Cuáles son las sanciones de NIS2? Hasta 10 M€ y algo más

El régimen sancionador de NIS2 establece mínimos armonizados en toda la UE. Los Estados miembros pueden aumentarlos, pero nunca reducirlos. Las cifras son las más elevadas que se han visto en normativa de ciberseguridad europea.

Entidades esenciales

10 M€

o lo que sea mayor:

2 % facturación global anual

Supervisión proactiva. Auditorías periódicas. Posible inhabilitación de directivos (Art. 32.5).

Entidades importantes

7 M€

o lo que sea mayor:

1,4 % facturación global anual

Supervisión reactiva. Instrucciones vinculantes. Divulgación pública de la infracción.

Pero la sanción económica es solo la parte más visible. El arsenal completo de medidas de la directiva incluye:

Medida Entidades esenciales Entidades importantes
Multa económica Hasta 10 M€ o 2 % facturación global Hasta 7 M€ o 1,4 % facturación global
Instrucciones vinculantes
Divulgación pública Sí — incluyendo identificación de responsables
Supervisor externo Sí — asignado por la autoridad No previsto
Inhabilitación directivos Sí — prohibición temporal (Art. 32.5.b) No previsto
Multas coercitivas periódicas Sí — para forzar el cese de infracción
Sobre la divulgación pública: NIS2 permite que las autoridades publiquen los nombres de las entidades sancionadas y de sus directivos responsables. El daño reputacional puede superar con creces la multa económica, especialmente en empresas que trabajan con clientes grandes o en procesos de licitación pública.

¿Responde personalmente el CEO? El artículo 20 no deja margen de interpretación

La novedad estructural de NIS2 frente a cualquier normativa de ciberseguridad anterior es el artículo 20. No regula sistemas ni tecnologías: regula personas. Específicamente, regula a quienes toman decisiones.

Artículo 20 NIS2 — Gobernanza

Art. 20.1: Los Estados miembros garantizarán que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades con arreglo al artículo 21, supervisarán su aplicación y podrán ser considerados responsables de las infracciones de dichas entidades.

Art. 20.2: Los miembros de los órganos de dirección recibirán formación periódica suficiente para poder identificar los riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados.

La formulación es deliberada. La directiva no dice que la dirección deba "asegurarse de que IT cumple". Dice que los órganos de dirección aprueban las medidas, supervisan su aplicación y pueden ser considerados responsables de las infracciones.

Tres consecuencias prácticas que cualquier CEO debe entender:

  1. La delegación completa en IT ya no es una defensa válida. Si el incumplimiento se debe a una decisión operativa delegada y la dirección no supervisó ni aprobó los controles, el órgano de dirección sigue siendo responsable. La CCN lo aclaró expresamente en su FAQ sobre NIS2: si las entidades delegaran las responsabilidades del artículo 20 a otros miembros de su personal, el objetivo del artículo no se cumpliría.
  2. Para entidades esenciales, la inhabilitación temporal es una sanción real. El artículo 32.5.b permite a las autoridades nacionales solicitar la prohibición temporal de que una persona física ejerza funciones directivas a nivel de director general o representante legal. No es una amenaza teórica: es la herramienta que los reguladores tienen cuando hay incumplimiento grave y reiterado.
  3. Las pólizas D&O pueden no cubrir la infracción. La mayoría de pólizas de seguro de directivos y administradores excluyen las violaciones deliberadas o negligentes de normativa. Si la dirección era consciente del riesgo y no actuó, la cobertura puede quedar en entredicho.
Estado en España — mayo 2026: el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado en Consejo de Ministros en enero de 2025 y sigue en tramitación parlamentaria. La Comisión Europea ya envió un dictamen motivado a España en mayo de 2025 por el incumplimiento del plazo de transposición (fijado en octubre de 2024), lo que puede derivar en recurso ante el Tribunal de Justicia de la UE. Las sanciones serán exigibles desde el día siguiente a la entrada en vigor. No esperar al BOE es la recomendación unánime de INCIBE y CCN-CERT.
Herramienta gratuita ¿Qué puntos de NIS2 tienes ya cubiertos? Checklist NIS2/ENS para Dirección — 1 página. Marca lo que tienes y lo que falta.
Ver checklist →

¿Está mi PYME dentro del ámbito de NIS2?

La pregunta tiene dos respuestas: una directa y una indirecta. Muchas empresas asumen que no están obligadas porque no son "empresas grandes" — y se equivocan en el diagnóstico.

Obligación directa

Una empresa está directamente obligada por NIS2 si cumple dos condiciones simultáneas: opera en uno de los 18 sectores cubiertos por los Anexos I o II de la directiva, y supera los umbrales de tamaño que la clasifican como entidad esencial (más de 250 empleados o más de 50 M€ de facturación) o importante (entre 50 y 250 empleados o entre 10 y 50 M€). Existen excepciones: proveedores de DNS, registros de dominios TLD y proveedores de servicios de confianza cualificados quedan dentro independientemente del tamaño.

En España, se estima que el número de empresas directamente obligadas pasará de las aproximadamente 400 que cubría NIS1 a más de 10.000 con NIS2.

Obligación indirecta por la cadena de suministro

Aquí es donde la mayoría de PYMEs tiene el riesgo real, antes incluso de que llegue ninguna ley. El artículo 21.2.d de NIS2 obliga a las entidades reguladas a gestionar los riesgos de ciberseguridad de toda su cadena de proveedores. El mecanismo es directo:

18 sectores cubiertos por NIS2 (vs. 7 de NIS1)
10.000+ empresas directamente obligadas en España (estimado)
43 % +43 % interanual aumento de incidentes en empresas españolas en 2024 (INCIBE)

Las grandes empresas ya están exigiendo a sus proveedores garantías de seguridad que la normativa todavía no impone formalmente. Lo hacen a través de cuestionarios de homologación, cláusulas contractuales y auditorías previas a la renovación de contratos. Si tu empresa trabaja con clientes del sector financiero, sanidad, telecomunicaciones, AAPP o grandes grupos industriales, ya estás dentro del perímetro aunque no seas una entidad regulada.

Señal de alerta práctica: si en los últimos 12 meses has recibido de un cliente un cuestionario de seguridad de más de 20 preguntas, o una cláusula contractual nueva sobre ciberseguridad, ya estás recibiendo el efecto NIS2 en la cadena de suministro. No es una amenaza futura: está ocurriendo ahora.

¿Qué acciones protegen a la dirección?

NIS2 penaliza la inacción documentada, no los incidentes. Una empresa que tiene un incidente grave pero puede demostrar que tenía un programa de seguridad aprobado, actualizado y supervisado por la dirección está en una posición radicalmente distinta a la que no tiene nada escrito. Las siguientes cuatro acciones construyen esa posición defensiva.

  1. Aprobar formalmente una política de seguridad y dejar acta de ello. El artículo 20 exige que la dirección apruebe las medidas de ciberseguridad. "Aprobar" tiene un significado legal preciso: decisión documentada, firmada, con fecha y registrada en acta. Una política de seguridad existente en un servidor sin aprobación formal de la dirección no cumple el requisito. La acta de aprobación es la prueba de que el órgano de dirección cumplió su obligación.
  2. Documentar la formación de los directivos en ciberseguridad. El artículo 20.2 es taxativo: los miembros de los órganos de dirección recibirán formación suficiente. Los auditores pedirán evidencia: fechas, contenidos, resultados de evaluación. Una sesión de 2 horas con un especialista externo, bien documentada, cumple el requisito básico. Lo que no cumple el requisito es no tener nada registrado.
  3. Nombrar un responsable de seguridad identificable. El anteproyecto español lo exige explícitamente. No tiene que ser un CISO interno a tiempo completo — un vCISO externo con contrato y función documentada cumple el requisito. Lo que importa es que haya una persona identificable que asuma la función y que la dirección lo haya designado formalmente. Más sobre qué hace un vCISO y cuándo tiene sentido para una PYME.
  4. Probar el protocolo de notificación de incidentes antes de necesitarlo. El plazo de alerta temprana de 24 horas desde que la organización tiene conocimiento de un incidente significativo es prácticamente imposible de cumplir sin un proceso previamente practicado. Un ejercicio de mesa (tabletop exercise) de 2 horas, con el escenario documentado y las lecciones aprendidas registradas, es el tipo de evidencia que los auditores valoran y que demuestra que la dirección supervisó activamente los controles.
El principio central de NIS2 para la dirección: los auditores no buscan perfección técnica. Buscan evidencia de que la dirección conocía los riesgos, los aprobó formalmente y supervisó su gestión. Un sistema imperfecto con historial de revisión supera a un sistema técnicamente avanzado sin gobernanza documentada.

Preguntas frecuentes sobre sanciones NIS2

  • ¿Cuáles son las sanciones máximas de NIS2 en España?

    Las sanciones máximas son de 10 millones de euros o el 2% de la facturación global anual para entidades esenciales (la cantidad que sea mayor). Para entidades importantes, el límite es 7 millones de euros o el 1,4% de la facturación. Además, se pueden imponer medidas no económicas como la inhabilitación temporal de directivos para entidades esenciales.

  • ¿Puede el CEO ser sancionado personalmente por incumplir NIS2?

    Sí. El artículo 20.1 establece que los órganos de dirección pueden ser considerados responsables de las infracciones. Para entidades esenciales, el artículo 32.5 permite solicitar la prohibición temporal del ejercicio de funciones directivas. No es una sanción automática, pero sí es una herramienta real que los reguladores pueden usar ante incumplimiento grave y reiterado.

  • ¿Mi PYME está obligada si no es una empresa grande?

    Las empresas medianas (entre 50 y 250 empleados o facturación entre 10 y 50 M€) en sectores de los Anexos I o II de NIS2 están incluidas como entidades importantes. Además, aunque tu empresa no esté directamente obligada, si trabajas como proveedor de una entidad regulada, recibirás exigencias de cumplimiento a través de la cadena de suministro en forma de cuestionarios, cláusulas contractuales y auditorías.

  • ¿Cuándo entran en vigor las sanciones NIS2 en España?

    A mayo de 2026, el Anteproyecto de Ley sigue en tramitación parlamentaria. Las sanciones serán aplicables desde el día siguiente a la entrada en vigor de la ley. La Comisión Europea ya envió un dictamen motivado a España en mayo de 2025 por el retraso. La recomendación de INCIBE y CCN-CERT es comenzar la adaptación ahora, sin esperar al BOE.

  • ¿Qué diferencia hay entre NIS2 y ENS?

    NIS2 es una directiva europea de ciberseguridad para empresas privadas y públicas en sectores críticos. El ENS aplica al sector público y a empresas privadas que prestan servicios a administraciones públicas. Una empresa puede estar obligada por ambos simultáneamente: NIS2 por su sector de actividad, y ENS por sus contratos con el sector público. El CCN ha publicado la guía CCN-STIC 892 que mapea los controles de ambos marcos.

  • ¿NIS2 obliga a los directivos a formarse en ciberseguridad?

    Sí. El artículo 20.2 es explícito: los miembros de los órganos de dirección deben recibir formación periódica suficiente para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad. Esta formación debe documentarse con fechas, contenidos y resultados, ya que los auditores la verificarán como evidencia de cumplimiento.

  • ¿Un vCISO externo puede ayudar con el cumplimiento NIS2?

    Sí, especialmente para PYMEs de 20 a 250 empleados. Un vCISO externo puede asumir la función de responsable de seguridad, construir el programa de gobernanza, documentar los controles exigidos y preparar a la empresa para auditorías y cuestionarios de clientes. Es la alternativa más habitual al CISO interno para empresas que no tienen masa crítica suficiente para justificar ese coste fijo. Más información sobre qué hace un vCISO mes a mes.

  • ¿Qué pasa si mi empresa trabaja con clientes grandes que sí están obligados?

    El artículo 21.2.d de NIS2 obliga a las entidades reguladas a gestionar los riesgos de ciberseguridad de su cadena de suministro. Tus clientes grandes trasladarán sus obligaciones hacia ti en forma de cuestionarios, cláusulas contractuales y auditorías. Si no puedes demostrar controles mínimos, puedes dejar de ser un proveedor elegible. Esto ya está ocurriendo antes de la ley: revisa tu situación con el checklist gratuito.

La pregunta ya no es si prepararse, sino cuántos meses de evidencia tendrás cuando llegue la primera auditoría

NIS2 no es la primera normativa que amenaza con sanciones millonarias. Pero sí es la primera que coloca la responsabilidad explícitamente en el CEO y el consejo, con la posibilidad de inhabilitación temporal para quienes encabezan entidades esenciales que incumplen de forma grave.

El contexto lo hace más urgente: 97.348 incidentes en España en 2024, con un aumento del 43% en el segmento de empresas. La probabilidad de que una empresa mediana tenga que gestionar un incidente significativo en los próximos tres años es real, no estadística.

Lo que distinguirá a las empresas que superen ese trance con consecuencias limitadas de las que no lo hagan no será la tecnología que tengan instalada. Será si la dirección puede demostrar que aprobó los controles, supervisó su aplicación y formó a sus directivos. Ese historial no se construye en dos semanas. Cada mes que pasa es un mes menos de evidencia demostrable.

Siguiente paso ¿Cuántos puntos del checklist NIS2 tienes cubiertos hoy? Descarga el Checklist NIS2/ENS para Dirección — 1 página, gratuito.
Ver checklist →
💬
Consulta gratuita · Sin compromiso ¿No sabes si NIS2 te aplica
o por dónde empezar? Agenda una llamada de 15 minutos. Sin coste y sin compromiso. Te decimos si tu empresa está en el ámbito de la directiva, qué responsabilidades concretas afectan a tu dirección y qué tres acciones tienen más sentido priorizar en tu situación.
100 % gratuita Respuesta práctica, no genérica Disponible en menos de 48 h
Agendar 15 min → Selecciona el hueco que mejor te encaje en el calendario.
Ciberseguridad