La directiva NIS2: lo que las empresas europeas necesitan saber

La Directiva NIS2 (Directiva UE 2022/2555) es la ley de ciberseguridad actualizada de la Unión Europea, en vigor desde el 18 de octubre de 2024. Aplica a organizaciones medianas y grandes — aquellas con 50 o más empleados o 10 millones de euros o más de facturación anual — que operan en 18 sectores críticos e importantes, incluyendo energía, transporte, salud, banca, infraestructura digital y manufactura. Si su empresa opera en la UE en uno de estos sectores, casi con toda seguridad entra en el ámbito de aplicación. Las micro y pequeñas empresas con menos de 50 empleados generalmente están excluidas, pero se aplican excepciones específicas a proveedores de DNS, servicios de confianza y proveedores únicos de servicios esenciales independientemente de su tamaño.

Las sanciones económicas dependen de la clasificación de su entidad. Las entidades esenciales — grandes organizaciones en los sectores de mayor criticidad — pueden ser multadas con hasta 10.000.000 € o el 2% de la facturación anual global, lo que sea mayor. Las entidades importantes enfrentan multas de hasta 7.000.000 € o el 1,4% de la facturación global. Más allá de las multas, las autoridades pueden emitir órdenes vinculantes de remediación, publicar su incumplimiento, suspender sus licencias de operación y — bajo el Artículo 20 — responsabilizar personalmente a los altos directivos, incluidas prohibiciones temporales de funciones directivas. Varios estados miembros, incluidos Bélgica e Italia, han introducido estructuras de sanciones escalonadas que superan el mínimo de NIS2.

El Artículo 21 de NIS2 exige 10 medidas de seguridad técnicas y organizativas obligatorias. Varias de ellas se corresponden directamente con lo que ofrece la gestión de superficie de ataque (ASM). El Artículo 21(2)(a) requiere análisis de riesgos basado en un inventario preciso de activos — ASM proporciona ese inventario automáticamente. El Artículo 21(2)(e) exige explícitamente la gestión y divulgación de vulnerabilidades — ASM ofrece escaneo semanal automatizado y seguimiento de CVE. El Artículo 21(2)(f) requiere demostrar que sus medidas son efectivas — ASM genera métricas cuantificables y evidencia de escaneo documentada. El Artículo 23 requiere notificación de incidentes en 24 y 72 horas — ASM proporciona las marcas de tiempo de detección y los datos de activos necesarios para cumplir esos plazos.

La Directiva NIS2 se aplicó desde el 18 de octubre de 2024, y la aplicación ya está activa en Bélgica, Croacia, Italia y Lituania. A principios de 2026, aproximadamente 20 de los 27 estados miembros de la UE han completado o están completando la transposición a la legislación nacional. La ley de implementación de NIS2 en Alemania entró en vigor el 6 de diciembre de 2025, con la aplicación comenzando en 2026 para unas 29.000 entidades. Si opera en cualquier estado miembro de la UE, debe tratar el cumplimiento de NIS2 como obligatorio ahora — la Comisión Europea ya ha emitido advertencias formales a 19 estados miembros para completar la transposición y ha amenazado con remitir al Tribunal de Justicia.

NIS2 utiliza una regla de umbral de tamaño: necesita 50 o más empleados o al menos 10 millones de euros de facturación anual para calificar como 'entidad importante' — el umbral más bajo. Las microempresas (menos de 10 empleados, menos de 2M € de facturación) generalmente están excluidas. Sin embargo, si su empresa es el único proveedor de un servicio esencial en un estado miembro, opera un servicio DNS o proporciona comunicaciones electrónicas públicas, entra en el ámbito de aplicación independientemente de su tamaño. Las medianas empresas en sectores como manufactura, producción alimentaria, químicas, servicios digitales y servicios postales deben verificar si cumplen los umbrales — NIS2 fue diseñada explícitamente para incluir organizaciones de mercado medio que NIS1 no cubría.

La forma más rápida de entender su exposición a NIS2 es comenzar por su superficie de ataque — los activos y vulnerabilidades que los reguladores preguntarán primero. El escaneo de seguridad gratuito de SeguriScan mapea sus activos expuestos a internet en menos de 60 segundos, identifica vulnerabilidades relevantes para los requisitos del Artículo 21 y produce un informe que puede usar como base para su programa de cumplimiento. No se requiere instalación ni tarjeta de crédito. Si desea un recorrido guiado de cómo SeguriScan se corresponde con sus obligaciones NIS2 específicas, solicite una demo y uno de nuestros expertos en seguridad le guiará a través del proceso.