La ciberseguridad sube del departamento de IT al consejo de administración

Madrid, 23 de junio de 2026.- La Directiva de Ciberseguridad (UE) 2022/2555, conocida como NIS2, ha dejado de ser un asunto técnico para convertirse en una condición de mercado. La norma eleva el nivel común de ciberseguridad en toda la UE y amplía de forma radical el número de empresas obligadas. En este contexto, empresas especializadas en ciberseguridad y gestión del riesgo como Xeoris están acompañando a las organizaciones en su proceso de adaptación a los nuevos requisitos regulatorios.

Se calcula que las empresas afectadas pasan en España de unas 15.000 a más de 160.000. La dimensión se ve país por país: en Alemania hasta 200.000 empresas y en Italia unas 150.000, mientras Francia identificó más de 180.000. Ya no afecta solo a los operadores críticos clásicos; bajo las categorías de entidades esenciales e importantes entran empresas de energía, transporte, salud, banca, infraestructura digital, alimentación, fabricación o gestión de residuos entre otros, con un criterio de entrada concreto, aquellas que tienen 50 o más empleados o más de 10 M€ de facturación. A estas habría que sumar las pymes que forman parte de la cadena de suministro de una entidad esencial, que quedan arrastradas indirectamente a su órbita de exigencias y que hace que el número de empresas afectadas alcance esas magnitudes.

Lo que NIS2 requiere se articula en bloques claros: gestión de riesgos con medidas proporcionales a la amenaza, notificación de incidentes significativos en plazos muy ajustados (alerta temprana en 24 horas, informe intermedio en 72 horas e informe final en un mes), seguridad de la cadena de suministro, mantener la continuidad del negocio y el cambio más disruptivo, responsabilidad directa de los órganos de dirección en caso de incumplimientos graves. Por primera vez, la alta dirección responde personalmente del cumplimiento. La ciberseguridad sube del departamento de IT al consejo de administración.

Cumplir o no cumplir: dos caminos con consecuencias muy distintas

Las consecuencias de no cumplir son las más visibles. Las multas alcanzan 10 millones de euros o el 2% la facturación total para las entidades esenciales y 7 millones o el 1,4% para las importantes, con responsabilidad personal de los directivos, que pueden ser suspendidos temporalmente de sus funciones si descuidan sus deberes de supervisión. Pero para una pyme el golpe más peligroso no suele ser la multa, sino el incidente en si, la interrupción de la actividad, la pérdida de clientes y el daño reputacional pueden comprometer la viabilidad del negocio cuando no se dispone de los colchones financieros de una gran corporación. A ello se suma el efecto cadena, que para la mediana y pequeña empresa es decisivo, en un entorno donde las grandes compañías están obligadas por la propia NIS2 a auditar su cadena de suministro, quedar señalado como eslabón débil equivale a quedar fuera de sus contratos. Y no es retórica, cuando un cliente esencial revisa a sus proveedores, el que no acredita un nivel mínimo de seguridad simplemente deja de ser elegible. Cumplir deja de ser una opción para convertirse en la condición de acceso al mercado.

Las consecuencias de cumplir, en cambio, suelen subestimarse porque exigen inversión inicial y un cambio cultural real. Pero el retorno es tangible: mejora la continuidad operativa, reduce la probabilidad y el impacto de un incidente y se convierte, cada vez más, en una credencial comercial para acceder a contratos y licitaciones. Además, la mayor parte del riesgo se cubre con un número reducido de medidas asumibles, no con grandes despliegues tecnológicos. El balance no es simétrico: el esfuerzo de cumplir es finito, planificable y rentable, el coste de no hacerlo es incierto, potencialmente irreversible y para una pyme a menudo fatal.

Y el reloj corre de verdad: 22 de los 27 Estados miembros ya han completado la transposición de NIS2, mientras España la transpuso solo parcialmente mediante el RD-ley 7/2025 y mantiene en tramitación la ley que completará la norma. La obligación ya es exigible, y en otros países las sanciones han empezado: Alemania ha abierto procedimientos por falta de notificación de incidentes en plazo e Italia ha iniciado inspecciones sectoriales.

Entre las medidas recomendadas para cumplir con la NIS2 se encuentran:

Adaptarse a NIS2 no es una única acción, sino un programa de seguridad sostenido.

Realizar un análisis de riesgos y un diagnóstico de cumplimiento. Identificar activos críticos, evaluar amenazas y detectar brechas frente a la norma antes de invertir.

Reforzar el factor humano y el control de accesos.

Implantar políticas de seguridad y gestión de incidentes que permitan reaccionar dentro de los plazos.

Asegurar la cadena de suministro. Evaluar a proveedores e incorporar requisitos contractuales, recordando que NIS2 exige verificación, no solo una declaración firmada.

Formar al personal y a la dirección.

Establecer monitorización y gobernanza continua. Auditorías periódicas, control de accesos, gestión de vulnerabilidades y trazabilidad de las decisiones del consejo.

A muchas empresas les suena ajeno cumplir con este nivel de exigencia, y muchas de ellas lo están consiguiendo alcanzar a través del ciberseguro , que ha dejado de ser un extra opcional. NIS2 exige garantizar la continuidad del negocio, y una póliza de ciberriesgo es uno de los mecanismos que lo acreditan: financia la respuesta, la recuperación, la responsabilidad frente a terceros y la interrupción de la actividad. A ello se suma un factor decisivo: cuando una gran empresa audita a sus proveedores, el ciberseguro es ya una de las primeras cosas que pregunta. No se contrata "por si acaso", es parte de cómo una pyme demuestra que cumple, coherente con el espíritu de NIS2.

En España empresas especialistas en Ciberseguros, como Xeoris, Markel, Hiscox, Telefónica Seguros o Mapfre, están ayudando de manera esencial a las compañías a enfrentarse a este nuevo reto que ha venido para quedarse.

Contacto
Emisor: Xeoris
Contacto: Xeoris
Número de contacto: +34 91 93 79 900