NIS2 y ENS para pymes: guía para directivos

11 de marzo de 2026
Ciberataques, Ciberseguridad, Seguridad de Datos
nis2-ens-pymes
Compliance & Gobierno

NIS2 y ENS: la guía para directivos de
pymes en España

📅 Actualizado: marzo 2026 Lectura: 12–15 min 👤 Para: CEO / COO / CFO / CIO

La Directiva NIS2 convierte la ciberseguridad en una responsabilidad personal del CEO, COO y CFO, con multas de hasta 10 millones de euros o el 2 % de la facturación global. Si tu empresa tiene entre 50 y 250 empleados y opera en uno de los sectores cubiertos por la directiva, probablemente estás dentro del ámbito de aplicación, y el desconocimiento no será excusa.

Esta guía desglosa todo lo que la alta dirección necesita saber: qué exige la normativa, qué evidencias debes tener preparadas, cómo se relaciona con el Esquema Nacional de Seguridad y cuáles son los errores que ya están cometiendo la mayoría de pymes.

NIS2 y ENS: la guía para directivos de pymes en España

Qué es la Directiva NIS2 y por qué puede afectar a tu pyme

La Directiva (UE) 2022/2555, conocida como NIS2, entró en vigor el 16 de enero de 2023 y sustituyó a la anterior Directiva NIS1 de 2016. Su objetivo es establecer un nivel común elevado de ciberseguridad en toda la Unión Europea. El cambio de escala es radical: NIS1 cubría 7 sectores y afectaba a unas 15.000 entidades en Europa; NIS2 abarca 18 sectores y alcanza a más de 160.000 organizaciones.

La directiva clasifica a las entidades obligadas en dos categorías:

Entidades esenciales

Organizaciones en los 11 sectores de alta criticidad del Anexo I (energía, transporte, banca, sanidad, agua potable, infraestructura digital, gestión de servicios TIC B2B, administración pública, espacio…) que sean grandes empresas (más de 250 empleados o facturación superior a 50 millones de euros). Están sujetas a supervisión proactiva (ex ante): auditorías periódicas e inspecciones regulares.

Entidades importantes

Empresas medianas (entre 50 y 250 empleados o facturación entre 10 y 50 millones) en sectores del Anexo I, o medianas y grandes en los 7 sectores del Anexo II (servicios postales, gestión de residuos, fabricación, alimentación, proveedores de servicios digitales, investigación). Se supervisan de forma reactiva (ex post): la autoridad actúa cuando hay evidencia de incumplimiento.

Entre los sectores cubiertos figuran energía, transporte, banca, sanidad, infraestructura digital, fabricación industrial, alimentación, servicios postales, gestión de residuos, proveedores de servicios digitales e investigación, entre otros. La regla de tamaño es el primer filtro: a partir de 50 empleados o 10 millones de euros de facturación en uno de esos sectores, la empresa queda dentro del ámbito de NIS2. Existen excepciones donde entidades más pequeñas quedan incluidas independientemente del tamaño: proveedores de DNS, registros de dominios de primer nivel (TLD) y proveedores de servicios de confianza cualificados.

Impacto indirecto en toda la cadena de valor. Incluso si tu pyme no alcanza los umbrales directamente, puedes verte afectada. NIS2 exige a las entidades reguladas controlar la ciberseguridad de toda su cadena de suministro (Artículo 21.2.d). Si eres proveedor de una empresa regulada —en logística, servicios profesionales, mantenimiento, IT u otros ámbitos— recibirás exigencias contractuales de cumplimiento.
Estado en España (marzo 2026): España aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en enero de 2025, pero a marzo de 2026 la ley sigue en tramitación parlamentaria. La Comisión Europea ya envió un dictamen motivado en mayo de 2025 por incumplimiento del plazo. La recomendación de INCIBE, CCN-CERT y principales consultoras es la misma: no esperes a la publicación en el BOE para empezar la adaptación. Las obligaciones serán exigibles desde el día siguiente a la entrada en vigor, y un sistema de gobernanza no se construye en semanas.

De NIS1 a NIS2: una escalada que la dirección no puede ignorar

La diferencia entre ambas directivas no es incremental; es estructural. NIS1 dejaba a cada Estado miembro la discreción de definir quién era "operador de servicios esenciales". España identificó apenas unas 400 entidades bajo el Real Decreto-ley 12/2018. NIS2 elimina esa discrecionalidad: en España se estima que el número de entidades afectadas pasará de unos cientos a más de 10.000.

Aspecto NIS1 (2016) NIS2 (2023)
Sectores cubiertos 7 sectores 18 sectores (Anexo I y II)
Entidades obligadas (UE) ~15.000 ~160.000
Entidades obligadas en España ~400 ~10.000+
Responsabilidad directivos No mencionada Explícita (Art. 20) — responsabilidad personal y posible inhabilitación
Cadena de suministro Apenas mencionada Medida obligatoria (Art. 21.2.d) con evaluación y cláusulas contractuales
Notificación incidentes "Sin demora indebida" (vago) 24h alerta / 72h notificación / 1 mes informe final
Sanciones mínimas armonizadas No Sí: hasta 10 M€ o 2 % facturación global (esenciales)

El ENS y su relación con NIS2: cuándo aplica a una pyme privada

El Esquema Nacional de Seguridad (Real Decreto 311/2022) es el marco español que establece la política de seguridad para los sistemas electrónicos del sector público y de las empresas privadas que les prestan servicios. Se estructura en cinco dimensiones de seguridad y define tres categorías de certificación:

Categoría ENSImpactoRequisito
Básica Limitado Declaración de conformidad (autoevaluación)
Media Grave Certificación obligatoria por entidad acreditada ENAC, renovable cada 2 años
Alta Muy grave Misma certificación que Media + controles adicionales

¿Cuándo te obliga el ENS? Cuando prestas servicios al sector público mediante contrato, ya que los pliegos de contratación pública incluyen requisitos de adecuación al ENS. Fuera de la contratación pública, el ENS no es obligatorio para el sector privado.

¿Se puede estar obligado por ambos? Sí. Una empresa que provee servicios al sector público (→ ENS) y opera en un sector NIS2 (→ NIS2) debe cumplir ambos marcos. El CCN ha publicado el Perfil de Cumplimiento Específico NIS2 (guía CCN-STIC 892), que mapea los controles del ENS contra los requisitos de NIS2. La posición oficial es que el ENS categoría Alta cubre en gran medida los requisitos estructurales de NIS2, aunque existen tres obligaciones adicionales de NIS2 que hay que abordar por separado: la responsabilidad explícita de la dirección, los plazos estructurados de notificación de incidentes y los requisitos reforzados de seguridad de la cadena de suministro.

Herramienta gratuita Checklist NIS2/ENS para Dirección — 1 página Gobierno · Evidencias · Respuesta 24–72h. Marca lo que tienes y lo que falta.
Descargar checklist

Las 10 medidas de gobernanza que NIS2 exige a la alta dirección

El Artículo 21.2 establece diez categorías de medidas que toda entidad esencial e importante debe implementar. No son medidas técnicas delegables al departamento de IT; son medidas de gobernanza corporativa que el Artículo 20 exige que los órganos de dirección aprueben formalmente y supervisen de manera continua.

  1. Políticas de análisis de riesgos y seguridad de los sistemas. El documento de más alto nivel que define el enfoque de la organización hacia la seguridad. Debe estar aprobado por el consejo de administración o el administrador único, con histórico de versiones y actas de aprobación.
  2. Gestión de incidentes. Procedimientos de prevención, detección, análisis, contención y respuesta. Roles definidos, rutas de escalado y capacidad demostrable de cumplir los plazos de 24/72 horas.
  3. Continuidad de negocio y gestión de crisis. Plan de continuidad (BCP), plan de recuperación ante desastres (DRP), procedimientos de copias de seguridad con pruebas de restauración documentadas y simulacros periódicos.
  4. Seguridad de la cadena de suministro. Evaluación de riesgos de cada proveedor directo — calidad de sus productos, prácticas de ciberseguridad y procedimientos de desarrollo seguro. Cláusulas contractuales de ciberseguridad y derechos de auditoría.
  5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas. Integración de la ciberseguridad en el ciclo de vida completo de los sistemas, incluyendo gestión de vulnerabilidades y divulgación coordinada.
  6. Evaluación de la eficacia de las medidas. Auditorías periódicas, pruebas de penetración y evaluaciones continuas que demuestren que los controles no solo existen, sino que funcionan.
  7. Prácticas de ciberhigiene y formación. Programas de concienciación para toda la plantilla. El Artículo 20.2 obliga además a que los propios directivos reciban formación suficiente para identificar riesgos y evaluar las prácticas de gestión.
  8. Políticas de criptografía y cifrado. Procedimientos de cifrado para datos en reposo y en tránsito, y gestión documentada de claves criptográficas.
  9. Seguridad de recursos humanos, control de acceso y gestión de activos. Inventario completo de activos clasificados por criticidad, principio de mínimo privilegio, revisión periódica de accesos y gestión de altas/bajas.
  10. Autenticación multifactor y comunicaciones seguras. MFA obligatorio para el acceso a sistemas críticos y canales de comunicación cifrados, incluyendo comunicaciones de emergencia.

Qué evidencias concretas necesitas para superar una auditoría

NIS2 introduce un cambio fundamental: de la seguridad basada en políticas a la seguridad basada en evidencias demostrables. No basta con tener un documento de política de seguridad; hay que demostrar que se aplica, se revisa y se mejora continuamente. Una empresa bajo NIS2 necesita mantener aproximadamente 30 documentos formales más la evidencia operativa asociada.

Gobernanza

Política de seguridad de la información aprobada por la dirección (con acta de aprobación e historial de versiones), marco de gestión de riesgos, registros de formación individual de directivos con fechas y resultados, y actas de reuniones del consejo donde se traten temas de ciberseguridad incluyendo decisiones sobre riesgos y asignación presupuestaria.

Gestión de riesgos

Metodología documentada de evaluación, registro de riesgos actualizado periódicamente, planes de tratamiento vinculados a cada riesgo, y registros de aceptación de riesgo residual firmados por la dirección.

Gestión de incidentes

Plan de respuesta a incidentes (IRP) con criterios de clasificación, registro histórico de incidentes reales con acciones tomadas, actas de simulacros y ejercicios de mesa (tabletop exercises), informes post-incidente con lecciones aprendidas, y evidencia de capacidad de notificación en los plazos de 24 y 72 horas.

Cadena de suministro

Política de seguridad de proveedores, cuestionarios de evaluación completados, contratos con cláusulas de ciberseguridad y SLA de notificación, y registro de proveedores críticos con calificaciones de riesgo.

Evidencia técnica

Informes de pruebas de penetración con seguimiento de remediación (un pentest sin evidencia de corrección es insuficiente), resultados de escaneos de vulnerabilidades, registros de parcheado, inventario de activos con clasificación de criticidad, y registros de despliegue y uso de MFA.

Principio clave para auditores: buscan prueba de seguimiento, no solo documentos. Los registros de remediación, evidencias de cierre de hallazgos, resultados de re-test y la aprobación de la dirección sobre el estado de los riesgos son tan importantes como las políticas mismas.

Notificación de incidentes: los plazos que no admiten improvisación

El régimen del Artículo 23 establece una secuencia de cuatro fases con plazos estrictos que arranca desde el momento en que la entidad tiene conocimiento de un incidente significativo — aquel que causa o puede causar perturbación operativa grave, pérdidas financieras relevantes o daños considerables a terceros.

Fase 1 — Alerta temprana 24 horas

Comunicar al CSIRT competente (INCIBE-CERT para el sector privado) indicando si el incidente parece tener origen malicioso y si podría tener impacto transfronterizo. Notificación mínima; prima la velocidad sobre el detalle.

Fase 2 — Notificación del incidente 72 horas

Actualiza la alerta con una evaluación inicial de la gravedad e impacto, indicadores de compromiso (IoCs) disponibles, sistemas y usuarios afectados, y medidas de mitigación adoptadas.

Fase 3 — Informe intermedio A petición

Actualizaciones de estado durante la gestión del incidente, a solicitud del CSIRT. Sin plazo fijo predeterminado.

Fase 4 — Informe final 1 mes

Descripción detallada del incidente, causa raíz, medidas de mitigación aplicadas e impacto transfronterizo si aplica. Si el incidente sigue activo al mes, se presenta informe de progreso y el final se entrega un mes después de la resolución.

En España, las notificaciones se canalizarán a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (PNNSC). El CSIRT de referencia para empresas privadas es INCIBE-CERT; para el sector público, CCN-CERT. Si el incidente implica una brecha de datos personales, la notificación a la AEPD dentro de 72 horas sigue siendo obligatoria por separado bajo el RGPD.

Sanciones: las cifras que justifican la inversión en cumplimiento

NIS2 establece un régimen sancionador con mínimos armonizados en toda la UE que los Estados miembros pueden incrementar pero nunca reducir.

Entidades esenciales

10 M€

o lo que sea mayor:

2 % facturación global

Supervisión proactiva + posible inhabilitación temporal de directivos

Entidades importantes

7 M€

o lo que sea mayor:

1,4 % facturación global

Supervisión reactiva + instrucciones vinculantes y divulgación pública

El arsenal de medidas adicionales incluye instrucciones vinculantes de las autoridades, obligación de divulgar públicamente las infracciones identificando a los responsables, designación de un supervisor externo y multas coercitivas periódicas para forzar el cese de infracciones.

Responsabilidad personal de directivos. El Artículo 20.1 permite que los miembros de los órganos de dirección sean considerados personalmente responsables de las infracciones. Para entidades esenciales, el Artículo 32.5.b permite además solicitar la prohibición temporal de ejercer funciones directivas. Muchas pólizas de seguro D&O excluyen las violaciones deliberadas de normativa, lo que amplifica la exposición personal.

Los 8 errores que están cometiendo las pymes ante NIS2

La experiencia de los primeros meses de preparación en Europa ha revelado patrones recurrentes. Reconocerlos a tiempo puede ahorrar meses de trabajo y sanciones evitables.

  1. Delegar todo en el departamento de IT. Es el error más extendido y el que NIS2 combate frontalmente. El CCN lo aclara en su FAQ: si las entidades delegaran las responsabilidades del artículo 20 a otros miembros de su personal, el objetivo del artículo no se cumpliría. La ciberseguridad bajo NIS2 es responsabilidad del consejo de administración, no del CTO.
  2. No documentar los procesos. Muchas pymes tienen herramientas de seguridad pero carecen de políticas escritas, procedimientos documentados o evidencias de revisión. NIS2 exige medidas organizativas y de gobernanza, no solo técnicas. Un firewall sin una política de seguridad aprobada por la dirección es invisible para un auditor.
  3. Confundir herramientas con gobernanza. Adquirir software GRC o un "paquete NIS2" no equivale a cumplir. Muchas empresas crean un "silo de cumplimiento" paralelo donde los datos se duplican, la efectividad se pierde y en una emergencia real no existen procedimientos practicados entre IT, RRHH, operaciones y dirección.
  4. No tener un protocolo de respuesta a incidentes probado. El requisito de alerta temprana en 24 horas es prácticamente imposible de cumplir sin procesos practicados. Un plan de respuesta que nunca se ha simulado es un documento decorativo. Los auditores piden registros de simulacros y post-mortem de incidentes reales.
  5. Ignorar la cadena de suministro. Una de las medidas más exigentes y novedosas respecto a NIS1. Si tu empresa usa proveedores de cloud, SaaS, hosting o desarrollo externalizado, necesitas evaluaciones de riesgo documentadas, cláusulas contractuales de ciberseguridad y derechos de auditoría sobre esos proveedores.
  6. No formar a la dirección. El Artículo 20.2 es taxativo: los miembros de los órganos de dirección deben recibir formación para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad. La formación debe documentarse con fechas, contenidos y resultados de evaluación.
  7. Tratar el cumplimiento como un proyecto puntual. NIS2 exige gestión cíclica de riesgos (mínimo anual), simulacros periódicos y revisión continua. Un SIEM recién desplegado sin histórico de eventos o un único escaneo de vulnerabilidades no satisfacen el requisito de demostrar eficacia sostenida.
  8. Empezar demasiado tarde. Los auditores necesitan pruebas históricas: registros de incidentes, actas de revisiones de acceso, resultados de formaciones acumulados durante meses. Estas evidencias no se fabrican de la noche a la mañana. Cada mes de retraso es un mes menos de historial demostrable.

Ruta práctica de cumplimiento para tu pyme

La hoja de ruta recomendada por INCIBE y CCN para pymes tecnológicas de 50 a 250 empleados sigue una secuencia lógica:

  1. Autoidentificación. Determina si tu empresa es entidad esencial o importante usando la FAQ de INCIBE y la herramienta del Ministerio de Industria.
  2. Análisis de brechas. Compara tu estado actual contra las 10 medidas del Artículo 21. La checklist ejecutiva de la sección siguiente te sirve como punto de partida.
  3. Adopta el ENS como marco de referencia. La guía CCN-STIC 890 permite iniciar por la categoría Básica con 38 medidas. Compatible y alineado con NIS2.
  4. Nombra un responsable de seguridad de la información. El Anteproyecto español lo exige explícitamente en su Artículo 16.
  5. Establece el protocolo de notificación de incidentes con capacidad real de cumplir los plazos de 24 y 72 horas. Practica el proceso con un ejercicio de mesa antes de que haya una emergencia real.
  6. Documenta, documenta, documenta. Actas de aprobación, registros de formación, evaluaciones de proveedores, simulacros de incidentes. Los auditores no ven lo que no está escrito.

INCIBE ofrece recursos gratuitos a través de su portal PYMES NIS2, incluyendo herramientas de autodiagnóstico, kits de concienciación y la Línea de Ayuda en Ciberseguridad (017). El CCN proporciona herramientas como PILAR (análisis de riesgos) e INES (auditoría ENS) y un buzón de consultas específico sobre NIS2.

Recursos oficiales

Conclusión: la ciberseguridad ya no es un tema de IT, es un tema de consejo

NIS2 representa un cambio de paradigma para las pymes españolas. Por primera vez, la ciberseguridad se eleva formalmente al nivel de responsabilidad personal de la alta dirección, con sanciones económicas que pueden comprometer la viabilidad de una empresa mediana y consecuencias profesionales que pueden inhabilitar temporalmente a sus directivos.

La ventana de oportunidad es ahora. Mientras la Ley de Coordinación y Gobernanza de la Ciberseguridad completa su tramitación, cada mes invertido en construir el sistema de gobernanza, documentar procesos y acumular evidencias es un mes que restará presión cuando las obligaciones sean plenamente exigibles.

Las empresas que traten NIS2 como un proyecto de transformación organizativa — no como una compra de herramientas o una tarea del departamento de IT — serán las que conviertan el cumplimiento en ventaja competitiva, especialmente en la contratación con grandes empresas europeas ya reguladas y con el sector público español a través del ENS.

La pregunta ya no es si tu pyme debe prepararse, sino cuántos meses de evidencia demostrable tendrás acumulados cuando llegue la primera auditoría.

Siguiente paso ¿Cuántos puntos puedes marcar como "ok" ahora mismo? Descarga la Checklist NIS2/ENS para Dirección (1 página) y revisa tu situación real.
Ver checklist →
💬
Consulta gratuita · Sin compromiso ¿No sabes si NIS2 te aplica
o por dónde empezar? Agenda una llamada de 15 minutos con nosotros. Sin coste y sin compromiso. Te ayudamos a identificar si tu empresa está en el ámbito de la directiva y qué tres acciones tiene más sentido priorizar en tu situación concreta.
100 % gratuita Respuesta práctica, no genérica Disponible en menos de 48 h
Agendar 15 min → Selecciona el hueco que mejor te encaje en el calendario.
Ciberataques