Real Decreto NIS2 en vigor · plazo de adaptación hasta enero de 2027
¿Tu empresa está obligada por NIS2?
Entre 5.000 y 50.000 empresas españolas están afectadas y la mayoría no lo sabe. Multas de hasta 10 millones de euros y responsabilidad personal de la dirección. Compruébalo en 3 minutos, gratis.
Hacer el test gratuito →10 preguntas · sin registro · veredicto inmediato
1. Responde el test
10 preguntas sobre tu sector, tamaño y madurez en ciberseguridad. Sin tecnicismos.
2. Veredicto inmediato
Te decimos si eres entidad esencial, importante, afectada vía cadena de suministro o no obligada.
3. Informe de gaps (opcional)
Informe completo contra los 10 controles del artículo 21 con plan de adecuación priorizado, generado al instante.
¿Por qué ahora?
- • El Real Decreto que transpone NIS2 está en vigor desde abril de 2026 y el plazo máximo de adaptación es de 9 meses.
- • Si eres proveedor de una entidad esencial, puedes quedar obligado aunque no superes los umbrales de tamaño.
- • El órgano de dirección responde personalmente del incumplimiento y debe formarse en ciberseguridad.
Preguntas frecuentes
¿Qué es la directiva NIS2?
Es la norma europea de ciberseguridad (Directiva (UE) 2022/2555) que obliga a empresas de 18 sectores a implantar medidas de gestión de riesgos, notificar incidentes y responsabilizar a su dirección. En España se aplica a través del Real Decreto de transposición en vigor desde abril de 2026, con un plazo de adaptación que termina en enero de 2027.
¿Cómo sé si mi empresa está obligada por NIS2?
Depende de dos factores: tu sector (Anexos I y II: energía, transporte, sanidad, alimentación, fabricación, TIC, etc.) y tu tamaño (a partir de 50 empleados o 10 millones de euros de facturación). Algunos servicios, como DNS o servicios de confianza, están obligados sin importar el tamaño. Nuestro test gratuito te lo dice en 3 minutos.
¿Qué multas tiene el incumplimiento de NIS2?
Hasta 10 millones de euros o el 2% de la facturación mundial para entidades esenciales, y hasta 7 millones o el 1,4% para entidades importantes. Además, el órgano de dirección responde personalmente y puede ser inhabilitado temporalmente.
Soy una pyme pequeña, ¿puedo ignorar NIS2?
No siempre. Si eres proveedor de una entidad esencial o importante, tus clientes están obligados a exigirte medidas de ciberseguridad por contrato (seguridad de la cadena de suministro, art. 21.2.d). En la práctica, quien no demuestre cumplimiento perderá contratos.
¿Qué incluye el informe de pago?
Un análisis personalizado de tu situación contra los 10 controles del artículo 21, tu clasificación y régimen sancionador, y un plan de adecuación priorizado en tres horizontes (0-30 días, 1-3 meses, 3-9 meses). Se genera al momento y el enlace es permanente.