Susana López Blanco La Directiva NIS2 —que España debe transponer antes de octubre 2025— amplía drásticamente el espectro de empresas obligadas a asegurar sus sistemas críticos. Ya no se limita a “infraestructuras esenciales”: cualquier pyme que facture más de 10 M € o tenga más de 50 empleados en sectores como TIC, logística o sanidad entra en el radar. Las sanciones llegan a 10 M € o el 2 % de la facturación global. Según ENISA, un 71 % de pymes europeas aún desconoce si les aplica. Con este checklist de tres pasos verás en menos de diez minutos si tu compañía figura en la lista y qué documentación básica debes preparar para pasar la inspección.
Tal vez te interese: Qué es NIS2
Índice de contenidos
¿Por qué la NIS2 podría sancionarte si no estás atento?
¿Crees que la normativa solo afecta a “los grandes”? Piensa otra vez: la nueva redacción introduce el umbral de 50 empleados o 10 M € en ventas y añade sectores como “proveedores de servicios digitales” —exactamente donde operan muchas startups. Si no mides tu tamaño y tu vertical, podrías recibir un requerimiento sorpresa. Revisa primero los criterios oficiales y cruza tu CNAE con la lista de sectores críticos publicada por la UE.
Checklist rápido en 3 pasos
No hace falta empollarse la directiva completa para saber si estás dentro. Sigue esta mini-ruta y lo averiguarás antes de que termine el café:
- Mide tu umbral: ¿superas 50 empleados o 10 M € de facturación? (si no, podrías quedar fuera salvo sector muy crítico).
- Identifica tu sector: telecom, logística, salud, agua, energía o “servicios digitales esenciales” implican entrada automática.
- Comprueba obligaciones extra: políticas de ciberseguridad, notificación de incidentes en 24 h y nombrar responsable de seguridad.
Tabla de sectores y umbrales NIS2
Localiza tu vertical en la tabla y tendrás el veredicto de un vistazo:
| Sector | Umbral | Obligación |
|---|---|---|
| Servicios digitales (SaaS, IaaS) | 50 empleados o 10 M € | Cumple NIS2 |
| Logística y transporte | 50 empleados o 10 M € | Cumple NIS2 |
| Manufactura química | 50 empleados o 10 M € | Cumple NIS2 |
| Comercio minorista online | No alcanza umbral | No aplica (salvo > 10 M €) |
Preguntas frecuentes sobre NIS2
Estás son las dudas que más he observado en formaciones y foros de debate de IEBS por parte de las empresas, espero que te sean útiles:
¿Qué ocurre si no cumplo NIS2?
La autoridad nacional puede imponer hasta 10 M € o el 2 % del volumen global, además de publicar la infracción.
¿Debo nombrar un CISO externo?
No es obligatorio llamarlo “CISO”, pero sí designar un responsable de seguridad con autoridad para informar al consejo.
¿Quieres profundizar? Máster en Ciberseguridad & Compliance – IEBS
Consulta la base legal completa en nuestro artículo ¿Qué es la NIS2? y refuerza tu estrategia revisando Ciberseguridad para pymes.