Kardu
← Volver al blogNIS2

¿Qué es NIS2?

6 min · junio de 2026 · Equipo Kardu

En resumen: NIS2 es la directiva europea que obliga a sectores críticos a demostrar ciberseguridad activa. Si tu empresa provee a alguna de ellas, ya te afecta aunque no estés en la lista: tus clientes te van a pedir evidencias de seguridad antes de renovar o firmar contratos.

¿Qué es NIS2 exactamente?

NIS2 es la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, en vigor desde enero de 2023. Es la actualización de la directiva NIS original de 2016 y representa el marco de ciberseguridad más ambicioso que ha aprobado la Unión Europea.

Su objetivo es claro: que las empresas en sectores críticos no puedan alegar que "no sabían" que tenían que protegerse. NIS2 obliga a tener medidas de seguridad activas, documentadas y demostrables, no solo declaradas.

Las sanciones máximas alcanzan los 10 millones de euros o el 2% de la facturación global para entidades esenciales.

¿A qué empresas obliga NIS2 directamente?

NIS2 se aplica a empresas que cumplan dos condiciones: operar en un sector regulado y superar al menos uno de estos umbrales de tamaño:

  • Más de 50 empleados, o
  • Más de 10 millones de euros de facturación anual

Los sectores incluyen energía, transporte, banca, infraestructura de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio.

Las microempresas quedan excluidas salvo que sean proveedoras únicas de un servicio crítico para un Estado miembro.

¿Por qué NIS2 afecta a tu empresa aunque no estés en la lista?

Aquí está el punto que la mayoría de PYMEs pasa por alto.

NIS2 obliga a las entidades directamente reguladas a gestionar los riesgos de seguridad de toda su cadena de suministro. El artículo 21 incluye explícitamente la seguridad de proveedores y subcontratistas como una de las medidas mínimas exigidas.

En la práctica, esto se traduce así: si vendes software, servicios cloud, consultoría TI o cualquier servicio con acceso a sistemas o datos de una empresa NIS2, esa empresa tiene la obligación legal de evaluar tu seguridad antes de contratarte y de forma periódica.

Como señalaba El Español en febrero de 2026, "las empresas que mantienen el foco en el perímetro interno de ciberseguridad juegan en un tablero interconectado": el perímetro de seguridad de una organización ya no termina en sus propios sistemas, sino en los de sus proveedores.

Además, la Comisión Europea ha ido más lejos: en 2025 propuso el Cybersecurity Act 2, que incluye nuevas reglas de certificación para productos y servicios digitales en la cadena de suministro. La tendencia regulatoria es clara: más presión sobre los proveedores, no menos.

¿Cuánto de NIS2 cubre implementar ISO 27001?

Esta es la pregunta clave para cualquier empresa que quiera prepararse de forma eficiente.

Según el mapeo interno de controles de Kardu (2026), los 93 controles de ISO 27001:2022 cubren el 76.3% de los requisitos de NIS2. Es decir: implementar ISO 27001 correctamente te deja con apenas una cuarta parte de los requisitos de NIS2 por cubrir.

La cobertura es superior a las estimaciones habituales del sector (que rondan el 60-70%) porque Kardu mapea contra ISO 27001:2022, que incorporó controles de resiliencia digital ausentes en la versión de 2013.

Para contexto, la cobertura de ISO 27001:2022 sobre otros frameworks:

Framework Cobertura
ENS (Básica y Media) 98.9%
DORA 82.8%
NIS2 76.3%
GDPR 46.2%

Fuente: Kardu internal control mapping, 2026.

ISO 27001:2022 cubre ENS al 98.9%, DORA al 82.8%, NIS2 al 76.3% y GDPR al 46.2% según el mapeo interno de Kardu

Esto tiene una implicación directa: si demuestras ISO 27001, ya tienes la mayor parte del trabajo de NIS2 hecho. Y si usas una plataforma como Kardu, esa evidencia se reutiliza automáticamente.

¿Qué piden en la práctica los clientes obligados por NIS2?

Cuando una empresa NIS2 audita a sus proveedores, lo habitual es un cuestionario de seguridad con preguntas sobre:

  • Política de seguridad de la información documentada
  • Gestión de accesos y autenticación
  • Copias de seguridad y plan de recuperación
  • Gestión de incidentes y procedimiento de notificación
  • Formación del personal en ciberseguridad
  • Evaluación de riesgos periódica

Sin un sistema que centralice esta información, responder un cuestionario de este tipo puede llevar semanas. Con Kardu, la respuesta sale de los controles y evidencias que ya tienes activos.

¿Cómo prepararse si eres proveedor de una empresa NIS2?

El camino más directo:

  1. Identifica si alguno de tus clientes es entidad NIS2. Si opera en energía, banca, salud o servicios digitales y supera 50 empleados, probablemente sí.
  2. Haz un gap analysis contra ISO 27001. Cubre el 76% de NIS2 y es el punto de partida más eficiente.
  3. Documenta las evidencias de cada control. El cuestionario que recibirás pedirá exactamente eso: no que digas que lo tienes, sino que lo demuestres.
  4. Mantén la documentación actualizada. Un control activo hace seis meses pero sin evidencia reciente no satisface una auditoría.

Kardu automatiza los pasos 2, 3 y 4 para que puedas responder cualquier cuestionario de seguridad en horas, no en semanas.

Información verificada a mayo de 2026. La transposición nacional de NIS2 en España está en proceso. Consulta siempre la versión vigente en EUR-Lex y la página oficial de la Comisión Europea.

Preguntas frecuentes

¿Qué es NIS2? NIS2 (Directiva EU 2022/2555) es la norma europea de ciberseguridad más exigente hasta la fecha. Obliga a empresas en sectores esenciales e importantes a implantar medidas de seguridad activas y notificar incidentes graves en menos de 24 horas.

¿A qué empresas obliga NIS2 directamente? A empresas con más de 50 empleados o más de 10 millones de euros de facturación en sectores como energía, transporte, banca, salud, infraestructura digital y servicios TIC. Las microempresas quedan excluidas salvo excepciones.

¿Por qué NIS2 afecta a proveedores que no están en la lista? Las entidades obligadas deben auditar la seguridad de toda su cadena de suministro. En la práctica, esto se traduce en cuestionarios de seguridad que envían a sus proveedores. No cumplir puede suponer perder el contrato.

¿Cuánto de NIS2 cubre implementar ISO 27001? Según el mapeo interno de Kardu (2026), los 93 controles de ISO 27001:2022 cubren el 76.3% de los requisitos de NIS2. Es el punto de partida más eficiente: la mayoría de lo que exige NIS2 ya está en ISO 27001.

¿Cuándo entra en vigor NIS2 en España? La Directiva NIS2 entró en vigor en la UE en enero de 2023. España está en proceso de transposición al derecho nacional. Mientras tanto, la directiva es aplicable directamente a entidades de sectores críticos.

← Volver al blog