NIS2 en Navarra: a quién obliga y cómo preparar tu pyme

Respuesta rápida

NIS2 es la directiva europea de ciberseguridad (Directiva UE 2022/2555) que obliga a las empresas de 18 sectores considerados esenciales o importantes a reforzar su seguridad, notificar los incidentes graves en 24-72 horas y responder de la seguridad de su cadena de suministro. Afecta sobre todo a medianas y grandes empresas (más de 50 empleados o más de 10 millones de euros), pero una pyme de Navarra puede verse arrastrada de forma indirecta si es proveedora de una entidad obligada: industria, administración pública, sanidad o energía. En España la transposición va con retraso: el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en enero de 2025 y, a junio de 2026, sigue en tramitación. Lo importante: la dirección de la empresa responde personalmente del cumplimiento, así que adelantarse no es opcional.

Qué es NIS2 y por qué se ha creado

NIS2 es el nombre con el que se conoce la Directiva (UE) 2022/2555, la norma con la que la Unión Europea actualiza su marco de ciberseguridad. Sustituye a la primera directiva NIS, de 2016, que se quedó corta: cubría pocos sectores, dejaba demasiado margen a cada país y apenas se aplicaba a las empresas medianas.

La idea de fondo es sencilla: cada vez más servicios de los que dependemos —electricidad, agua, sanidad, transporte, banca, administración, alimentación, industria— funcionan sobre sistemas informáticos. Si esos sistemas caen por un ciberataque, el daño no es solo de la empresa afectada, sino de toda la sociedad. NIS2 busca que esas organizaciones resistan mejor los ataques y que, cuando ocurra un incidente grave, se notifique rápido para contener el impacto.

Para conseguirlo, NIS2 hace tres cosas que la norma anterior no hacía:

• Amplía mucho los sectores y empresas obligadas (de unos pocos a 18 sectores).
• Sube el listón técnico: exige medidas concretas, no buenas intenciones.
• Implica a la dirección: los administradores responden del cumplimiento, incluso personalmente.

A quién obliga NIS2 (y a quién no)

La regla general combina sector y tamaño.

NIS2 se aplica a las entidades que operan en alguno de los 18 sectores cubiertos y que, además, superan el tamaño de mediana empresa:

• 50 o más empleados, o
• más de 10 millones de euros de volumen de negocio anual o de balance general.

Dentro de las obligadas, la directiva distingue dos categorías según su criticidad:

• Entidades esenciales: grandes empresas (250 o más empleados o más de 50 millones de euros) en sectores de alta criticidad. Tienen supervisión más estricta y sanciones más altas.
• Entidades importantes: el resto de empresas medianas y grandes en sectores cubiertos.

Los 18 sectores cubiertos

NIS2 separa los sectores en dos bloques. De forma resumida:

Sectores de alta criticidad (esenciales): energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC entre empresas, administración pública y espacio.

Otros sectores críticos (importantes): servicios postales y de mensajería, gestión de residuos, fabricación y distribución de productos químicos, producción y distribución de alimentos, fabricación (productos sanitarios, informática y electrónica, maquinaria, vehículos), proveedores de servicios digitales (mercados en línea, buscadores, redes sociales) e investigación.

Importante: el tamaño no es el único criterio. Una entidad más pequeña también puede quedar obligada si presta un servicio considerado crítico (por ejemplo, ciertos proveedores de servicios digitales o de comunicaciones, o un único proveedor de un servicio esencial en una zona).

Por qué tu pyme de Navarra debería mirar NIS2 aunque no llegue al umbral

Aquí está la parte que más nos preguntan. La mayoría de las pymes de Navarra no llegan a 50 empleados ni a 10 millones de euros, así que, leído rápido, parece que NIS2 no va con ellas.

Pero hay un detalle que lo cambia todo: la seguridad de la cadena de suministro.

NIS2 obliga a las entidades esenciales e importantes a vigilar la ciberseguridad de sus proveedores. Es decir, una administración pública, un hospital, una empresa de automoción o una agroalimentaria que esté obligada por NIS2 tiene que asegurarse de que quien le da servicio informático, le suministra software o gestiona sus sistemas también cumple unos mínimos de seguridad. Y la forma de garantizarlo es exigírtelo por contrato.

En Navarra esto es muy concreto, porque el tejido industrial y público es exactamente el que NIS2 considera crítico:

• Industria de automoción y componentes, con grandes plantas que arrastran a decenas de proveedores locales.
• Sector agroalimentario (conservas, alimentación, distribución), uno de los pilares de la economía foral.
• Energía y renovables, con peso creciente en la Comunidad Foral.
• Administración pública: Gobierno de Navarra, ayuntamientos y entidades locales que digitalizan sus servicios. Lo vemos a diario en proyectos de gestión municipal y sector público.

Si tu empresa es proveedora tecnológica de cualquiera de estos clientes —les das mantenimiento informático, les desarrollas o alojas software, gestionas sus copias o sus comunicaciones—, lo más probable es que, antes o después, te pidan demostrar buenas prácticas de ciberseguridad para seguir trabajando con ellos. No por la sanción directa de NIS2, sino porque tu cliente tiene que cumplir y te traslada el requisito.

Dicho de otra forma: NIS2 puede no obligarte directamente, pero el mercado sí.

Qué obligaciones impone NIS2

Para las entidades obligadas, NIS2 se concreta en cuatro bloques.

1. Medidas de gestión de riesgos

Un conjunto de medidas técnicas y organizativas que ya no son opcionales:

• Análisis de riesgos y política de seguridad de la información.
• Gestión de incidentes (detección, respuesta y recuperación).
• Continuidad de negocio: copias de seguridad, recuperación ante desastres y gestión de crisis.
• Seguridad de la cadena de suministro (evaluar a tus propios proveedores).
• Seguridad en la adquisición, desarrollo y mantenimiento de sistemas, incluida la gestión de vulnerabilidades y el parcheado.
• Cifrado, autenticación multifactor y control de accesos.
• Higiene básica de ciberseguridad y formación del personal.

2. Notificación de incidentes

Cuando se produce un incidente significativo, hay que avisar a la autoridad competente en plazos muy ajustados:

• 24 horas: alerta temprana desde que se detecta.
• 72 horas: notificación con una primera valoración.
• 1 mes: informe final con causas, impacto y medidas adoptadas.

3. Gobernanza y responsabilidad de la dirección

Esta es una de las grandes novedades: los órganos de dirección deben aprobar y supervisar las medidas de ciberseguridad y pueden ser considerados responsables personalmente de su incumplimiento. La ciberseguridad deja de ser "cosa de informática" para convertirse en una responsabilidad de gerencia.

4. Formación

La dirección y los equipos deben recibir formación periódica para reconocer y gestionar los riesgos. Un phishing que cuela una factura falsa o un ransomware que cifra el servidor casi siempre empieza por un error humano evitable.

Sanciones: por qué no conviene esperar

NIS2 contempla multas serias:

• Entidades esenciales: hasta 10 millones de euros o el 2% del volumen de negocio anual mundial, lo que sea mayor.
• Entidades importantes: hasta 7 millones de euros o el 1,4%.

A esto se suma la responsabilidad personal de los administradores y el daño reputacional de un incidente notificado. Para una pyme proveedora, el riesgo más inmediato no suele ser la multa, sino perder al cliente que le exige cumplir.

Estado de la transposición en España (a junio de 2026)

Conviene ser claros con las fechas, porque hay mucha confusión.

• La directiva europea debía estar transpuesta antes del 17 de octubre de 2024.
• España va con retraso. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en Consejo de Ministros el 14 de enero de 2025 y pasó por audiencia e información pública a principios de 2025.
• A junio de 2026, ese anteproyecto sigue en tramitación, pendiente de aprobación parlamentaria y de publicación en el BOE. La Comisión Europea remitió a España un dictamen motivado en mayo de 2025 por el retraso.
• El texto previsto crea un Centro Nacional de Ciberseguridad como autoridad de coordinación, apoyándose en los CSIRT de referencia: INCIBE-CERT (sector privado), CCN-CERT (sector público) y ESPDEF-CERT (defensa).

Como la norma todavía no está cerrada, algunos detalles (plazos exactos, registro de entidades, requisitos técnicos finales) pueden cambiar cuando se publique la ley definitiva. Pero el contenido de fondo —que viene de la directiva europea— ya se conoce, y el sentido de la norma es claro: hay que prepararse.

Cómo prepararte sin agobios

La buena noticia es que la mayoría de lo que pide NIS2 es buena higiene de ciberseguridad que cualquier empresa debería tener ya. Estos son los pasos que recomendamos:

1. Averigua si te afecta (directa o indirectamente)

Revisa tu sector y tamaño, pero sobre todo mira a tus clientes: ¿alguno es administración pública, industria, sanidad o energía? Si es así, prepárate para que te trasladen requisitos de seguridad por la cadena de suministro.

2. Haz un diagnóstico del estado actual

¿Tienes copias de seguridad que se restauran de verdad? ¿Hay doble factor en los accesos críticos? ¿Están los sistemas actualizados? ¿Existe un plan si mañana un ransomware cifra el servidor? Un diagnóstico de ciberseguridad ordena el punto de partida y prioriza lo importante.

3. Cubre primero lo básico de alto impacto

• Copias de seguridad con la regla 3-2-1 y restauraciones probadas.
• Autenticación multifactor en correo, ERP y accesos remotos.
• Parcheado y mantenimiento al día de servidores y equipos.
• Antimalware/EDR y control de accesos por roles.
• Plan de continuidad para saber qué hacer las primeras horas de un incidente.

4. Documenta y forma al equipo

NIS2 valora poder demostrar lo que haces. Tener las políticas escritas, los procedimientos de incidentes y un registro de formación es lo que te permitirá responder cuando un cliente o la autoridad te lo pida.

5. Empieza con margen

La norma española se publicará y habrá un periodo de adaptación, pero el mercado va a ir por delante de la ley: los grandes clientes empezarán a exigir requisitos a sus proveedores antes de que las multas sean efectivas. Adelantarse es una ventaja comercial, no solo un cumplimiento.

Cómo te ayuda Niebla Informática

En Niebla llevamos más de cuatro décadas dando servicio a empresas y administraciones de Navarra, y la ciberseguridad es parte del día a día de lo que hacemos. Para encarar NIS2 te acompañamos desde el lado técnico:

• Diagnóstico de ciberseguridad: revisamos tu situación real frente a las medidas que pide NIS2 y priorizamos lo que de verdad mueve la aguja.
• Copias de seguridad y recuperación: copias bajo la regla 3-2-1, cifradas y con restauraciones probadas, más plan de continuidad.
• Medidas técnicas: doble factor, control de accesos, segmentación, parcheado y mantenimiento al día.
• Servicios TI gestionados: monitorización y respuesta continua para detectar y contener incidentes a tiempo.
• Acompañamiento a la dirección y formación del equipo, para que el cumplimiento no recaiga en una sola persona.

Lo que no hacemos es venderte humo: el encaje legal concreto de tu empresa (si eres entidad esencial, importante o quedas fuera) conviene contrastarlo también con asesoría jurídica especializada. Nosotros nos ocupamos de que, cuando llegue el requisito, tu infraestructura esté lista.

Preguntas frecuentes sobre NIS2

¿NIS2 y el Esquema Nacional de Seguridad (ENS) son lo mismo? No. El ENS es el marco de seguridad obligatorio para el sector público español y sus proveedores. NIS2 es la directiva europea para sectores críticos, pública y privada. Se solapan en parte —si trabajas para la administración, es probable que te toquen ambos— pero son normas distintas con autoridades y alcances diferentes.

Soy una pyme de 12 personas que da soporte informático. ¿Tengo que cumplir NIS2? Directamente, lo más probable es que no llegues al umbral. Pero si entre tus clientes hay entidades obligadas (ayuntamientos, industria, sanidad…), te exigirán requisitos de seguridad como proveedor. En la práctica, tendrás que cumplir buena parte de lo que pide NIS2 para mantener esos contratos.

¿Qué pasa si mi software o mis sistemas no cumplen? A corto plazo, el riesgo más probable para una pyme es comercial: perder o no ganar contratos con clientes que sí están obligados. Para las entidades obligadas, además, hay sanciones económicas elevadas y responsabilidad de la dirección.

¿Cuánto cuesta adaptarse? Depende del punto de partida. Si ya tienes copias fiables, sistemas actualizados y doble factor, estarás cerca y será cuestión de ordenar y documentar. Si vienes de una infraestructura desatendida, hay más trabajo. Nosotros damos un presupuesto cerrado tras el diagnóstico inicial, sin sorpresas.

¿Cuándo será obligatorio en España? La directiva debía transponerse antes del 17 de octubre de 2024. A junio de 2026, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad sigue en tramitación y pendiente de publicación en el BOE. Recomendamos confirmar el estado actualizado, porque la situación puede cambiar.

¿Por dónde empiezo? Por un diagnóstico que te diga, sin tecnicismos, qué tienes, qué te falta y en qué orden abordarlo. Con eso tomas decisiones con criterio en lugar de comprar productos sueltos.

---

¿Quieres saber si tu empresa está preparada para los requisitos de ciberseguridad de NIS2? Solicita un diagnóstico de ciberseguridad con nuestro equipo y salimos con un plan claro y un presupuesto cerrado.

Si te interesa el tema, también puedes leer:

• Ciberseguridad para pymes: medidas imprescindibles
• Copias de seguridad en la empresa: la regla 3-2-1
• Servicios TI gestionados: cómo ahorran a tu empresa