Que pasa si no cumples NIS2? Multas, riesgos y plazos
La directiva NIS2 no es una recomendacion. Es una obligacion legal para miles de empresas europeas, y su regimen sancionador esta disenado para que el incumplimiento duela. Multas millonarias, responsabilidad personal de los directivos y plazos que ya se han cumplido configuran un escenario en el que ignorar NIS2 ya no es una opcion.
Este articulo detalla el marco sancionador, los plazos vigentes, las infracciones mas comunes y las acciones concretas que las empresas deben tomar para evitar sanciones.
El marco sancionador de NIS2
NIS2 establece dos niveles de sanciones segun la clasificacion de la entidad. La directiva distingue entre entidades esenciales y entidades importantes, cada una con un techo sancionador diferente.
Entidades esenciales
Las entidades esenciales incluyen sectores como energia, transporte, banca, infraestructura de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestion de servicios TIC y administracion publica.
Para estas entidades, las multas pueden alcanzar:
- Hasta 10 millones de euros, o
- Hasta el 2% de la facturacion anual global, la cifra que sea mayor.
Esto significa que una empresa con una facturacion de 600 millones de euros podria enfrentar una multa de hasta 12 millones de euros, ya que el 2% de su facturacion supera el tope fijo de 10 millones.
Entidades importantes
Las entidades importantes abarcan sectores como servicios postales, gestion de residuos, fabricacion de productos quimicos, alimentacion, fabricacion industrial, proveedores digitales e investigacion.
Para estas entidades, las sanciones pueden llegar a:
- Hasta 7 millones de euros, o
- Hasta el 1,4% de la facturacion anual global, la cifra que sea mayor.
Sanciones adicionales
Ademas de las multas economicas, las autoridades competentes pueden imponer:
- Ordenes de cumplimiento vinculantes con plazos estrictos para la remediacion.
- Auditorias de seguridad obligatorias a costa de la entidad.
- Suspension temporal de certificaciones o autorizaciones relacionadas con la actividad de la empresa.
- Publicacion de las infracciones, con el impacto reputacional que eso conlleva.
Responsabilidad personal de la direccion
Una de las novedades mas significativas de NIS2 respecto a su predecesora es la responsabilidad explicita de los organos de direccion. La directiva establece que los directivos de las entidades afectadas deben:
- Aprobar las medidas de gestion de riesgos de ciberseguridad adoptadas por la entidad.
- Supervisar la implementacion de dichas medidas.
- Formarse en ciberseguridad para poder evaluar los riesgos y las practicas de gestion.
En caso de incumplimiento, los directivos pueden ser declarados personalmente responsables. Esto significa que las consecuencias no se limitan a la empresa como persona juridica: los administradores, consejeros delegados y miembros del consejo de administracion pueden enfrentar sanciones individuales.
Esta disposicion cambia fundamentalmente la dinamica de la ciberseguridad en las organizaciones. La seguridad IT ya no es un asunto exclusivo del departamento tecnico; es una responsabilidad que sube hasta el nivel mas alto de la organizacion.
Plazos: la cuenta atras ya ha terminado
NIS2 (Directiva 2022/2555) entro en vigor el 16 de enero de 2023. Los estados miembros de la UE tenian hasta el 17 de octubre de 2024 para transponer la directiva a su legislacion nacional. Esto significa que, a fecha de hoy:
- La directiva es aplicable en los estados que han completado la transposicion. Varios paises ya tienen su legislacion nacional en vigor.
- Los primeros ciclos de auditorias comenzaron en 2025 y se intensificaran durante 2026. Las autoridades nacionales de ciberseguridad estan estableciendo sus marcos de supervision.
- Las empresas que aun no han empezado a implementar las medidas requeridas estan ya fuera de plazo. No hay periodo de gracia. La obligacion de cumplimiento es inmediata.
En Espana, el Anteproyecto de Ley de Coordinacion y Gobernanza de la Ciberseguridad transpone NIS2 al ordenamiento juridico nacional. Las empresas espanolas deben prepararse para que las obligaciones sean plenamente exigibles y las sanciones aplicables de forma inminente.
Que se considera incumplimiento
NIS2 establece un conjunto de obligaciones minimas de ciberseguridad. El incumplimiento de cualquiera de ellas puede dar lugar a sanciones. Las obligaciones principales incluyen:
- Analisis de riesgos y politicas de seguridad: Tener documentado un analisis de riesgos y las politicas de seguridad de los sistemas de informacion.
- Gestion de incidentes: Contar con procedimientos para la deteccion, notificacion y respuesta a incidentes de seguridad. NIS2 exige notificacion de incidentes significativos en un plazo de 24 horas.
- Continuidad de negocio: Planes de continuidad que incluyan gestion de copias de seguridad y recuperacion ante desastres.
- Seguridad de la cadena de suministro: Evaluacion y gestion de los riesgos de ciberseguridad derivados de proveedores y prestadores de servicios.
- Higiene cibernetica y formacion: Practicas basicas de ciberseguridad y formacion periodica para todo el personal.
- Cifrado y control de acceso: Politicas de uso de criptografia y procedimientos de control de acceso a los sistemas.
Las brechas mas comunes en PYMEs
Aunque NIS2 abarca un espectro amplio de medidas, hay tres carencias que aparecen con una frecuencia alarmante en las pequenas y medianas empresas, y que constituyen los motivos mas probables de sancion:
1. Ausencia de inventario de activos
No es posible proteger lo que no se conoce. Sin un inventario actualizado de todos los dispositivos, sistemas y aplicaciones de la organizacion, cualquier analisis de riesgos es incompleto y cualquier plan de respuesta a incidentes tiene puntos ciegos. NIS2 requiere que las entidades conozcan sus activos criticos. Un Excel desactualizado no cumple con este requisito.
2. Incidencias no vinculadas a activos
Muchas empresas gestionan las incidencias de seguridad de forma aislada: se detecta un problema, se resuelve y se cierra el ticket. Pero NIS2 requiere la capacidad de trazar un incidente hasta el activo afectado, entender el alcance del impacto y demostrar que se han tomado medidas correctivas. Si el sistema de incidencias no esta vinculado al inventario de activos, esta trazabilidad es imposible.
3. Ausencia de audit trail
Las autoridades de supervision necesitan evidencia. No basta con decir que se gestionan los activos correctamente; hay que poder demostrarlo. Un audit trail automatico que registre cada cambio en el inventario, cada asignacion de dispositivo, cada incidencia resuelta y cada accion tomada es la base de esa evidencia. Sin audit trail, la empresa depende de la memoria y la buena voluntad de su equipo para responder a las preguntas de un auditor.
Como empezar a cumplir ahora
La buena noticia es que cumplir con NIS2 no requiere transformar la organizacion de la noche a la manana. Los primeros pasos son concretos y alcanzables:
- Determinar si tu empresa esta en alcance: Revisa los sectores y umbrales definidos en la directiva. Si tienes mas de 50 empleados o facturas mas de 10 millones de euros, es muy probable que estes afectado.
- Realizar un inventario completo de activos IT: Registra todos los dispositivos, sistemas y aplicaciones con su ubicacion, responsable y estado. Este es el cimiento sobre el que se construye todo lo demas.
- Implementar un sistema de gestion de incidentes vinculado a activos: Cada incidencia debe asociarse al activo concreto afectado, con trazabilidad completa desde la deteccion hasta la resolucion.
- Activar audit trail automatico: Cada cambio en el inventario, cada asignacion y cada accion relevante debe quedar registrada sin intervencion manual.
- Documentar y formalizar: Aunque las medidas tecnicas sean correctas, sin documentacion formal no hay evidencia de cumplimiento. Documenta tus politicas, procedimientos y registros.
NIS2 no es un ejercicio teorico. Es una obligacion legal con consecuencias economicas y personales reales. El coste de cumplir siempre sera menor que el coste de no hacerlo. Y los plazos para empezar ya se han agotado.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
3 preguntas que tu auditor NIS2 hara sobre tus dispositivos
Preparate para la auditoria NIS2: las 3 preguntas clave y como responderlas.
NIS2 y comunicaciones: gestion de activos para operadores de telecomunicaciones
Antenas, nodos de red, centralitas, equipos de fibra. Los operadores de telecomunicaciones son entidades esenciales bajo NIS2.
NIS2 e infraestructura digital: inventario de activos para proveedores cloud y datacenters
Servidores, switches, firewalls, balanceadores. Si operas infraestructura digital, NIS2 exige documentar cada componente.