España lleva más de 18 meses sin transponer NIS2. Mientras el BOE espera, los clientes grandes ya exigen a sus proveedores garantías de seguridad que la mayoría de pymes no puede demostrar. Cuatro acciones concretas para cambiar eso antes de que llegue la ley.
Imagina que uno de tus clientes más importantes te envía un cuestionario de seguridad de doce páginas. No tienes política de gestión de riesgos documentada. No tienes registro de incidentes. No sabes con certeza si los datos que gestionas están cifrados en tránsito y en reposo. El cuestionario tiene un plazo de dos semanas. Sin respuesta satisfactoria, el contrato se pone en riesgo.
Esta situación ocurre ya, hoy, en pymes españolas de todos los sectores. Y ocurrirá con mucha más frecuencia cuando la directiva NIS2 —la norma europea de ciberseguridad más ambiciosa de la última década— termine de desplegarse por la cadena de suministro.
La ley no ha llegado. Los efectos, sí.
España lleva más de 18 meses en retraso en la transposición de NIS2. La directiva europea fijó el 17 de octubre de 2024 como plazo límite para que todos los Estados miembros la incorporaran a su derecho nacional. España no lo cumplió. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado en Consejo de Ministros en enero de 2025, pero a fecha de hoy no ha sido remitido a las Cortes Generales. La Comisión Europea ya ha enviado un dictamen motivado que puede derivar en recurso ante el Tribunal de Justicia de la UE.
Este retraso no protege a nadie. Las grandes empresas y organismos regulados que sí están bajo el paraguas de NIS2 —o que se anticipan a su aplicación— ya exigen garantías de seguridad a sus proveedores. Y esto afecta directamente a PYMEs que, sobre el papel, no serían «entidades esenciales» ni «entidades importantes» según la directiva.
El efecto cascada: por qué NIS2 te afecta aunque no te mencione
NIS2 obliga a las entidades en su ámbito a gestionar los riesgos de seguridad de toda su cadena de proveedores y subcontratistas. Una empresa de software que vende a un banco tiene que acreditar que sus proveedores cumplen estándares mínimos. Un integrador logístico que trabaja con una gran distribuidora deberá demostrar que su acceso a sistemas está controlado. El cumplimiento se traslada escalón a escalón.
El mecanismo es directo: el cliente grande —sujeto a NIS2— traslada sus obligaciones hacia abajo en forma de cláusulas contractuales, cuestionarios, auditorías o requisitos de certificación. Si no los cumples, dejas de ser un proveedor elegible. No es una amenaza futura: ya ocurre en licitaciones del sector público, en contratos con corporaciones financieras y en sectores como la industria o la salud.
El número de incidentes gestionados por el INCIBE —el Instituto Nacional de Ciberseguridad— alcanzó los 122.223 en 2025, un 26% más que el año anterior. Al mismo tiempo, casi la mitad de las pymes españolas invierte menos de 500 euros anuales en ciberseguridad, según el Barómetro de Digitalización de la pyme española elaborado por Gigas e Ipsos sobre 1.300 empresas. La brecha entre riesgo real e inversión en protección es enorme, y NIS2 —con o sin transposición formal— está acelerando su corrección desde arriba de la cadena de valor.
Cuatro acciones concretas, ordenadas de menor a mayor esfuerzo
La ventaja de actuar antes de que la ley esté en vigor es que puedes hacerlo a tu ritmo, sin la presión de un plazo regulatorio encima. Estas cuatro acciones generan valor inmediato independientemente del calendario legislativo.
Primera. Documenta lo que ya haces. La mayoría de pymes aplica controles de seguridad razonables sin haberlos registrado. Tener correo con autenticación reforzada, copias de seguridad automáticas o acceso restringido por perfiles no vale de nada ante una auditoría si no existe evidencia escrita. Dedica dos tardes a inventariar qué sistemas usáis, quién tiene acceso a qué y cómo salen los datos de vuestra red. Ese inventario es el punto de partida de cualquier evaluación de riesgos y el primer documento que pedirá un cliente que os audite.
Segunda. Haz un simulacro de cuestionario de cliente. Descarga el cuestionario de seguridad de alguna empresa grande de tu sector —muchos son públicos— y respóndelo honestamente. Las preguntas que no puedas contestar señalan tus brechas reales. Este ejercicio lleva menos de una jornada y produce un diagnóstico más útil que muchas auditorías formales, porque parte de las exigencias concretas del mercado, no de marcos teóricos.
Tercera. Define un protocolo mínimo de respuesta a incidentes. NIS2 exige notificar incidentes significativos en plazos muy ajustados: aviso inicial en 24 horas, notificación completa en 72. Sin un procedimiento escrito —quién decide, quién notifica, a quién— el tiempo se consume en caos interno. El protocolo no tiene que ser largo: dos páginas con los roles, los umbrales de activación y los contactos de notificación son suficientes para empezar, y te diferencian de forma inmediata ante cualquier auditoría.
Cuarta. Asigna un responsable de seguridad, aunque sea a tiempo parcial. La directiva establece que el órgano de dirección debe aprobar y supervisar las medidas de ciberseguridad. Esto no significa contratar un director de seguridad a jornada completa —para la mayoría de pymes no tiene sentido económico—, pero sí que alguien en la empresa debe ser el interlocutor de estas decisiones: el responsable de IT, el COO, o un asesor externo. Lo importante es que exista, que tenga autoridad real y que participe en las decisiones de negocio con criterio propio.
La responsabilidad directiva no desaparece por el retraso legislativo
NIS2 establece de forma explícita que los miembros del órgano de dirección pueden ser considerados personalmente responsables por el incumplimiento de las obligaciones de seguridad de su organización. Las multas pueden alcanzar los 10 millones de euros o el 2% de la facturación mundial para entidades esenciales, y los 7 millones para las importantes. No son cifras abstractas: son el marco que España deberá incorporar en su legislación, más pronto que tarde.
NIS2 exige notificar incidentes significativos en plazos muy ajustados: aviso inicial en 24 horas, notificación completa en 72
Existe una tendencia comprensible a pensar que, mientras la ley no esté publicada en el BOE, no hay urgencia. Es un error de cálculo. Los clientes grandes no esperan al BOE para exigir garantías a sus proveedores. Los incidentes no esperan. Y cuando la ley llegue, los plazos de adaptación serán cortos para quienes no hayan empezado.
La ciberseguridad dejó de ser un problema técnico hace tiempo. Es una decisión de dirección que define, cada vez más, si una pyme puede seguir compitiendo en los mercados donde trabaja.
Por Jorge Mendes, fundador de Mencar Global Consulting · CISSP, CEH
