Última revisión normativa: 24/06/2026 · marco UE (en transposición en España)
La directiva NIS2 (Directiva UE 2022/2555) obliga a las entidades esenciales e importantes de los sectores críticos a gestionar sus riesgos de ciberseguridad y a formar a su plantilla y a su dirección. Aunque tu empresa quede fuera del ámbito directo, la concienciación del personal es la primera defensa frente a phishing y ransomware, y las sanciones alcanzan los 10 millones de euros o el 2% de la facturación.
Datos clave · resumen legal verificado
Norma principal
Directiva (UE) 2022/2555 (NIS2)
A quién obliga
Entidades esenciales e importantes de los sectores incluidos (energía, transporte, banca, sanidad, agua, infraestructura digital, fabricación...). Recomendable a cualquier empresa.
Periodicidad
Continua; planes y formación periódicos.
Sanción
Hasta 10 M€ o 2% de la facturación (esenciales) y 7 M€ o 1,4% (importantes), según transposición.
Sincronizado con la ficha normativa de Ciberaula. Última revisión: 24/06/2026.
¿Quién puede impartir esta formación?
Libre — la puede impartir cualquier proveedor solvente
Cualquier proveedor; sin homologación (las certificaciones técnicas personales son aparte). Bonificable.
La concienciación en ciberseguridad puede impartirla cualquier proveedor solvente y es bonificable por FUNDAE. Las certificaciones técnicas personales (p. ej. de analistas) son otra cosa y van aparte.
¿Qué obliga exactamente NIS2?
NIS2 se apoya en la gestión de riesgos: su artículo 21 exige a las entidades adoptar medidas técnicas y organizativas proporcionadas —políticas de seguridad, gestión de incidentes, continuidad de negocio y copias de seguridad, seguridad de la cadena de suministro, control de accesos y cifrado— y, de forma expresa, formación y concienciación en ciberseguridad.
Además, el artículo 20 responsabiliza directamente a los órganos de dirección: deben aprobar y supervisar las medidas y recibir formación específica. Y el artículo 23 impone notificar los incidentes significativos a la autoridad competente en plazos estrictos.
¿A quién obliga?
A las entidades esenciales e importantes de los sectores incluidos: energía, transporte, banca y mercados financieros, sanidad, agua potable y residual, infraestructura digital, administración pública, espacio, servicios postales, gestión de residuos, fabricación de productos críticos, alimentación y proveedores digitales, entre otros. Por lo general afecta a medianas y grandes empresas de esos sectores.
Si tu empresa no está en el ámbito directo, NIS2 puede alcanzarte igualmente por la cadena de suministro: las entidades obligadas deben exigir garantías de seguridad a sus proveedores. Por eso la concienciación interna se ha vuelto un requisito comercial de facto.
Qué tiene que hacer tu empresa, paso a paso
1Realizar un análisis de riesgos de los sistemas y datos críticos.
2Aprobar políticas de seguridad, control de accesos y uso de contraseñas y doble factor.
3Establecer copias de seguridad y un plan de continuidad y recuperación.
4Exigir garantías de seguridad a los proveedores (cadena de suministro).
5Definir un procedimiento de gestión y notificación de incidentes (24 h / 72 h / informe final).
6Formar y concienciar periódicamente a plantilla y dirección frente a phishing, ransomware e ingeniería social.
Sanciones por incumplimiento
El régimen sancionador de NIS2 distingue según el tipo de entidad (las cuantías finales dependen de la transposición nacional):
Tipo de entidad
Multa
Entidades esenciales
hasta 10 M€ o el 2% de la facturación mundial
Entidades importantes
hasta 7 M€ o el 1,4% de la facturación mundial
Más allá de la multa, NIS2 prevé responsabilidad personal de los directivos e incluso la suspensión temporal de cargos. Y el coste real de un incidente —parada de negocio, rescate, pérdida de datos y reputación— suele superar con creces al de la sanción.
Cómo cumplir con la formación en ciberseguridad
Conciencia a toda la plantilla frente a las amenazas con un curso 100% bonificable por FUNDAE.
A las entidades esenciales e importantes de los sectores críticos (energía, transporte, banca, sanidad, agua, infraestructura digital, administración pública, fabricación de productos críticos…), por lo general medianas y grandes. Aunque tu empresa quede fuera del ámbito directo, la concienciación en ciberseguridad es la primera defensa y muchas grandes la exigen por contrato a sus proveedores.
Sí. NIS2 obliga a los órganos de dirección a recibir formación específica y a velar por la formación en ciberseguridad de todo el personal. La concienciación del empleado es la medida con mejor relación coste-eficacia frente al phishing y el ransomware.
Un incidente con impacto operativo o económico relevante. NIS2 marca notificación escalonada al CSIRT/autoridad: una alerta temprana en 24 horas, una notificación completa en 72 horas y un informe final en el plazo de un mes.
Según la transposición, hasta 10 millones de euros o el 2% de la facturación anual mundial para entidades esenciales, y hasta 7 millones o el 1,4% para las importantes, además de responsabilidad para los directivos.
Sí. La mayoría de los ataques exitosos entran por un error humano (un clic en un correo fraudulento, una contraseña débil). Formar a la plantilla para reconocer señales de fraude reduce drásticamente ese riesgo.
Sí. La formación en concienciación en ciberseguridad es 100% bonificable para empresas a través de FUNDAE.