Ley de ciberseguridad para pymes: NIS2 en España.

La nueva Ley de Coordinación y Gobernanza de la Ciberseguridad transpone la Directiva Europea NIS2 e impone importantes obligaciones a miles de empresas en España. Especialmente a pymes que operan en sectores esenciales o críticos. En este artículo explicamos qué exige esta normativa, qué empresas están obligadas a cumplirla y qué pueden hacer para adaptarse. Es lo que popularmente se conoce como Ley Ciberseguridad NIS2.

¿Qué es la Directiva NIS2 y por qué es relevante?

La Directiva Network and Information Security 2 (NIS2), publicada por la UE en 2022, actualiza y amplía el alcance de la anterior directiva NIS de 2016. Su objetivo principal es establecer un marco común de ciberseguridad para todos los Estados miembros, reforzando la capacidad de prevención, detección y respuesta ante incidentes de seguridad en entidades públicas y privadas.

Nueva Ley de Gobernanza y Coordinación de la Ciberseguridad en España

El anteproyecto de ley aprobado en enero de 2025 transpone la Directiva NIS2 e introduce importantes novedades:

Refuerza la estructura nacional de ciberseguridad con entidades como INCIBE, CCN-CERT y el nuevo Centro Nacional de Ciberseguridad.
Establece un modelo de gobernanza compartida entre la Administración General del Estado y las comunidades autónomas.
Define mecanismos de cooperación, notificación de incidentes y supervisión.

Puedes ver el texto del anteproyecto o descargarlo aquí.

¿A qué empresas afecta la nueva Ley de Ciberseguridad NIS2?

Están obligadas a cumplir esta ley las empresas que:

Tengan su residencia fiscal en España.
Tengan más de 50 empleados o un volumen de negocio superior a 10M€.
Operen en sectores críticos o de alta criticidad.

Sectores de alta criticidad: energía, transporte, salud, agua, servicios digitales, banca, infraestructuras digitales, administración, aeroespacial, alimentación, productos químicos y aguas residuales.

Sectores críticos adicionales: servicios postales, gestión de residuos, industrias manufactureras concretas, proveedores TIC y centros de datos.

¿Todas las empresas tienen las mismas obligaciones?
No. La normativa distingue entre entidades esenciales y entidades importantes, aplicando un régimen de supervisión más estricto a las primeras. No obstante, ambas deben cumplir con medidas de gestión de riesgos, notificación de incidentes, formación y supervisión.

Ejemplos de empresas que deben cumplir con la Ley de Ciberseguridad (NIS2)

Algunos ejemplos de tipos de empresas obligadas a observar y cumplir la Ley de Ciberseguridad (NIS2), teniendo en cuenta siempre los siguientes criterios comunes:

Los umbrales de tamaño (≥50 empleados o volumen de negocio anual >10M€).
La criticidad o relevancia de sus servicios (p. ej. servicio único en la región, gran impacto social o económico, etc.).

🔌 Sector Energía

Empresas que gestionan la red de distribución eléctrica (e.g. pequeñas distribuidoras locales).
Comercializadoras de electricidad.
Productores de energía renovable con cierta dimensión empresarial.

✈️ Sector Transporte

Compañías de transporte aéreo regional o de mercancías.
Empresas de transporte ferroviario privado o de mercancías.
Navieras que operen rutas regulares en cabotaje o puertos locales.

💧 Sector Agua

Empresas privadas o mixtas que gestionen el ciclo integral del agua (captación, depuración, distribución).

🏥 Sector Salud

Clínicas privadas con servicios hospitalarios o especializados.
Empresas que fabrican productos sanitarios o de diagnóstico in vitro.

💻 Servicios Digitales

Empresas que operen plataformas de comercio electrónico.
Proveedores de almacenamiento en la nube o hosting web.

🏭 Fabricación crítica

Fábricas de componentes electrónicos o sensores industriales.
Empresas que producen maquinaria, vehículos o materiales para sectores estratégicos.

🍽 Industria Alimentaria

Empresas que producen y distribuyen alimentos a gran escala (por ejemplo, empresas hortofrutícolas o agroalimentarias con más de 50 empleados o facturación >10M€).
Empresas de transformación de alimentos (ej. fábricas de conservas, embutidos, congelados).

🧪 Industria Química

Empresas que elaboran o distribuyen sustancias o mezclas químicas (pinturas, fertilizantes, detergentes industriales).

🚛 Servicios postales o de mensajería

Empresas de mensajería urgente a nivel provincial o nacional que operen con infraestructura propia.

🖥 Proveedores TIC

Proveedores de servicios de ciberseguridad gestionados (antivirus, firewalls, SOC).
Empresas que gestionen centros de datos.

🕵️ Seguridad privada

Empresas de seguridad con control de accesos digitales.

Principales obligaciones para las pymes según Ley Ciberseguridad NIS2

Disponer de un sistema de gestión de la ciberseguridad.
Elaborar políticas de prevención, detección y respuesta.
Notificar incidentes de seguridad graves.
Designar responsables de la seguridad de la información.
Implantar medidas técnicas y organizativas proporcionales a los riesgos.
Revisar la seguridad de proveedores y subcontratistas.
Garantizar formación y concienciación del personal.

¿Cómo deben demostrar las empresas que cumplen con NIS2?

Realizando auditorías periódicas.
Documentando las medidas de seguridad aplicadas.
Conservando registros de incidentes y actuaciones.
Colaborando con autoridades nacionales y CSIRT.

¿Qué funciones asume el responsable de seguridad de la información?

Coordinar la estrategia de ciberseguridad.
Supervisar la aplicación de las medidas.
Garantizar la formación del personal.
Actuar como punto de contacto con las autoridades.

¿Cómo se notifican los incidentes de seguridad?

Plazo de notificación: máximo 24 horas desde la detección.
La notificación debe enviarse al CSIRT o INCIBE-CERT correspondiente.
Debe incluir información técnica, impacto y medidas adoptadas.

¿Cómo se supervisa el cumplimiento de la Ley?

Las autoridades competentes podrán realizar inspecciones.
Se podrán solicitar informes, auditorías y evidencias documentales.
Se exige cooperación activa por parte de las empresas.

Sanciones por incumplimiento

Hasta 10 millones de euros o el 2% del volumen de negocio global anual.
Inhabilitación temporal para prestar servicios públicos en casos graves.
Reputación digital en riesgo: publicación pública de sanciones.

¿Cómo puede ayudar Auditta a tu empresa?

La Ley Ciberseguridad NIS2 plantea un nuevo escenario de obligaciones para pymes y grandes empresas.

En Auditta contamos con una sólida trayectoria asesorando en ciberseguridad a empresas de diversos sectores, especialmente en las provincias de Murcia, Almería y otras zonas cercanas del sureste español.

En Auditta evaluamos si tu empresa está afectada por esta nueva normativa y diseñamos un plan de adaptación realista y eficaz:

Diagnóstico de aplicabilidad.
Análisis inicial de riesgos y obligaciones legales.
Elaboración e implantación de un plan de ciberseguridad personalizado y adaptado a pymes.
Formación a empleados y acompañamiento continuo.
Asesoramiento legal y técnico en cumplimiento NIS2.
Acompañamiento ante auditorías o inspecciones.

Solicita ahora tu primera consulta gratuita y descubre cómo podemos ayudarte en Murcia, Almería y toda la Región de Levante.

Créditos imagen principal: Imagen de pch.vector en Freepik

Etiquetado ciberseguridad, ISO27001, ley ciberseguridad, NIS2, protección de datos, RGPD