¿Tu PYME Está Obligada por NIS2? Cómo Saberlo
Si diriges una pequeña o mediana empresa en España y últimamente escuchas hablar de NIS2 en reuniones de negocio, es normal preguntarse si realmente te afecta. Determinar si tu empresa está entre las pymes afectadas por NIS2 no es una cuestión de sí o no: depende de tu sector de actividad, del tamaño de la organización y del tipo de servicios que prestas. Esta guía te ayuda a identificar con claridad si tu empresa entra dentro del alcance de NIS2 y qué significa eso en la práctica para tu día a día.
¿Qué es NIS2 y por qué importa para las PYMEs españolas?
La Directiva NIS2 (Network and Information Security Directive 2) es la normativa europea de ciberseguridad que establece requisitos obligatorios para proteger infraestructuras críticas y servicios esenciales en la Unión Europea. En España, esta directiva se traspone a través de la Ley de Ciberseguridad, cuya entrada en vigor se produjo el 19 de octubre de 2024.
Lo que muchos directivos aún no tienen claro es que NIS2 no solo afecta a grandes corporaciones. Muchas pymes afectadas por NIS2 operan en sectores que hasta ahora nadie catalogaba como “críticos”. Ignorar esta obligación puede resultar en sanciones administrativas significativas: en algunos casos, hasta 10 millones de euros o el 2 % de la facturación anual global.
Sectores NIS2 en España: ¿Está el tuyo en la lista?
El alcance de NIS2 se estructura alrededor de sectores considerados de importancia crítica para la sociedad y la economía. Si tu PYME opera en cualquiera de estos ámbitos, es muy probable que esté obligada a cumplir con la normativa. Conocer los sectores NIS2 en España es el primer filtro que debes aplicar.
Los sectores críticos NIS2 de obligado cumplimiento
Energía: Empresas de generación, transmisión y distribución de electricidad, gas natural y calefacción. Esto incluye no solo a grandes operadores, sino también a pequeñas empresas de mantenimiento de infraestructuras energéticas.
Transporte: Ferrocarriles, carreteras, navegación aérea y marítima. Las PYMEs que prestan servicios logísticos o de mantenimiento en estas cadenas pueden estar incluidas.
Servicios bancarios y financieros: Bancos, cajas de ahorros, cooperativas de crédito y empresas de servicios de pago. Incluso gestorías y asesorías financieras pequeñas pueden quedar afectadas.
Infraestructuras digitales: Proveedores de servicios en la nube, operadores de telecomunicaciones y centros de datos. Las PYMEs que ofrecen hosting o servicios de TI están claramente incluidas entre los sectores críticos NIS2.
Suministro de agua y gestión de aguas residuales: Desde grandes operadores hasta pequeñas empresas municipales de distribución.
Salud pública: Hospitales, clínicas, centros de atención primaria y empresas de suministro sanitario. Especialmente relevante para PYMEs proveedoras de sistemas de información sanitaria.
Administración pública: Organismos públicos a nivel estatal, regional y local. Si tu PYME es una empresa pública o realiza funciones administrativas delegadas, es probable que esté incluida.
Alimentación: Fabricantes, distribuidores y minoristas de alimentos a gran escala. Aunque el umbral es más alto, algunas PYMEs del sector pueden estar obligadas.
Manufactura: Industrias químicas, de producción de metales, minería y otras industrias básicas.
Investigación: Instituciones de investigación y desarrollo que manejan datos críticos o de seguridad nacional.
Gestión de residuos: Empresas de recogida, transporte y tratamiento de residuos peligrosos.
Criterios de tamaño: cuándo una empresa mediana queda obligada por NIS2
Además del sector, NIS2 utiliza criterios de tamaño para determinar si una PYME está obligada. Este es, en mi experiencia, el punto donde más confusión se genera: muchas empresas asumen que por ser pequeñas están automáticamente fuera, y no siempre es así.
Umbrales para empresas medianas y grandes
Una empresa mediana bajo NIS2 —o de tamaño superior— es aquella que cumple al menos dos de estos requisitos:
- Más de 250 empleados
- Facturación anual superior a 50 millones de euros
- Balance general superior a 25 millones de euros
Si tu PYME supera estos umbrales y opera en cualquiera de los sectores mencionados, estás obligada por la normativa. Sin excepciones.
Microempresas y pequeñas empresas: excepciones con matices
Las microempresas (menos de 10 empleados) y pequeñas empresas (menos de 50 empleados) tienen un tratamiento especial dentro del alcance de NIS2, pero con matices importantes que no conviene ignorar:
- Si proporcionas servicios críticos dentro de tu sector, la excepción no te aplica.
- Si eres proveedor de servicios digitales esenciales, aunque seas pequeño, estás obligado.
- Si tu actividad es considerada de riesgo crítico por la autoridad nacional competente, la excepción no te protege.
¿Estás obligado o no? Tabla de referencia rápida
| Criterio | Obligado por NIS2 | Posiblemente obligado | Probablemente exento |
|---|---|---|---|
| Sector crítico + más de 250 empleados | ✅ Sí | — | — |
| Sector crítico + entre 50 y 250 empleados | ✅ Sí | — | — |
| Sector crítico + entre 10 y 50 empleados | — | ⚠️ Depende del rol | — |
| Sector crítico + menos de 10 empleados | — | ⚠️ Depende del rol | ⚠️ Posible |
| Sector no crítico + más de 250 empleados | — | ⚠️ Depende | — |
| Sector no crítico + menos de 10 empleados | — | — | ✅ Probablemente |
| Proveedor de servicios digitales esenciales | ✅ Sí | ✅ Sí | ⚠️ Depende |
Proveedores de servicios: un caso especial dentro del alcance NIS2
Un aspecto que genera confusión frecuente es la situación de los proveedores. Si tu PYME suministra servicios a empresas del sector crítico, aunque tú no pertenezcas directamente a ese sector, podrías estar afectado de forma indirecta o directa.
Proveedores de servicios críticos: Si suministras servicios esenciales —mantenimiento de sistemas, hosting, ciberseguridad gestionada— a una empresa obligada por NIS2, debes cumplir con los requisitos de seguridad que esa empresa te traslade contractualmente.
Proveedores de servicios digitales: Las empresas que ofrecen servicios en la nube, correo electrónico empresarial, software de gestión o plataformas digitales están clasificadas como “proveedores de servicios digitales” y tienen obligaciones directas bajo NIS2, con independencia de su tamaño en muchos casos. Lo que más nos sorprende al hacer estos análisis es precisamente esto: este grupo de pymes afectadas por NIS2 suele ser el que recibe la noticia con más incredulidad.
Cómo verificar si tu PYME está obligada: cuatro pasos concretos
El proceso de verificación debe ser metódico y documentado:
Paso 1: Identifica tu sector principal Revisa la lista completa de sectores críticos en la Ley de Ciberseguridad española. Si tu actividad principal encaja en alguno, continúa al siguiente paso.
Paso 2: Calcula tu tamaño real Utiliza los criterios de empleados, facturación y balance. Sé riguroso: el cómputo de empleados incluye a todos, también contratistas y trabajadores temporales.
Paso 3: Determina tu rol específico ¿Eres un operador de importancia crítica (OIC) o un proveedor de servicios digitales (PSD)? Esta distinción cambia significativamente tus obligaciones de cumplimiento.
Paso 4: Consulta con INCIBE El Instituto Nacional de Ciberseguridad (INCIBE) es el organismo oficial de referencia en España para estas cuestiones. Ofrece asesoramiento gratuito a través de su web (www.incibe.es) y dispone de un equipo especializado en NIS2 para empresas de cualquier tamaño.
Obligaciones concretas para PYMEs bajo NIS2
Si has determinado que tu PYME está dentro del alcance, estos son tus compromisos principales en materia de ciberseguridad y cumplimiento normativo:
Medidas de seguridad técnicas y organizativas: Implementar controles proporcionales al riesgo. Para la mayoría de PYMEs, esto significa como mínimo: acceso basado en roles, cifrado de datos sensibles, gestión robusta de contraseñas, copias de seguridad periódicas y formación en ciberseguridad para el equipo.
Notificación de incidentes: Debes reportar incidentes graves a la autoridad competente en un plazo máximo de 24 horas desde su detección.
Auditorías de seguridad: Realizar evaluaciones periódicas de tu postura de ciberseguridad. Las PYMEs pueden comenzar con herramientas de autoevaluación antes de contratar auditorías externas.
Gestión de continuidad: Disponer de planes documentados para mantener las operaciones ante un incidente de ciberseguridad.
Transparencia y documentación: Mantener registros actualizados de tus medidas de seguridad y poder demostrar cumplimiento cuando la autoridad lo solicite.
Recursos gratuitos para PYMEs españolas
INCIBE pone a disposición de las PYMEs varios recursos sin coste que conviene conocer:
- Guías técnicas de NIS2: Documentos descargables con los requisitos específicos según sector y tamaño.
- Herramientas de autoevaluación: Cuestionarios para medir tu nivel de cumplimiento actual.
- Asesoramiento directo: Contacto con especialistas de INCIBE para consultas concretas.
- Webinars y formación: Sesiones gratuitas sobre implementación de medidas de seguridad adaptadas a PYMEs.
Accede a estos recursos en www.incibe.es/empresas/nis2
Preguntas frecuentes sobre NIS2 para PYMEs
¿Tu PYME Está Obligada por NIS2? Cómo Saberlo Descubre si tu empresa está dentro del alcance de NIS2: sectores afectados, umbrales de tamaño y criterios de clasificación.
¿Cuándo entra en vigor NIS2 en España? La transposición al derecho español está pendiente de aprobación en el BOE. Se espera en 2025-2026. Las empresas deben prepararse ya.
¿Qué pasa si mi empresa no cumple NIS2? Las sanciones pueden llegar hasta 10 millones de euros o el 2 % del volumen de negocio global para entidades esenciales.
¿Necesito una consultora para cumplir NIS2? Depende del tamaño y la madurez de tu empresa. PYMEs pequeñas pueden empezar con las guías de INCIBE. Las medianas suelen necesitar apoyo externo.
¿Mi PYME está en un sector crítico pero tiene menos de 10 empleados: qué ocurre? Depende de tu rol exacto. Si eres un operador de importancia crítica, aunque seas pequeño, estás obligado. Si eres proveedor de servicios a una empresa obligada, tienes obligaciones contractuales pero no necesariamente regulatorias directas. Consulta con INCIBE para tu caso específico.
¿Necesito certificaciones ISO para cumplir NIS2? No es obligatorio, pero certificaciones como ISO 27001 demuestran que dispones de medidas serias de ciberseguridad y se utilizan habitualmente como evidencia de cumplimiento ante las autoridades.
Actúa ahora: el tiempo de esperar ya pasó
Si diriges una PYME en España, el primer paso es determinar con precisión si NIS2 te afecta. No es una pregunta de si, sino de cuándo y en qué medida. La normativa ya está en vigor, y las autoridades han comenzado a realizar inspecciones y auditorías en los sectores críticos NIS2.
No necesitas invertir sumas desproporcionadas en ciberseguridad para cumplir. Necesitas ser metódico, documentar tus esfuerzos y mantener un nivel de protección proporcional a tu tamaño y perfil de riesgo. Utiliza los recursos gratuitos de INCIBE, y valora el apoyo de asesores especializados si tu volumen de negocio o exposición al riesgo lo justifican.
Identifica tu obligación, evalúa tu posición actual y comienza a implementar mejoras. Así evitarás sanciones y, más importante, protegerás el negocio que has construido.
Preguntas frecuentes
- ¿¿Tu PYME Está Obligada por NIS2? Cómo Saberlo?
- Descubre si tu empresa está dentro del alcance de NIS2: sectores afectados, umbrales de tamaño y criterios de clasificación.
- ¿Cuándo entra en vigor NIS2 en España?
- La transposición al derecho español está pendiente de aprobación en el BOE. Se espera en 2025-2026. Las empresas deben prepararse ya.
- ¿Qué pasa si mi empresa no cumple NIS2?
- Las sanciones pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales.
- ¿Necesito una consultora para cumplir NIS2?
- Depende del tamaño y madurez de tu empresa. PYMEs pequeñas pueden empezar con las guías de INCIBE. Las medianas suelen necesitar apoyo externo.