¿A partir de cuántos empleados afecta la NIS2?

Como regla general, la NIS2 aplica a medianas y grandes empresas de los sectores cubiertos: a partir de 50 empleados o 10 millones de euros de facturación. Pero, por el efecto de cadena de suministro, también puede alcanzarte siendo más pequeño si eres proveedor de una empresa obligada.

¿La ISO 27001 me sirve para cumplir la NIS2?

En gran medida sí: la ISO 27001 cubre cerca del 70% de lo que pide la NIS2. Si ya la tienes o la vas a implantar, llevas mucho camino adelantado.

NIS2 para PYMEs: a quién afecta y qué hacer (2026)

Q: ¿Cuáles son las sanciones de la NIS2?

Para las entidades esenciales, las sanciones pueden alcanzar los 10 millones de euros o el 2% de la facturación anual mundial, la cantidad que sea mayor. Además, la dirección de la empresa puede ser considerada responsable.

La NIS2 es una de esas siglas que cada vez se oyen más en reuniones de empresa, y casi siempre con la misma duda: «¿esto me afecta a mí?». Si tienes una pyme, esta guía te lo aclara sin tecnicismos: a quién obliga, por qué puede alcanzarte aunque seas pequeño, qué te juegas y cómo prepararte.

¿Qué es la NIS2?

La NIS2 es la directiva europea de ciberseguridad. Eleva el nivel de exigencia de seguridad a miles de empresas en toda la UE y obliga a tomarse la ciberseguridad en serio: gestionar riesgos, proteger los sistemas, notificar incidentes y —esto es clave— responder también de la seguridad de tus proveedores.

No es una recomendación: es un marco legal. En España se encuentra en proceso de transposición, pero las empresas obligadas ya están moviéndose, y eso arrastra a sus proveedores.

¿A quién afecta?

A 18 sectores considerados esenciales e importantes (energía, transporte, banca, sanidad, agua, infraestructura digital, administración pública, fabricación, alimentación, servicios TIC…).
Como regla general, a empresas con más de 50 empleados o más de 10 millones de euros de facturación dentro de esos sectores.
Y la clave para las pymes: aunque no estés en la lista, si eres proveedor de una empresa obligada, te lo van a exigir por contrato.

El efecto cadena de suministro (esto es lo que te alcanza)

La NIS2 obliga a las empresas grandes a exigir seguridad a todos sus proveedores. ¿Resultado? Miles de pymes que nunca se plantearon la ciberseguridad empiezan a recibir cuestionarios de seguridad, cláusulas contractuales y hasta auditorías de sus propios clientes.

En cristiano: si trabajas con empresas medianas o grandes, la NIS2 te alcanza —no por la ley directamente, sino porque tu cliente te lo va a pedir para poder seguir trabajando contigo.

¿Qué te juegas?

Sanciones de hasta 10 millones de euros o el 2% de la facturación anual (para entidades esenciales).
Responsabilidad directa de la dirección de la empresa.
Perder contratos: el riesgo más real para una pyme. Si no cumples, tu cliente te sustituye por un proveedor que sí lo haga.

Qué exige la NIS2 (lo esencial)

Gestión de riesgos de ciberseguridad.
Medidas técnicas y organizativas de protección.
Notificación de incidentes en plazos estrictos.
Seguridad en toda tu cadena de suministro.
Continuidad de negocio y respuesta a incidentes.

Cómo prepararte en 5 pasos

Diagnóstico de tu exposición actual: por dónde estás flojo.
Análisis de riesgos de tus sistemas y datos.
Implantar las medidas que falten (técnicas y organizativas).
Plan de respuesta a incidentes (qué hacer si pasa algo).
Documentar evidencias para demostrar que cumples a tus clientes.

El atajo: la ISO 27001

Si todo esto te suena a mucho, hay una buena noticia: implantar la ISO 27001 cubre cerca del 70% de lo que pide la NIS2. Si vas a abordar una, planifica la otra: mismo esfuerzo, dos objetivos. Te lo contamos en detalle en ISO 27001: precio y proceso.

¿No sabes si la NIS2 te afecta?

Te hacemos un diagnóstico de exposición gratis y te decimos sin tecnicismos cómo estás y qué deberías priorizar. Y si ya te están pidiendo cumplir, te acompañamos a hacerlo a precio cerrado.

Diagnóstico de exposición gratis …o mira cómo ayudamos a las PYMEs →

Preguntas frecuentes

¿A partir de cuántos empleados afecta?

Como regla general, a empresas de más de 50 empleados o 10M€ de facturación dentro de los sectores cubiertos. Pero por la cadena de suministro puede alcanzarte siendo más pequeño si eres proveedor de una empresa obligada.

¿Cuáles son las sanciones?

Para entidades esenciales, hasta 10 millones de euros o el 2% de la facturación anual mundial, la cantidad que sea mayor. Además, la dirección puede ser responsable.

¿La ISO 27001 me vale para la NIS2?

En gran medida sí: cubre cerca del 70% de lo que pide la NIS2. Si la tienes o la vas a implantar, llevas mucho adelantado.

¿Y si todavía no me lo ha pedido nadie?

Es el mejor momento para adelantarte. Llegar preparado a un cuestionario de seguridad de un cliente es mucho más barato y rápido que improvisarlo con prisa cuando te lo exijan.

¿Dudas sobre cómo te afecta la NIS2? Escríbenos a soporte@nexoseguridad.com y te orientamos sin compromiso.

Jose Antonio López

Fundador de Nexo Seguridad · Equipo certificado OSCP, CISSP y CISA

En Nexo Seguridad ayudamos a PYMEs a protegerse y cumplir —auditoría, ISO 27001, NIS2, RGPD y ENS— con precio cerrado y sin tecnicismos. ¿Dudas con tu caso? Escríbenos a soporte@nexoseguridad.com.