Ciberseguridad · Cumplimiento
NIS2 ya es obligatoria: qué significa para tu empresa y cómo prepararte
La directiva europea NIS2 se ha transpuesto a la legislación española y afecta a muchas más empresas de las que se cree. Repasamos el alcance, las obligaciones y los pasos prácticos para estar en regla.

La directiva europea NIS2, en vigor tras su transposición a la legislación española a finales de 2025, amplía de forma notable el número de empresas que deben cumplir con requisitos de ciberseguridad. Si hasta ahora pensabas que la ciberseguridad regulada era cosa de grandes operadores, conviene que leas con atención.
¿A quién afecta?
NIS2 clasifica a las empresas en dos grandes bloques: entidades esenciales y entidades importantes. Abarca sectores como energía, transporte, banca, sanidad, administración pública, servicios digitales, alimentación, fabricación industrial o gestión de residuos, entre muchos otros.
En la práctica, cualquier empresa mediana o grande que opere en estos sectores queda dentro del ámbito. Pero también pymes que sean proveedores críticos de entidades afectadas, por efecto cadena de suministro.
Principales obligaciones
- Análisis de riesgos y políticas de seguridad documentadas.
- Medidas técnicas: control de accesos, cifrado, gestión de parches, copias de seguridad.
- Plan de gestión de incidentes y notificación en 24/72 horas a la autoridad competente.
- Formación del personal y responsabilidad expresa del órgano de gobierno.
- Gestión del riesgo de proveedores y cadena de suministro.
Sanciones
Las multas pueden llegar hasta los 10 millones de euros o el 2% de la facturación global anual, la cifra que sea mayor, para entidades esenciales. Pero más allá del importe, hay algo aún más delicado: la dirección de la empresa puede responder personalmente si no se adoptan las medidas exigidas.
Qué hacer ahora, en orden
- Determinar si tu empresa está afectada (y en qué categoría).
- Realizar un diagnóstico de madurez frente a los controles exigidos.
- Elaborar un plan de adecuación priorizado por riesgo.
- Implantar los controles técnicos y organizativos pendientes.
- Montar un plan de continuidad y un procedimiento de notificación de incidentes.
La mayoría de las empresas que acompañamos descubren que ya tienen buena parte del camino recorrido. La clave es ordenar lo que hay y cubrir los huecos reales con criterio.
Si no sabes por dónde empezar, un diagnóstico inicial bien hecho te evita gastar tiempo y dinero en medidas que no toca. En Uplutions diseñamos planes de adecuación a NIS2 y ayudamos a pasar la auditoría sin sorpresas.
¿Tu empresa necesita un plan concreto?
Diagnosticamos dónde estás y te entregamos una hoja de ruta clara con lo que de verdad toca hacer. Sin humo, sin sobrecostes y sin tecnicismos innecesarios.
Solicitar una consulta
