Cumplimiento de la directiva NIS2

Deje de adivinar si NIS2 le aplica, obtenga claridad en 5 minutos

Actualizado 2026-06-23
Puntos clave: NIS2 aplica a más de 160.000 entidades de la UE en 18 sectores; esta página explica las reglas de ámbito de aplicación, las excepciones por umbral de tamaño, las obligaciones de la cadena de suministro y cómo gestionar el cumplimiento de todo el grupo.

Más de 160.000 entidades de la UE en 18 sectores se enfrentan ahora a obligaciones obligatorias de ciberseguridad de NIS2. Si su organización opera en la UE, o presta servicio a clientes de la UE, puede que ya esté dentro del ámbito de aplicación sin saberlo.

Obtenga la lista de verificación NIS2 gratuita

PDF gratuito, 2 campos, sin tarjeta de crédito, acceso inmediato

4,8 / 5 Índice de satisfacción del cliente
93% Recomendaría Priverion
Alojamiento suizo Residencia de datos europea
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Por qué el ámbito de aplicación de NIS2 es tan confuso

Tres factores que hacen la aplicabilidad de NIS2 más difícil que la del RGPD

La mayoría de los responsables de cumplimiento con los que hablamos han leído la directiva y aun así no tienen la certeza de si todas sus filiales están dentro del ámbito de aplicación. Esa confusión no es una laguna de conocimiento. Es un problema estructural integrado en el diseño de NIS2.

16x

Ampliación de las entidades cubiertas frente a la directiva NIS original, de unas 10.000 a más de 160.000

Fuente: evaluación de impacto de NIS2 de la Comisión Europea, 2022

La regla del umbral de tamaño tiene excepciones que le pillan por sorpresa

NIS2 suele dirigirse a organizaciones con más de 50 empleados o más de 10 millones de euros de facturación en 18 sectores. Bastante sencillo, hasta que descubre que los proveedores de DNS, los registros de TLD, los proveedores de servicios de confianza y los proveedores únicos de servicios esenciales están dentro del ámbito de aplicación con independencia de su tamaño. Una filial de 15 personas que gestione el DNS de su grupo podría arrastrar a toda la organización a obligaciones de cumplimiento que nadie había previsto.

27

Estados miembros de la UE transponiendo NIS2 a su legislación nacional, cada uno con posibles variaciones en el ámbito de aplicación y la ejecución

Directiva NIS2 (UE) 2022/2555, artículo 41, plazo de transposición nacional octubre de 2024

La transposición nacional crea un mosaico de requisitos

La NIS2UmsuCG de Alemania introduce categorías de entidades adicionales más allá de la directiva. Bélgica, los Países Bajos y Francia tienen cada uno sus propios matices de ejecución. Si su grupo opera en varias jurisdicciones de la UE, que es exactamente a quien sirve Priverion, no está gestionando una sola norma. Está gestionando una matriz de interpretaciones nacionales, cada una con distintas autoridades de control, plazos de notificación y estructuras de sanciones.

10 mill. €

Multa máxima para las entidades esenciales, o el 2% de la facturación anual global, la cifra que sea mayor

Directiva NIS2 (UE) 2022/2555, artículo 34(4) y 34(5)

Las obligaciones de la cadena de suministro amplían el ámbito de aplicación a empresas que se creen exentas

El artículo 21(2)(d) exige a las entidades dentro del ámbito de aplicación que aborden la seguridad de la cadena de suministro, lo que significa que impondrán requisitos alineados con NIS2 a sus proveedores a través de los contratos. Aunque su organización no alcance el umbral de tamaño ni opere en un sector listado, sus clientes pueden arrastrarle al cumplimiento. Los proveedores de servicios de TI, los proveedores de nube y los proveedores de procesos externalizados están especialmente expuestos. Y la dirección puede ser considerada personalmente responsable del incumplimiento, este no es un riesgo abstracto.

¿No está seguro de si su organización, y sus filiales, están dentro del ámbito de aplicación de NIS2?

Obtenga la lista de verificación NIS2 gratuita

200+

Horas ahorradas en la gestión del registro de tratamientos

Una empresa de tecnología médica reorientó más de 200 horas de la documentación manual del registro de tratamientos hacia la preparación de la ISO 27001 durante su primer año con Priverion

60%

Coste total menor frente a las plataformas heredadas

Basado en los precios publicados por usuario y por módulo de las plataformas de privacidad empresariales comparados con el modelo por empresa de Priverion para una organización de 10 entidades y 500 usuarios

3 meses

Antes de lo previsto en la certificación ISO 27001

Una empresa de tecnología médica aceleró su preparación para la ISO 27001 en tres meses usando los paquetes de evidencias listos para auditoría y la documentación automatizada de Priverion

Lo que dicen nuestros clientes

La eligen equipos de cumplimiento de toda Europa

Los responsables de privacidad y cumplimiento de organizaciones multientidad confían en Priverion para operativizar el cumplimiento de NIS2 y del RGPD.

«Necesitábamos mapear la aplicabilidad de NIS2 en 12 filiales de 5 jurisdicciones de la UE. Priverion nos dio un único panel que sustituyó un laberinto de hojas de cálculo. Alcanzamos la plena preparación para el cumplimiento de NIS2 en todas las entidades en 8 semanas.»

Director de cumplimiento de TI en un grupo industrial

Resultado: cumplimiento de NIS2 en 12 filiales en 8 semanas

Basado en una entrevista con el cliente, primer trimestre de 2025

«Priverion redujo nuestro tiempo de administración del cumplimiento en un 60% en los primeros seis meses. La recertificación automatizada del registro de tratamientos por sí sola nos ahorró tener que contratar a una persona más a tiempo completo. El alojamiento suizo fue un factor decisivo para nuestro consejo.»

Delegada de protección de datos en un fabricante de aeronaves

Resultado: un 60% menos de tiempo de administración del cumplimiento en 6 meses

Basado en un caso de cliente, cuarto trimestre de 2024

«Reorientamos más de 200 horas de la documentación manual hacia la preparación de la ISO 27001. Los paquetes de evidencias de Priverion hicieron que nuestra auditoría de certificación fuera notablemente fluida, íbamos tres meses por delante de nuestro calendario original.»

Director ejecutivo en una empresa de tecnología médica

Resultado: más de 200 horas ahorradas, certificación ISO 27001 3 meses antes

Basado en un caso de cliente, primer trimestre de 2025

Priverion frente a OneTrust

Por qué los equipos de privacidad del mercado medio están dando el paso

OneTrust atiende a organizaciones de la lista Fortune 500 con un alcance GRC más amplio y equipos de privacidad dedicados. Priverion se creó para organizaciones que necesitan un cumplimiento de nivel empresarial sin la sobrecarga empresarial.

Lo que obtiene con OneTrust

Precios por módulo y por usuario

Los costes se disparan con cada nuevo usuario, módulo y filial. Las solicitudes de presupuesto se convierten en un ritual trimestral.

Con sede en EE. UU., procesamiento global de datos

En un panorama posterior a Schrems II, el procesamiento con base en EE. UU. genera una exposición legal en las transferencias de datos europeos sobre la que su contrato de encargo le preguntará.

Pensado para la Fortune 500

Conjuntos de funciones extensos que incluyen ESG, líneas éticas y consentimiento de cookies implican una incorporación más larga, curvas de aprendizaje más pronunciadas y pagar por capacidades que nunca usará.

Más de 200 integraciones, la mayoría superficiales

Una larga lista de conectores suena impresionante hasta que se da cuenta de que la mayoría requieren configuración personalizada y mantenimiento continuo.

Meses para implantarlo

Ciclos de venta empresarial y plazos de implementación medidos en trimestres, no en semanas.

Lo que obtiene con Priverion

Precios predecibles, sin trampas de expansión

Con precios según el número de empresas y el tamaño organizativo, no por usuario ni por módulo. Añada miembros al equipo sin renegociar su contrato.

Creada en Suiza, alojada en Suiza, residencia de datos europea

Todo el tratamiento de datos permanece dentro de la infraestructura suiza. No es una casilla de marketing, es un requisito legal para las transferencias transfronterizas de datos en un mundo posterior a Schrems II.

Concebida específicamente para la privacidad de todo el grupo

Registro de tratamientos, EIPD, riesgo de proveedores, solicitudes de interesados, gestión de incidentes y mapeo de datos entre entidades en una sola plataforma. No hacemos ESG ni consentimiento de cookies, hacemos la gestión de la privacidad excepcionalmente bien.

Integraciones profundas donde importan

Sistemas de RR. HH., compras y gestión de activos de TI, los flujos de trabajo que realmente impulsan el cumplimiento de la privacidad. Conectores profundos que funcionan de forma fiable, no 200 superficiales que no lo hacen.

Operativa en semanas, no en meses

Un fabricante aeronáutico recortó el tiempo de administración del cumplimiento en un 60% en sus primeros 6 meses. Una empresa de tecnología médica ahorró más de 200 horas en la preparación de la ISO 27001. El tiempo hasta obtener valor se mide en semanas.

Fabricante aeronáutico, primeros 6 meses tras la implementación | Empresa de tecnología médica, preparación de la ISO 27001

Cambiar no tiene por qué ser doloroso. La mayoría de los equipos migran por completo en cuestión de semanas.

Obtenga la lista de verificación NIS2 gratuita
Sectores de NIS2

Los 18 sectores cubiertos por NIS2, y por qué la clasificación importa

NIS2 divide las entidades dentro del ámbito de aplicación en dos categorías con obligaciones y regímenes sancionadores distintos. Saber dónde encajan su organización y sus filiales es el primer paso hacia una estrategia de cumplimiento específica.

Sectores de alta criticidad (anexo I), «entidades esenciales»

Sujetos a supervisión proactiva por parte de las autoridades competentes. Multas máximas de 10 mill. € o el 2% de la facturación global. Requisitos de alerta temprana en 24 horas y de notificación del incidente en 72 horas.

  • Energía (electricidad, petróleo, gas, hidrógeno, calefacción urbana)
  • Transporte (aéreo, ferroviario, marítimo, por carretera)
  • Banca
  • Infraestructuras de los mercados financieros
  • Salud (hospitales, laboratorios, farmacéuticas, productos sanitarios)
  • Agua potable
  • Aguas residuales
  • Infraestructura digital (DNS, TLD, nube, centros de datos, CDN, servicios de confianza)
  • Gestión de servicios TIC (B2B, proveedores de servicios gestionados y de seguridad)
  • Administración pública (administración central)
  • Espacio

Otros sectores críticos (anexo II), «entidades importantes»

Sujetos a supervisión reactiva (ex post). Multas máximas de 7 mill. € o el 1,4% de la facturación global. Se aplican los mismos plazos de notificación de incidentes.

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Productos químicos (fabricación, producción, distribución)
  • Alimentación (producción, transformación, distribución)
  • Fabricación (productos sanitarios, electrónica, maquinaria, vehículos de motor)
  • Proveedores digitales (mercados en línea, motores de búsqueda, redes sociales)
  • Organizaciones de investigación

¿Opera en varios sectores o jurisdicciones? Para eso es exactamente para lo que se creó Priverion.

Obtenga la lista de verificación NIS2 gratuita

Recurso gratuito de NIS2

Averigüe en 5 minutos si su organización está sujeta a NIS2

Una lista de verificación estructurada de 2 páginas que cubre la regla del umbral de tamaño, los 18 sectores, los detonantes de la cadena de suministro y las excepciones de transposición nacional. Usada por más de 2.400 profesionales de cumplimiento desde su lanzamiento.

2.400+

Listas de verificación descargadas desde el tercer trimestre de 2024

5 min

Tiempo medio para completar la evaluación

18

Sectores cubiertos con orientación específica

Obtenga la lista de verificación NIS2 gratuita

PDF gratuito. 2 campos. Acceso inmediato, sin necesidad de llamada de ventas.

Recurso gratuito

Descargue la lista de verificación de aplicabilidad de NIS2

Un PDF estructurado de 2 páginas que le guía por la regla del umbral de tamaño, la clasificación sectorial y las excepciones de transposición nacional, para que sepa exactamente dónde se sitúa cada entidad de su grupo.

Sus datos se tratan en Suiza conforme a la ley suiza de protección de datos. Le enviaremos la lista de verificación y podremos hacer un seguimiento una vez, sin spam, sin campañas automatizadas. Política de privacidad

Obtenga la lista de verificación NIS2 gratuita

PDF gratuito, acceso inmediato

Acerca de esta página: referencias, definiciones y preguntas frecuentes

Puntos clave: ámbito de aplicación del cumplimiento de la directiva NIS2

La directiva NIS2 (UE) 2022/2555 amplía las obligaciones de ciberseguridad de la UE a más de 160.000 entidades en 18 sectores críticos de los 27 Estados miembros. Las organizaciones con más de 50 empleados o más de 10 millones de euros de facturación anual en los sectores listados deben cumplirla, aunque se aplican excepciones por umbral de tamaño a los proveedores de DNS, los registros de TLD y los proveedores de servicios de confianza. Las obligaciones de la cadena de suministro del artículo 21(2)(d) extienden los requisitos de cumplimiento a proveedores y prestadores de servicios que, de otro modo, podrían quedar fuera del ámbito de aplicación. La transposición nacional crea un mosaico de requisitos, lo que hace que el cumplimiento de todo el grupo sea especialmente complejo para las organizaciones multientidad.

Definiciones

¿Qué es la directiva NIS2?

Directiva NIS2 (Directiva (UE) 2022/2555) es el marco actualizado de la Unión Europea para alcanzar un elevado nivel común de ciberseguridad en todos los Estados miembros. Sustituye a la directiva NIS original (2016/1148) y amplía significativamente el ámbito de aplicación, armoniza las sanciones e introduce la responsabilidad de la dirección. El texto completo está disponible en EUR-Lex — Directiva (UE) 2022/2555.

¿Qué es una entidad esencial conforme a NIS2?

Entidad esencial hace referencia a las organizaciones de 11 sectores de alta criticidad (energía, transporte, banca, infraestructuras de los mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio) que alcanzan el umbral de tamaño. Las entidades esenciales se enfrentan a regímenes de supervisión más estrictos y a sanciones más elevadas: hasta 10 millones de euros o el 2% de la facturación anual global. Fuente: directiva NIS2, artículo 3 y anexo I.

¿Qué es una entidad importante conforme a NIS2?

Entidad importante abarca las organizaciones de 7 sectores adicionales (servicios postales, gestión de residuos, productos químicos, producción de alimentos, fabricación, proveedores digitales e investigación) que alcanzan el umbral de tamaño. Las entidades importantes se enfrentan a sanciones de hasta 7 millones de euros o el 1,4% de la facturación anual global. Fuente: directiva NIS2, artículo 3 y anexo II.

¿Qué es la regla del umbral de tamaño?

Regla del umbral de tamaño es el umbral general que sitúa a las organizaciones dentro del ámbito de aplicación de NIS2: 50 o más empleados, o una facturación o balance anual superior a 10 millones de euros. No obstante, ciertos tipos de entidades —los proveedores de DNS, los registros de nombres de TLD, los proveedores cualificados de servicios de confianza y los proveedores únicos de servicios esenciales— están dentro del ámbito de aplicación con independencia de su tamaño. Fuente: directiva NIS2, artículo 2.

Preguntas frecuentes

¿Quién debe cumplir la directiva NIS2?

NIS2 se aplica a las organizaciones medianas y grandes (más de 50 empleados o más de 10 mill. € de facturación) que operan en 18 sectores críticos de los 27 Estados miembros de la UE. Ciertas entidades, como los proveedores de DNS, los registros de TLD y los proveedores de servicios de confianza, deben cumplirla con independencia de su tamaño. Según la evaluación de impacto de NIS2 de la Comisión Europea, se estima que más de 160.000 entidades quedan dentro del ámbito de aplicación, un aumento de 16 veces respecto a la directiva NIS original.

¿Cuáles son las sanciones por el incumplimiento de NIS2?

Las entidades esenciales se enfrentan a multas administrativas de hasta 10 millones de euros o el 2% de la facturación anual global, la cifra que sea mayor. Las entidades importantes se enfrentan a multas de hasta 7 millones de euros o el 1,4% de la facturación anual global. De forma crucial, el artículo 20 de la directiva introduce la responsabilidad personal de la dirección que no apruebe y supervise las medidas de gestión de riesgos de ciberseguridad. Fuente: directiva NIS2, artículos 34(4), 34(5) y 20.

¿Qué 18 sectores cubre NIS2?

NIS2 cubre 11 sectores esenciales (energía, transporte, banca, infraestructuras de los mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública, espacio) y 7 sectores importantes (servicios postales y de mensajería, gestión de residuos, fabricación/producción/distribución de productos químicos, producción/transformación/distribución de alimentos, fabricación, proveedores digitales, investigación). Las listas completas de sectores se definen en los anexos I y II de la Directiva (UE) 2022/2555.

¿Se aplica NIS2 a empresas fuera de la UE?

Sí. Las empresas no pertenecientes a la UE que prestan servicios dentro de la UE en sectores cubiertos pueden quedar dentro del ámbito de aplicación de NIS2. Además, el artículo 21(2)(d) exige a las entidades dentro del ámbito de aplicación que impongan requisitos de seguridad de la cadena de suministro a sus proveedores mediante obligaciones contractuales, lo que extiende de hecho los requisitos de cumplimiento a proveedores y prestadores de servicios no pertenecientes a la UE. La orientación de ENISA sobre la aplicación de NIS2 confirma este alcance extraterritorial. Fuente: ENISA — página temática de la directiva NIS.

¿En qué se diferencia NIS2 de la directiva NIS original?

NIS2 amplía drásticamente el ámbito de aplicación de aproximadamente 10.000 entidades conforme a NIS1 a más de 160.000 entidades. Entre las diferencias clave se incluyen: 7 sectores nuevos añadidos, un marco sancionador armonizado en todos los Estados miembros, una alerta temprana obligatoria en 24 horas para los incidentes significativos (antes no estandarizada), requisitos explícitos de gestión del riesgo de la cadena de suministro conforme al artículo 21(2)(d) y la responsabilidad personal de la dirección conforme al artículo 20. Fuente: Directiva (UE) 2022/2555.

¿Cuál es el calendario de notificación de incidentes de NIS2?

NIS2 establece un proceso de notificación de incidentes en tres etapas definido en el artículo 23: (1) una alerta temprana en un plazo de 24 horas desde que se tiene conocimiento de un incidente significativo, (2) una notificación del incidente en un plazo de 72 horas con una evaluación inicial de la gravedad y el impacto, y (3) un informe final en el plazo de un mes que detalle el análisis de la causa raíz, el impacto transfronterizo y las medidas de remediación adoptadas. Fuente: directiva NIS2, artículo 23.

¿Cómo afecta la transposición nacional al cumplimiento de NIS2?

Cada uno de los 27 Estados miembros de la UE debe transponer NIS2 a su legislación nacional, lo que puede introducir variaciones en el ámbito de aplicación, los mecanismos de ejecución y las estructuras de las autoridades de control. Por ejemplo, la NIS2UmsuCG de Alemania introduce categorías de entidades adicionales más allá de la base de referencia de la directiva. Las organizaciones que operan en varias jurisdicciones deben hacer seguimiento del estado de transposición de cada país y de cualquier requisito nacional adicional. El plazo de transposición original era el 17 de octubre de 2024, aunque varios Estados miembros han sufrido retrasos. Fuente: directiva NIS2, artículo 41.

¿Pueden las obligaciones de la cadena de suministro arrastrar a empresas exentas al ámbito de aplicación de NIS2?

Sí. El artículo 21(2)(d) de NIS2 exige a las entidades dentro del ámbito de aplicación que aborden la seguridad de la cadena de suministro, lo que significa que impondrán requisitos de ciberseguridad alineados con NIS2 a sus proveedores mediante cláusulas contractuales. Incluso las organizaciones que no alcanzan el umbral de tamaño ni operan en un sector listado pueden ser arrastradas a un cumplimiento de facto por sus clientes. Los proveedores de servicios de TI, los proveedores de nube, los proveedores de servicios de seguridad gestionados y los proveedores de procesos externalizados están especialmente expuestos a estas obligaciones en cascada.

Estadísticas y contexto de NIS2

Según la evaluación de impacto de NIS2 de la Comisión Europea (2022), la directiva amplía la cobertura de aproximadamente 10.000 entidades conforme a la directiva NIS original a más de 160.000 entidades, un aumento de 16 veces. La directiva cubre 18 sectores en los 27 Estados miembros de la UE. Las entidades esenciales se enfrentan a multas máximas de 10 millones de euros o el 2% de la facturación anual global, mientras que las entidades importantes se enfrentan a multas de hasta 7 millones de euros o el 1,4% de la facturación global. El informe de panorama de amenazas de 2023 de ENISA señaló que los sectores sanitario y energético experimentaron el mayor volumen de incidentes cibernéticos entre los sectores cubiertos por NIS, lo que subraya la justificación del ámbito de aplicación ampliado de NIS2. Fuente: ENISA Threat Landscape 2023.

Entidades esenciales frente a importantes de NIS2: comparación

CriterioEntidades esencialesEntidades importantes
Sectores11 sectores (anexo I): energía, transporte, banca, salud, agua, infraestructura digital, gestión TIC, administración pública, espacio, mercados financieros, aguas residuales7 sectores (anexo II): postal, residuos, productos químicos, alimentación, fabricación, proveedores digitales, investigación
Multa máxima10 mill. € o el 2% de la facturación anual global7 mill. € o el 1,4% de la facturación anual global
Régimen de supervisiónEx ante: auditorías e inspecciones proactivas por parte de las autoridadesEx post: supervisión activada por indicios de incumplimiento
Notificación de incidentesAlerta temprana en 24 h, notificación en 72 h, informe final en 1 mesAlerta temprana en 24 h, notificación en 72 h, informe final en 1 mes
Responsabilidad de la direcciónSí — responsabilidad personal conforme al artículo 20Sí — responsabilidad personal conforme al artículo 20
Umbral de tamañoMás de 50 empleados o más de 10 mill. € de facturación (con excepciones)Más de 50 empleados o más de 10 mill. € de facturación