Agosto de 2026 marca un antes y un después para miles de pymes catalanas. Es el momento en que empiezan a aplicarse las sanciones de NIS2, la nueva directiva europea de ciberseguridad. Y, a pesar de la proximidad de la fecha, la mayoría de gerentes con quienes hablamos todavía no saben si su empresa está obligada.

Si tú también tienes esa duda, esta guía te la responde en menos de cinco minutos.

Qué es NIS2 y por qué debería importarte

NIS2 (Directiva UE 2022/2555) es la legislación europea de ciberseguridad más ambiciosa hasta la fecha. Sustituye la NIS1 de 2016, que afectaba solo a unos pocos cientos de operadores esenciales. NIS2 lo cambia todo: amplía los sectores obligados de 7 a 18, reduce el umbral de empresas afectadas y hace a los directivos personalmente responsables del cumplimiento.

En España, la transposición completa se está tramitando durante 2026, pero una parte ya es exigible mediante el Real Decreto-ley 7/2025. Las inspecciones han comenzado y las sanciones se activan en agosto.

Traducido a la práctica: si tu empresa entra dentro del ámbito de NIS2, ya deberías estar trabajando en el cumplimiento. Esperar a que se publique la ley definitiva en el BOE es el error más caro que puedes cometer.

A quién afecta NIS2: los tres criterios clave

NIS2 te afecta si cumples a la vez dos requisitos: pertenecer a un sector obligado y superar un determinado umbral de tamaño. Pero hay una tercera vía —la de la cadena de suministro— que atrapa a muchas pymes que pensaban que no les tocaba.

1. El sector

NIS2 cubre 18 sectores agrupados en dos categorías:

Entidades esenciales (la categoría con obligaciones más estrictas): energía, transporte, banca, infraestructuras financieras, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y sector espacial.

Entidades importantes: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentación, fabricación (dispositivos médicos, electrónicos, automoción, maquinaria), proveedores digitales (marketplaces, buscadores, redes sociales) e investigación.

2. El tamaño

Si tu empresa tiene 50 empleados o más, o factura más de 10 millones de euros, y opera en uno de los 18 sectores, NIS2 te aplica.

Hay excepciones: en sectores muy críticos (DNS, TLDs, servicios de confianza cualificados, administraciones públicas), NIS2 puede afectar incluso a pymes por debajo de esos umbrales.

3. La cadena de suministro (la trampa)

Aquí viene lo que sorprende a más pymes: aunque tu empresa no llegue a los umbrales de tamaño ni opere directamente en un sector obligado, puedes quedar afectada como proveedora de una entidad esencial.

Ejemplo real: una pyme de software con 20 empleados que presta servicio a un hospital. El hospital, como entidad esencial, debe exigir contractualmente que sus proveedores cumplan con medidas equivalentes a NIS2. Conclusión: la pyme también está afectada, indirectamente.

Qué debes hacer si te afecta NIS2

Si la respuesta a «¿me afecta?» es sí, el camino hacia el cumplimiento pasa por seis pasos:

1. Inventario y análisis de riesgos. Debes saber qué tienes (sistemas, datos, proveedores) y qué riesgos tienes. Sin esto, el resto es imposible.

2. Medidas técnicas y organizativas. NIS2 exige medidas concretas: control de accesos, cifrado, gestión de vulnerabilidades, copias de seguridad verificadas, segmentación de red, autenticación multifactor.

3. Plan de respuesta a incidentes. Si sufres un incidente grave, tienes 24 horas para emitir una alerta inicial, 72 horas para la notificación intermedia y un mes para el informe final. Sin este plan preparado de antemano, es imposible cumplir esos plazos.

4. Formación del consejo de dirección. NIS2 obliga a formar específicamente a la dirección en ciberseguridad. No es opcional ni delegable.

5. Gestión de proveedores. Debes verificar (no solo declarar) que tus proveedores cumplen medidas equivalentes. Una cláusula contractual ya no es suficiente.

6. Responsable de seguridad designado. Debes tener una figura con la responsabilidad de la seguridad. No es necesario que sea un empleado a tiempo completo: para pymes, un CISO virtual externo es una opción aceptada y mucho más eficiente.

Las sanciones: por qué vale la pena tomárselo en serio

NIS2 establece dos tipos de consecuencias:

Sanciones económicas: hasta 10 millones de euros o el 2% de la facturación anual global para entidades esenciales. Hasta 7 millones de euros o el 1,4% para entidades importantes.

Responsabilidad personal de los directivos: los miembros del consejo pueden ser inhabilitados temporalmente de cargos directivos. La responsabilidad ya no termina en la persona jurídica.

Y, más allá de las sanciones, está el daño más caro de todos: la reputación. Una pyme que sufre una brecha de seguridad cubierta por NIS2 debe notificarla oficialmente. Tus clientes y tus competidores se enterarán.

Cómo te ayudamos

En Funhelps acompañamos pymes catalanas en todo el proceso de cumplimiento de NIS2 desde cero:

  • Auditoría inicial para saber si te afecta y en qué situación estás respecto a los requisitos.
  • Plan de adecuación con prioridades y plazos realistas.
  • Implantación de las medidas técnicas y organizativas.
  • CISO virtual desde 600 €/mes —tu director de seguridad externo, sin necesidad de contratar a tiempo completo.
  • Formación del consejo cumpliendo con el requisito normativo.
  • Mantenimiento del cumplimiento año tras año.
  • Implantaciones con control real sobre tus datos: ofrecemos 3 niveles (en tu entorno, híbrido, gestionado por Funhelps con segregación) según exigencias normativas. Crítico si NIS2 te aplica.

Acompañamos pymes catalanas en el cumplimiento de NIS2, ENS e ISO 27001, y estamos en proceso de acreditación como ISO 27001 Lead Auditor. 15 años protegiendo empresas en Cataluña.

La pregunta que debes responder hoy

No «ya nos pondremos cuando salga la ley en el BOE». No «ya lo miraremos después del verano». La pregunta es: si mañana ocurriera un incidente en tu empresa, ¿podrías demostrar que estabas cumpliendo con NIS2?

Si la respuesta no es un sí claro, toca actuar.

Solicita tu auditoría gratuita

Artículos relacionados: Kit Digital 2026 para proteger tu pyme · Cuándo necesitas un CISO virtual

¿No sabes si te afecta NIS2? Haz el diagnóstico gratuito en 5 minutos.