norppa.io
Guías

Guía NIS2 · 8 min

Multas y sanciones NIS2: cuánto, quién es responsable y cómo evitarlas

NIS2 da a los reguladores verdaderas competencias: multas basadas en la facturación, órdenes vinculantes y, para las entidades esenciales, la facultad de suspender temporalmente una certificación o prohibir a un directivo ejercer su función. Esta guía explica qué son las sanciones, quién responde personalmente, cómo difiere la supervisión para las entidades esenciales e importantes, y la forma práctica de evitar problemas: implemente las medidas del artículo 21, apartado 2, y conserve pruebas continuas y fechadas de que lo hace.

Puntos clave

  • Las multas máximas se basan en la facturación: hasta 10 M€ o el 2 % de la facturación anual mundial para entidades esenciales, y 7 M€ o el 1,4 % para entidades importantes, lo que sea mayor.
  • El órgano de dirección debe aprobar y supervisar las medidas de seguridad (art. 20) y puede ser considerado personalmente responsable; para las entidades esenciales, las autoridades pueden prohibir temporalmente a un directivo ejercer su función (art. 32, apdo. 5).
  • Las multas son un último recurso: la exposición diaria son las órdenes vinculantes, las auditorías y el coste de demostrar la diligencia. Una supervisión continua y demostrada de la cadena de suministro es el seguro más barato.

Qué cubren las sanciones NIS2

NIS2 (Directiva (UE) 2022/2555) la transpone cada Estado miembro a su Derecho nacional, por lo que las cifras y los procedimientos exactos se fijan a nivel nacional, pero la Directiva fija los mínimos de las multas administrativas máximas y el conjunto de herramientas de ejecución. Las sanciones se vinculan al incumplimiento de las obligaciones de una entidad: las medidas de gestión de riesgos del artículo 21, apartado 2, los deberes de notificación de incidentes del artículo 23, el registro y la cooperación con las autoridades.

Es crucial: NIS2 no trata solo de dinero. El artículo 32 (entidades esenciales) y el artículo 33 (entidades importantes) otorgan a las autoridades competentes un conjunto gradual de potestades, desde advertencias hasta instrucciones vinculantes y, para las entidades esenciales, suspensión y prohibiciones de dirección. La multa es el titular; las medidas operativas son lo que la mayoría de las entidades encontrará realmente.

Las multas máximas

Entidades esenciales

Hasta 10 000 000 € o el 2 % de la facturación anual mundial total (ejercicio anterior), lo que sea mayor.

Grandes operadores de sectores altamente críticos: energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable y residual, infraestructura digital, gestión de servicios TIC, administración pública, espacio.

Entidades importantes

Hasta 7 000 000 € o el 1,4 % de la facturación anual mundial total (ejercicio anterior), lo que sea mayor.

Otras entidades medianas y grandes de los sectores cubiertos, incluidos los servicios postales y de mensajería, la gestión de residuos, los productos químicos, la alimentación, la fabricación, los proveedores digitales y la investigación.

Estos son topes máximos fijados por la Directiva (art. 34). Las multas reales se deciden a nivel nacional y deben ser efectivas, proporcionadas y disuasorias, teniendo en cuenta la gravedad, la duración y su cooperación. Confirme las reglas exactas de la transposición de su país con asesoramiento cualificado.

Responsabilidad personal y de la dirección

NIS2 pone deliberadamente la ciberseguridad sobre la mesa del consejo. Conforme al artículo 20, el órgano de dirección debe aprobar las medidas de gestión de ciberriesgos, supervisar su implementación y puede ser considerado responsable de los incumplimientos. Los miembros de los órganos de dirección también deben recibir formación y se espera que ofrezcan formación similar a su personal.

Para las entidades esenciales, el artículo 32, apartado 5, va más allá: cuando otras medidas han fracasado, las autoridades competentes pueden suspender temporalmente una certificación o autorización y prohibir temporalmente a una persona de nivel de director ejecutivo o representante legal ejercer funciones de dirección. Esa exposición personal es la razón por la que la gobernanza NIS2 llega ahora a la cúpula de la organización.

Vea cómo puntúan realmente sus proveedores

Iniciar prueba gratuita Ver informe de ejemplo

7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera

El conjunto de herramientas de ejecución (más allá de las multas)

Antes o junto a una multa, las autoridades pueden aplicar diversas medidas vinculantes (art. 32 y 33). En la práctica, esto es lo que probablemente afrontará:

  • Advertencias e instrucciones vinculantes para subsanar deficiencias concretas dentro de un plazo.
  • Órdenes de cumplir, de informar a los clientes afectados de una amenaza importante o de implementar las recomendaciones de auditoría.
  • Auditorías de seguridad obligatorias e inspecciones in situ, a su propio coste.
  • Designación de un responsable de supervisión que vigile su cumplimiento durante un periodo determinado.
  • Divulgación pública de la infracción y órdenes de hacer públicos aspectos de la brecha.
  • Solo para entidades esenciales: suspensión temporal de la certificación o autorización y una prohibición temporal de dirección (art. 32, apdo. 5).

La supervisión difiere según la categoría

Las entidades esenciales están sujetas a supervisión proactiva (ex ante) y reactiva (ex post) conforme al artículo 32: auditorías periódicas y específicas, inspecciones in situ, análisis de seguridad y solicitudes de información pueden producirse haya o no sospecha de un problema.

Las entidades importantes solo se supervisan ex post conforme al artículo 33: las autoridades actúan cuando hay pruebas o indicios de incumplimiento, normalmente tras un incidente o una denuncia. En cualquier caso, le corresponde a usted demostrar que existían medidas adecuadas, lo que es mucho más fácil con registros continuos que con una instantánea anual.

Fuentes: Directiva (UE) 2022/2555 (NIS2), artículos 20, 32, 33 y 34 Las cifras de multas máximas las fija la Directiva; las transposiciones nacionales fijan las reglas y procedimientos exactos. Esta guía es información general, no asesoramiento jurídico.

Cómo norppa.io reduce su exposición

La mayoría de las sanciones se remontan a dos fallos: medidas insuficientes conforme al artículo 21, apartado 2 (en especial la seguridad de la cadena de suministro), y la incapacidad de demostrar la diligencia cuando se solicita. norppa.io aborda ambos supervisando de forma continua cada dominio de proveedor y asignando cada hallazgo al artículo NIS2 que le concierne.

Como cada ciclo de supervisión queda registrado, dispone de un rastro de auditoría continuo y fechado, justo la prueba que exige la supervisión conforme a los artículos 32 y 33, en lugar de una instantánea puntual. Eso convierte el «teníamos la intención» en «aquí está el registro», y es el seguro más barato frente a las multas y órdenes anteriores.

¿Aún no listo para empezar? Reciba el estado NIS2 de su país

Le enviaremos el estado de transposición NIS2 de su país (autoridad, ley nacional, fechas clave) y una checklist concisa de diligencia de proveedores. Un correo y, después, novedades NIS2 ocasionales.

Nunca compartimos su correo. Baja con un clic. Almacenado en la UE.

Demuestre la diligencia de su cadena de suministro

Vea un informe de proveedor de ejemplo (hallazgos, pruebas y mapeo de artículos NIS2) en unos dos minutos.

Iniciar prueba gratuita Ver informe de ejemplo

7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera

Ver el panel de ejemplo

Última revisión: 19 de junio de 2026

Esta guía es información general sobre el Derecho de la UE, no asesoramiento jurídico. NIS2 entra en vigor a través de la ley de transposición nacional de cada Estado miembro de la UE, que puede diferir en los detalles. Verifique las obligaciones que le aplican con su autoridad competente o asesor jurídico.

Guías relacionadas

Cómo cumplir NIS2: una hoja de ruta paso a paso

Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

NIS2 para proveedores: usted no está designado, pero sus clientes sí

La mayoría de las empresas nunca son designadas conforme a NIS2, pero muchas deben cumplirla igualmente. Cómo el deber de cadena de suministro de un cliente afectado (artículo 21, apartado 2, letra d) desciende hasta usted, qué pedirá y cómo responder de forma creíble.

NIS2 y el requisito de la cadena de suministro: qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

NIS2 Art. 21(2): lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos

En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.

El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro

Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.

El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)

Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.