Adaptación a la NIS2 para pymes: guía práctica para dirección

9 de junio de 2026
Ciberseguridad, Ciso, Cumplimiento, España, Seguridad de Datos
adaptacion-nis-pymes-banner
NORMATIVA · NIS2

Adaptación a la NIS2 para pymes:
guía práctica para dirección

📅 Actualizado: junio 2026 Lectura: 10 min 👤 Para: CEO / COO / CFO

La Directiva NIS2 coloca la ciberseguridad directamente en la agenda del consejo de administración. A diferencia de la normativa anterior, no basta con que el departamento de IT tenga un antivirus actualizado: la dirección de la empresa debe aprobar formalmente el programa de seguridad, supervisar su ejecución y acreditar que lo hace. El que no lo sepa no es excusa: el artículo 20 de la directiva es explícito en ese punto.

En España, el Real Decreto-ley 7/2025 ya transpuso parcialmente NIS2 y las inspecciones del INCIBE-CERT están en curso. La Ley de Coordinación y Gobernanza de la Ciberseguridad continúa su tramitación parlamentaria. Lo que significa esto en la práctica: las obligaciones son exigibles ahora, el desconocimiento no protege y la anticipación es la única estrategia razonable para una pyme que no quiere que el primer contacto con la normativa sea un expediente sancionador.

Este artículo es la hoja de ruta para que la dirección de una PYME entienda qué obligaciones tiene, qué debe hacer y cómo demostrarlo.

Adaptación a la NIS2 para pymes: guía práctica para dirección
Contenido del artículo
1. ¿A qué empresas afecta la NIS2? Sectores y umbrales de tamaño
2. Qué obligaciones concretas impone la NIS2
3. NIS2 y proveedores: cómo afecta a pymes con grandes clientes o licitaciones
4. Responsabilidad activa del directivo ante NIS2
5. Hoja de ruta práctica paso a paso
6. Cuánto cuesta y cuánto tiempo lleva adaptarse
7. Cómo demostrar cumplimiento ante clientes, auditores y licitaciones

¿A qué empresas afecta la NIS2? Sectores y umbrales de tamaño

La primera pregunta que debe responder cualquier directivo es directa: ¿entra mi empresa en el ámbito de NIS2? El criterio de tamaño es el primer filtro, y hay un error frecuente que conviene aclarar desde el inicio: el umbral es 50 empleados O más de 10 M€ de facturación anual, no los dos a la vez. Basta con superar uno de los dos criterios para que el tamaño sea suficiente.

El segundo filtro es el sector. NIS2 distingue dos categorías de entidades:

Entidades esenciales (Anexo I — 11 sectores de alta criticidad)

Empresas grandes (más de 250 empleados o facturación superior a 50 M€) que operen en alguno de estos sectores: energía (electricidad, gas, petróleo, hidrógeno), transporte (aéreo, ferroviario, marítimo, por carretera), banca, infraestructuras de mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital (IXPs, DNS, TLDs, cloud, centros de datos, redes de comunicación, servicios de confianza), gestión de servicios TIC B2B, administración pública y espacio. Están sujetas a supervisión proactiva con auditorías periódicas.

Entidades importantes (Anexo II — 7 sectores críticos adicionales)

Empresas medianas (entre 50 y 250 empleados o facturación entre 10 y 50 M€) en los sectores del Anexo I, o medianas y grandes en los sectores del Anexo II: servicios postales y de mensajería, gestión de residuos, fabricación y distribución de sustancias químicas, producción y distribución de alimentos, fabricación industrial (dispositivos médicos, ordenadores, electrónica, maquinaria, vehículos), proveedores de servicios digitales (marketplaces, motores de búsqueda, plataformas de redes sociales) e investigación. Se supervisan de forma reactiva.

Tres excepciones que incluyen a entidades más pequeñas independientemente de su tamaño: proveedores de servicios DNS, registros de nombres de dominio de primer nivel (TLD) y proveedores de servicios de confianza cualificados quedan sujetos a NIS2 sin importar cuántos empleados tengan ni cuánto facturen.

Si tu empresa no alcanza los umbrales de tamaño ni opera en los sectores listados, no estás obligado directamente por NIS2. Sin embargo, como se explica en la sección siguiente, eso no significa que la directiva no te afecte: muchas pymes más pequeñas quedan dentro del ámbito de forma contractual, a través de sus clientes regulados.

Qué obligaciones concretas impone la NIS2: análisis de riesgos, incidentes y seguridad de la cadena de suministro

El artículo 21 de la directiva establece las medidas mínimas que toda entidad obligada debe implementar. No son recomendaciones: son obligaciones técnicas, operativas y organizativas que deben estar documentadas, aprobadas por la dirección y revisadas al menos anualmente. Se estructuran en cuatro bloques principales:

🔍
Política de gestión de riesgos
La empresa debe mantener un análisis de riesgos vivo que identifique los activos críticos, las amenazas relevantes y las medidas adoptadas para mitigarlas. Este análisis debe estar aprobado formalmente por el órgano de dirección (no basta con que lo tenga el equipo IT), documentado en una política de seguridad y revisado de forma periódica. La política debe incluir criterios de clasificación de la información, gestión de accesos, gestión de vulnerabilidades y procedimientos ante incidentes.
🚨
Gestión de incidentes: plazos que no admiten demora
Ante un incidente significativo, NIS2 establece tres plazos acumulativos e improrrogables: alerta temprana en menos de 24 horas desde la detección, notificación formal completa en 72 horas e informe final en un mes. Incumplir estos plazos es sancionable por sí solo, con independencia del daño causado. Las entidades del sector privado notifican a INCIBE-CERT; las del sector público, a CCN-CERT. Tener el protocolo preparado antes de que ocurra un incidente no es una formalidad: en la práctica, cumplir el plazo de 24 horas en tiempo real es casi imposible sin un procedimiento documentado y ensayado.
🔗
Seguridad de la cadena de suministro
Las entidades obligadas deben evaluar los riesgos de ciberseguridad de sus proveedores directos, incorporar cláusulas de seguridad en los contratos y establecer un procedimiento de homologación de terceros con acceso a sistemas o datos críticos. Esto incluye proveedores de software, servicios cloud, mantenimiento de sistemas, procesamiento de datos y cualquier tercero que pueda comprometer la operativa si sufre un incidente. Si todavía no tienes un proceso documentado para esto, descarga la checklist NIS2/ENS para verificar qué evidencias tienes ya cubiertas.
🔄
Continuidad de negocio y gestión de crisis
NIS2 exige disponer de un plan de continuidad de negocio (BCP) y un plan de recuperación ante desastres (DRP) que contemple la pérdida de sistemas críticos. Las copias de seguridad deben estar verificadas periódicamente —no basta con que existan: hay que demostrar que se pueden restaurar en el tiempo exigido. También se incluyen la gestión de crisis, los procedimientos de comunicación durante un incidente y la revisión postincidente.

NIS2 y proveedores: cómo afecta a pymes que trabajan con grandes clientes o en licitaciones

Uno de los efectos más importantes de NIS2 no está en las multas ni en las inspecciones directas, sino en lo que está ocurriendo en toda la cadena de valor de las empresas reguladas: el efecto cascada contractual.

El artículo 21.2.d de la directiva obliga a todas las entidades esenciales e importantes a gestionar los riesgos de ciberseguridad de sus proveedores. En la práctica, esto significa que cualquier empresa que suministre productos o servicios a una entidad NIS2 —con independencia de su propio tamaño o sector— empieza a recibir exigencias de seguridad por vía contractual:

¿Vendes a una empresa regulada por NIS2? Aunque tu pyme no esté en el ámbito directo de la directiva, tu cliente sí lo está. Y su obligación legal de gestionar el riesgo de su cadena de suministro se traduce directamente en exigencias para ti: cuestionarios de madurez en ciberseguridad, cláusulas contractuales de seguridad, compromisos de notificación de incidentes en 24 horas y, en algunos casos, derechos de auditoría sobre tus sistemas.

La analogía que mejor explica este mecanismo es el RGPD: cuando el reglamento obligó a los responsables del tratamiento a garantizar que sus encargados cumplían la normativa de privacidad, miles de pymes que nunca habían oído hablar del RGPD se encontraron firmando contratos de encargo del tratamiento. Con NIS2 ocurre lo mismo en el ámbito de la ciberseguridad, pero con mayor urgencia: el volumen de empresas afectadas en España multiplica por diez el de la normativa anterior.

Las consecuencias no llegan necesariamente en forma de sanción directa. En muchos casos, la consecuencia es la exclusión silenciosa: el cliente NIS2 simplemente no renueva el contrato con el proveedor que no puede demostrar medidas de seguridad adecuadas. No hay expediente, no hay notificación: el contrato no se renueva y el proveedor no siempre sabe por qué.

Para las pymes que participan en licitaciones públicas o trabajan con grandes empresas europeas, esto es especialmente relevante. Los pliegos de contratación están incorporando ya cláusulas NIS2 y los responsables de compras de entidades reguladas tienen la obligación legal de documentar cómo gestionan el riesgo de su cadena de suministro. Un proveedor que no puede responder a un cuestionario de seguridad —o que tarda semanas en hacerlo— es un riesgo visible que el cliente tratará de eliminar.

Responsabilidad activa del directivo ante NIS2: qué debe hacer la dirección

NIS2 introduce una novedad que distingue a esta directiva de cualquier norma de ciberseguridad anterior: la obligación explícita de gobernanza activa por parte del órgano de dirección. No es suficiente con delegar en el equipo IT y firmar un documento anual. El artículo 20 es claro en lo que la dirección debe hacer —no solo evitar o sancionar—.

Tres obligaciones de gobernanza que recaen sobre el consejo

1. Aprobar formalmente el programa de seguridad. La política de gestión de riesgos y las medidas del artículo 21 deben estar aprobadas por el órgano de dirección, no simplemente conocidas por él. Esto implica que deben presentarse al consejo, discutirse y quedar reflejadas en acta. Un programa de ciberseguridad que vive únicamente en la bandeja de entrada del responsable de IT no cumple este requisito.

2. Supervisar activamente su ejecución. La directiva no exige que la dirección sea técnica en ciberseguridad. Exige que supervise. Esto se traduce en revisiones periódicas del estado de las medidas, informes de seguimiento del responsable de seguridad y capacidad de identificar cuándo hay incumplimientos o riesgos no gestionados.

3. Completar formación específica en gestión de riesgos cibernéticos. El artículo 20 obliga explícitamente a que los miembros del órgano de dirección reciban formación periódica en ciberseguridad. No es formación técnica: es formación en gestión de riesgos, supervisión de programas de seguridad y toma de decisiones ante incidentes. La ignorancia técnica del CEO o del CFO no es excusa ante una autoridad supervisora; la ignorancia sobre las obligaciones de gobernanza, menos aún.

Las actas del comité de dirección son evidencia NIS2, no una formalidad opcional. Cuando llegue una inspección, uno de los primeros documentos que solicitará la autoridad supervisora son las actas de reuniones en las que se haya tratado el programa de ciberseguridad: aprobaciones, revisiones periódicas, tratamiento de incidentes y registros de formación de directivos. Si no existe ese rastro documental, no existe la supervisión a efectos de la norma.

Para el detalle del régimen sancionador, las multas aplicables y la responsabilidad de inhabilitación personal de directivos, consulta el artículo específico del sitio: Sanciones NIS2 y responsabilidad de los directivos.

Hoja de ruta práctica para adaptar tu empresa a la NIS2 paso a paso

La adaptación a NIS2 no es un proyecto puntual de IT: es un proceso de gobernanza que la dirección debe liderar. La secuencia siguiente es la que más sentido tiene para una pyme española que parte de cero o de un nivel básico de madurez:

1
Diagnóstico de brechas
El primer paso es saber dónde estás. Esto implica: determinar si tu empresa entra en el ámbito de NIS2 (sector + tamaño), inventariar los activos críticos (sistemas, datos, procesos), e identificar el gap entre tu situación actual y las medidas que exige el artículo 21. No empieces comprando herramientas: el primer bloqueo suele ser la ausencia de gobernanza documentada, no de tecnología.
2
Clasificación y registro ante la autoridad
Una vez confirmado que tu empresa entra en el ámbito, debes determinar si eres entidad esencial o importante y notificarlo a la autoridad competente. En España, INCIBE-CERT actúa como CSIRT de referencia para el sector privado; el CCN-CERT lo hace para el sector público. El RDL 7/2025 establece los plazos y el procedimiento de autonotificación. Este paso genera el primer rastro documental de cumplimiento activo.
3
Implementación de controles prioritarios
Con el gap identificado, se priorizan las medidas del artículo 21 por impacto en el riesgo real, no por coste. En la mayoría de pymes, las medidas de mayor impacto y menor esfuerzo son: autenticación multifactor (MFA) en accesos críticos, gestión centralizada de contraseñas, copias de seguridad inmutables verificadas periódicamente, segmentación básica de red y gestión de parches. Cubrir estas cinco medidas elimina el 80 % del riesgo de exposición más frecuente en pymes españolas.
4
Documentación auditable
NIS2 no valora solo lo que haces: valora lo que puedes demostrar que haces. La documentación auditable incluye: política de seguridad aprobada en acta, registro de formaciones recibidas por los directivos, evaluaciones de proveedores con resultado documentado, histórico de incidentes —incluidos los que no llegaron a ser notificables—, y revisiones periódicas del programa de seguridad con firma del órgano de dirección. Sin este rastro, el cumplimiento técnico no existe a efectos regulatorios.
5
Designación del responsable de seguridad
El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad exige en su artículo 16 que las entidades obligadas designen un responsable de seguridad de la información identificable, con funciones documentadas y acceso directo al órgano de dirección. Este rol no tiene que ser un empleado a tiempo completo: puede cubrirse mediante un CISO externo o vCISO con contrato y funciones claramente definidas. Para muchas pymes, esta es la fórmula más eficiente: cubre el requisito normativo, aporta experiencia especializada y no requiere incorporar un directivo a tiempo completo.
Herramienta gratuita ¿Cuántos de estos pasos tienes ya cubiertos? Descarga la Checklist NIS2/ENS para Dirección y revisa tu situación real en 15 minutos.
Ver checklist →

Cuánto cuesta y cuánto tiempo lleva adaptarse a la NIS2

La primera pregunta que plantea casi cualquier CEO cuando entra en materia NIS2 es directa: ¿cuánto me va a costar esto? La respuesta honesta es que depende de tres factores que varían significativamente de una empresa a otra:

El punto de partida. Una empresa que ya tiene políticas documentadas, backups verificados y MFA activado en los accesos críticos tiene una brecha mucho menor que una que parte de cero. El diagnóstico inicial es precisamente el paso que determina cuánto trabajo real queda por hacer —y cuánto creías que había que hacer pero ya está en realidad resuelto.

El sector y el nivel de supervisión. Una entidad esencial en el sector energético tiene requisitos de demostración más exigentes que una entidad importante en fabricación. No es el mismo proyecto ni el mismo esfuerzo. La categoría regulatoria concreta de tu empresa es el segundo factor determinante del alcance.

El gap identificado en el diagnóstico. Este es el factor de mayor variabilidad. Algunas empresas descubren en el diagnóstico que tienen el 60 % del camino recorrido sin saberlo; otras descubren que necesitan construir el programa desde cero. El coste no es lineal al tamaño de la empresa: es lineal al gap real entre la situación actual y los requisitos del artículo 21.

El mayor coste no es adaptarse. Es haber esperado demasiado. Un expediente sancionador, la pérdida de un contrato clave o un incidente de ransomware con sistemas sin backups verificados cuesta, en cualquier escenario razonable, entre diez y cien veces más que un programa de adaptación bien planificado.

En cuanto al tiempo, la adaptación básica de una pyme mediana con punto de partida razonable puede completarse en un plazo de tres a seis meses, siempre que la dirección esté involucrada activamente desde el inicio. Los proyectos que se dilatan no suelen hacerlo por complejidad técnica: suelen hacerlo porque la aprobación del órgano de dirección no llegó a tiempo, porque la documentación se trató como un trámite burocrático o porque se empezó por la tecnología en lugar de por la gobernanza.

Si quieres saber cuál es tu punto de partida real y qué tiene sentido priorizar en tu situación concreta, agenda una llamada de diagnóstico gratuita de 15 minutos. Sin compromiso y sin tecnicismos.

Cómo demostrar cumplimiento NIS2 ante clientes, auditores y licitaciones

El cumplimiento NIS2 tiene dos dimensiones que conviene distinguir. La primera es técnica: implementar las medidas del artículo 21. La segunda es documental: poder demostrar que las has implementado. Sin la segunda, la primera no existe a efectos regulatorios ni comerciales. Un auditor no puede valorar lo que no está documentado; un cliente que revisa su cadena de suministro tampoco.

Evidencias que un inspector o un cliente NIS2 va a solicitar

Las siguientes son las evidencias concretas que constituyen el expediente de cumplimiento de una pyme bajo NIS2:

Evidencia Qué acredita
Actas del comité de dirección Que el órgano de dirección aprobó el programa de seguridad, lo revisa periódicamente y recibió formación (art. 20)
Política de seguridad aprobada y firmada Que existe un marco de gestión de riesgos documentado, con alcance, responsabilidades y criterios de tratamiento
Registros de formación Que los directivos y empleados con acceso a sistemas críticos han recibido formación en ciberseguridad en el último año
Evaluaciones de proveedores Que existe un proceso de homologación de terceros con acceso a sistemas o datos, con resultado documentado por proveedor
Cuestionarios de seguridad respondidos y archivados Que la empresa puede responder a las exigencias de sus clientes NIS2 con evidencias concretas, no con declaraciones genéricas
Histórico de incidentes y respuestas Que existe un procedimiento de gestión de incidentes operativo, con registro de los tratados (incluidos los no notificables)
Plan de continuidad y resultados de pruebas Que el BCP/DRP existe, está aprobado y se ha probado con al menos un ejercicio documentado en los últimos doce meses

El cumplimiento como ventaja competitiva

Más allá de evitar sanciones, las pymes que construyen este expediente de cumplimiento obtienen una ventaja competitiva concreta en dos contextos:

En contratos con grandes empresas. Las entidades esenciales e importantes están incorporando ya cláusulas NIS2 en sus procesos de homologación de proveedores. La pyme que puede responder un cuestionario de seguridad con evidencias reales —y no con declaraciones vacías— se diferencia de la competencia sin necesidad de bajar precio. El cumplimiento documentado reduce fricciones en la renovación de contratos y abre puertas con clientes que antes no te habrían considerado.

En licitaciones públicas. La combinación de NIS2 y ENS en pliegos de contratación pública española está creciendo rápidamente. Las empresas que participan en licitaciones con componente tecnológico o que acceden a sistemas de la administración necesitan acreditar un nivel de madurez en ciberseguridad. El expediente NIS2 es la base sobre la que se construye esa acreditación.

Si quieres revisar qué evidencias tienes ya cubiertas y cuáles te faltan, descarga la checklist NIS2/ENS para dirección: una página, sin tecnicismos, que puedes revisar antes de tu próxima reunión de consejo.

Preguntas frecuentes sobre la adaptación a NIS2 para pymes

Mi empresa tiene menos de 50 empleados. ¿Me afecta la NIS2?
No directamente, salvo que seas proveedor único de un servicio crítico. Pero si tus clientes están obligados por NIS2, te exigirán medidas equivalentes por contrato. La exclusión del ámbito legal no te protege de la exclusión comercial cuando un cliente revise su cadena de suministro.
¿Desde cuándo es obligatoria la NIS2 en España?
España transpuso NIS2 parcialmente mediante el Real Decreto-ley 7/2025. La Ley de Coordinación y Gobernanza de la Ciberseguridad continúa en tramitación parlamentaria. Las inspecciones de INCIBE-CERT ya están en curso bajo el RDL 7/2025; España aún no ha emitido sanciones formales. El retraso legislativo español no exonera a las empresas obligadas de cumplir los requisitos de la directiva europea.
¿NIS2 y ENS son lo mismo?
No. NIS2 es la directiva europea para empresas privadas en sectores críticos. El ENS es el Esquema Nacional de Seguridad, obligatorio para las AAPP y sus proveedores con acceso a sistemas públicos. Muchas pymes deben atender a ambas normativas si trabajan con clientes públicos y privados regulados simultáneamente.
¿Qué plazo tengo para notificar un ciberataque bajo NIS2?
La directiva establece tres fases acumulativas: alerta temprana en menos de 24 horas, notificación formal en 72 horas e informe final en un mes. Incumplir estos plazos es sancionable por sí solo, aunque el ataque no haya causado daños graves. Las entidades privadas notifican a INCIBE-CERT; las del sector público, a CCN-CERT.
¿Qué diferencia hay entre entidad esencial y entidad importante en NIS2?
Las obligaciones técnicas son idénticas. La diferencia está en la supervisión y las sanciones: las entidades esenciales soportan supervisión proactiva y multas de hasta 10 M€ o el 2% de la facturación global; las importantes, supervisión reactiva y multas de hasta 7 M€ o el 1,4%.
¿Puedo cumplir la obligación de responsable NIS2 con un CISO externo?
Sí. El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad exige en su artículo 16 que las entidades obligadas designen un responsable de seguridad de la información identificable. Un vCISO con contrato y función documentada cumple este requisito, aporta experiencia especializada y permite a la dirección acreditar cumplimiento sin incrementar la plantilla.
¿Cómo sé si mis clientes me van a exigir cumplimiento NIS2?
Si tus clientes operan en energía, transporte, TIC, banca, sanidad o fabricación crítica y superan los umbrales de tamaño, están obligados a gestionar el riesgo de su cadena de suministro. En la práctica recibirás cuestionarios de seguridad y nuevas cláusulas contractuales antes de renovar o ampliar acuerdos.
¿Qué relación tiene NIS2 con ISO 27001?
ISO 27001 no es requisito legal de NIS2, pero implementar un SGSI certificado cubre gran parte de las obligaciones del artículo 21 y facilita demostrar madurez ante clientes, auditores y autoridades. Es una herramienta complementaria, no un sustituto de la adaptación regulatoria específica.
💬
Consulta gratuita · Sin compromiso ¿Tiene obligaciones NIS2
tu empresa? Agenda una llamada de 15 minutos sin coste. Te decimos si tu empresa está en el ámbito de la directiva, qué hay que hacer en tu situación concreta y qué puedes resolver esta semana.
100 % gratuita Sin tecnicismos Respuesta en menos de 48 h
Agendar 15 min → Selecciona el hueco que mejor te encaje en el calendario.
Ciberseguridad