Plazos NIS2 en España: Cuándo Tienes que Cumplir
Si diriges una PYME en España y has oído hablar de la Directiva NIS2, probablemente te estés preguntando cuándo exactamente tienes que moverte. Los plazos generan bastante confusión, y con razón: la transposición al derecho nacional lleva retraso y las empresas no saben muy bien a qué atenerse. El tiempo juega en tu contra, pero aún hay margen para prepararte con cabeza.
La Directiva NIS2 (Network and Information Security 2) es la normativa europea que refuerza los requisitos de ciberseguridad para empresas de sectores críticos y de importancia estratégica. En España debe transponerse al derecho nacional, lo que significa que las obligaciones reales llegarán en fases. Entender estos plazos es la diferencia entre prepararte con calma o verte pillado por una inspección.
Estado actual de la transposición NIS2 en España
La Directiva NIS2 se aprobó a nivel europeo en diciembre de 2022. La fecha límite para que todos los Estados miembros la incorporaran a su legislación nacional era el 17 de octubre de 2024.
En el caso de España, el proceso de transposición está en marcha pero aún no se ha completado. El Ministerio de Transformación Digital y de la Función Pública coordina este trabajo junto al Ministerio del Interior y el de Economía.
A principios de 2025, la norma española que transpone NIS2 todavía no ha sido publicada en el Boletín Oficial del Estado (BOE), aunque se espera que esto ocurra a lo largo del año. Este retraso tiene dos lecturas: técnicamente España incumple la Directiva europea, pero al mismo tiempo las empresas españolas aún no disponen de una normativa nacional definitiva que aplicar. Una situación incómoda para todos, a decir verdad.
¿Cuál es el calendario real de obligaciones?
Aquí es donde la confusión se disipa. Aunque la transposición NIS2 en España no esté formalizada en el BOE, el calendario de obligaciones para las empresas es bastante claro:
- 17 de octubre de 2024: Fecha en que la Directiva NIS2 comenzó a ser vinculante a nivel europeo. También era el plazo límite de transposición para los Estados miembros, ya vencido.
- 17 de octubre de 2025: El plazo clave para las empresas. A partir de esta fecha, los operadores de servicios esenciales (OSE) y los proveedores de servicios digitales críticos (PSDC) deben cumplir con todos los requisitos de NIS2.
Dicho de otro modo: aunque la norma nacional aún no esté en el BOE, las empresas afectadas tienen hasta octubre de 2025 para estar en regla. Ese margen existe, pero se consume rápido.
Plazos clave por fase de implementación
| Hito | Fecha estimada | Qué significa para tu empresa |
|---|---|---|
| Publicación en el BOE | Q2/Q3 2025 | Comienza la vigencia legal formal en España |
| Entrada en vigor práctica | 17 de octubre de 2025 | Las empresas obligadas deben cumplir todos los requisitos |
| Auditorías y controles | A partir de 2026 | Las autoridades competentes verificarán el cumplimiento |
| Sanciones aplicables | A partir de 2026 | Multas por incumplimiento efectivo |
¿A quién afectan los plazos NIS2 en España?
No todas las PYMEs están obligadas. La directiva se aplica a:
Operadores de Servicios Esenciales (OSE): Empresas de sectores críticos como energía, transporte, agua, salud, infraestructuras digitales y administración pública. Si tu PYME opera en alguno de estos sectores y supera ciertos umbrales de tamaño, estás dentro del ámbito de aplicación.
Proveedores de Servicios Digitales Críticos (PSDC): Empresas que ofrecen servicios en la nube, gestión de datos, ciberseguridad, búsqueda web o redes sociales. Aquí entran plataformas grandes, pero también algunos proveedores medianos especializados.
Microempresas: Las que tienen menos de 10 empleados o facturación inferior a 2 millones de euros están exentas de la mayoría de requisitos, aunque no de todos.
La mejor forma de confirmar si tu empresa está obligada es consultar las guías de INCIBE (Instituto Nacional de Ciberseguridad), autoridad competente en España para estas materias, que ofrece recursos gratuitos y actualizados en su web.
Qué hacer mientras esperas la publicación en el BOE
Que la norma aún no esté publicada no es excusa para esperar. Al contrario: en mi experiencia, las empresas que aprovechan este periodo para hacer los deberes llegan a la fecha límite sin prisas ni sobrecostes de última hora. Estas son las acciones concretas:
Realizar un diagnóstico de ciberseguridad: Evalúa tu situación actual. ¿Tienes un responsable de seguridad designado? ¿Cuentas con un plan de respuesta ante incidentes? INCIBE ofrece herramientas de autoevaluación gratuitas en su web.
Identificar qué requisitos aplican a tu empresa: No es lo mismo ser un OSE que un PSDC. Revisa la clasificación que corresponde a tu sector y tamaño antes de ponerte a documentar nada.
Comenzar la documentación: NIS2 exige un nivel de documentación considerable. Empieza a compilar políticas de seguridad, registros de activos y análisis de riesgos cuanto antes.
Formar al equipo directivo y técnico: NIS2 no es solo un problema de IT; es una cuestión de gobernanza empresarial. Tu equipo debe entender qué implica la directiva y por qué afecta a la toma de decisiones.
Designar un responsable de ciberseguridad: Si tu empresa supera los 50 empleados, deberás designar a alguien con responsabilidades explícitas en esta materia.
Recursos oficiales gratuitos para PYMEs españolas
INCIBE es el punto de partida más útil para cualquier empresa que quiera entender sus obligaciones bajo NIS2. Lo que más valoro de su oferta es precisamente que está pensada para empresas sin grandes departamentos de IT. La institución ofrece:
- Guías de transposición de NIS2: Documentos prácticos que explican cómo aplicar la directiva según el tipo de empresa.
- Herramientas de autoevaluación: Para identificar brechas de seguridad y priorizar mejoras.
- Asesoramiento gratuito: Consultas específicas para empresas que necesitan orientación inicial.
- Webinarios y formación: Sesiones periódicas sobre ciberseguridad y cumplimiento normativo.
Todo está disponible en www.incibe.es sin coste. No hace falta contratar una consultoría externa desde el primer día; estos recursos permiten hacer una evaluación inicial sólida antes de decidir si necesitas apoyo especializado.
Preguntas frecuentes sobre plazos NIS2 en España
¿Plazos NIS2 en España? Estado de la transposición de NIS2 al derecho español, plazos oficiales y qué hacer mientras la ley se aprueba en el BOE.
¿Cuándo entra en vigor NIS2 en España? La transposición al derecho español está pendiente de aprobación en el BOE. Se espera en 2025-2026. Las empresas deben prepararse ya.
¿Qué pasa si mi empresa no cumple NIS2? Las sanciones pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales.
¿Necesito una consultora para cumplir NIS2? Depende del tamaño y madurez de tu empresa. PYMEs pequeñas pueden empezar con las guías de INCIBE. Las medianas suelen necesitar apoyo externo.
¿Mi PYME de 8 empleados está obligada? Depende del sector. Si operas como OSE, sí estás obligado aunque sea con requisitos simplificados. Si eres una PYME de servicios generales sin vinculación a sectores críticos, probablemente no, aunque mejorar tu seguridad sigue siendo recomendable.
¿Puedo delegar el cumplimiento de NIS2 a un proveedor externo? Puedes contratar servicios de seguridad gestionada, pero la responsabilidad de cumplimiento sigue siendo tuya. Necesitas supervisar y verificar que tu proveedor cumple con los estándares exigidos.
¿Hay ayudas o subvenciones para cumplir con NIS2? Algunos gobiernos autonómicos y el CDTI ofrecen líneas de financiación para mejoras de ciberseguridad. Consulta con tu cámara de comercio o directamente con INCIBE para conocer las opciones disponibles en tu comunidad.
Actúa ahora, no cuando sea obligatorio
Los plazos apuntan a octubre de 2025 como fecha límite de cumplimiento efectivo, con la publicación en el BOE prevista para este año y los controles formales a partir de 2026. El margen existe, pero se reduce cada mes que pasa sin tomar medidas.
No esperes a que se publique la norma para comenzar. Accede a los recursos gratuitos de INCIBE, evalúa dónde está tu empresa hoy e identifica qué cambios necesitas implementar. Y aunque no seas un OSE o PSDC, reforzar tu seguridad informática es una inversión que protege tu negocio frente a amenazas reales, no solo frente a inspecciones.
Cumplir con NIS2 no es únicamente una obligación legal: es una oportunidad para construir una infraestructura de seguridad más robusta que beneficiará a tu empresa a largo plazo. Empieza hoy mismo visitando INCIBE y descargando las guías disponibles.
Preguntas frecuentes
- ¿Plazos NIS2 en España?
- Estado de la transposición de NIS2 al derecho español, plazos oficiales y qué hacer mientras la ley se aprueba en el BOE.
- ¿Cuándo entra en vigor NIS2 en España?
- La transposición al derecho español está pendiente de aprobación en el BOE. Se espera en 2025-2026. Las empresas deben prepararse ya.
- ¿Qué pasa si mi empresa no cumple NIS2?
- Las sanciones pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales.
- ¿Necesito una consultora para cumplir NIS2?
- Depende del tamaño y madurez de tu empresa. PYMEs pequeñas pueden empezar con las guías de INCIBE. Las medianas suelen necesitar apoyo externo.