NIS2Check

Guías NIS2

Sanciones de NIS2 para pymes: ¿cuánto te pueden multar?

Las sanciones de NIS2 llegan hasta 10 millones de euros o el 2% de la facturación mundial para las entidades esenciales, y hasta 7 millones o el 1,4% para las importantes. Y sí, afecta a muchas pymes: una empresa mediana (50–249 empleados) de un sector cubierto está plenamente obligada.

Cuánto son las multas exactamente

  • Entidades esenciales: hasta 10.000.000 € o el 2% del volumen de negocio anual mundial total, lo que sea mayor.
  • Entidades importantes: hasta 7.000.000 € o el 1,4% del volumen de negocio anual mundial total, lo que sea mayor.
  • Además de la multa económica: la autoridad puede suspender certificaciones e incluso prohibir temporalmente el ejercicio de funciones directivas.

¿De verdad afecta a las pymes?

El error más común es pensar que NIS2 es solo para grandes empresas. La directiva sigue la regla de tamaño europea: las empresas medianas (entre 50 y 249 empleados, o entre 10 y 50 M€) de los sectores de los Anexos I y II quedan obligadas como entidades importantes. Muchas pymes españolas entran de lleno por aquí.

Las microempresas y pequeñas empresas no quedan obligadas directamente por tamaño, salvo excepciones (DNS, registro de dominios, servicios de confianza, telecomunicaciones y administración pública, que entran sin umbral). Pero aunque no estés obligada directamente, si eres proveedor de una entidad esencial te llegarán exigencias por contrato.

La responsabilidad es personal de la dirección

NIS2 hace responsable directamente al órgano de dirección: debe aprobar las medidas de gestión de riesgos, supervisar su aplicación y formarse en ciberseguridad (art. 20). El incumplimiento puede acarrear responsabilidad personal de administradores y directivos, no solo una sanción a la empresa.

Preguntas frecuentes

¿NIS2 multa a las pymes?

Sí, si son medianas empresas (50–249 empleados o 10–50 M€) de un sector cubierto: se exponen a multas de hasta 7 M€ o el 1,4% de su facturación como entidades importantes. Las micro y pequeñas no están obligadas directamente salvo excepciones de sector.

¿La multa la paga la empresa o el administrador?

La sanción económica recae sobre la entidad, pero NIS2 introduce responsabilidad personal del órgano de dirección por no aprobar ni supervisar las medidas, y la autoridad puede prohibir temporalmente ejercer funciones directivas.

¿Te afecta NIS2? Sal de dudas en 3 minutos

10 preguntas, veredicto inmediato y, si quieres, informe de gaps con plan de adecuación.

Hacer el test gratuito →

Sigue leyendo:

Contenido orientativo basado en la directiva (UE) 2022/2555 y su transposición española. No constituye asesoramiento jurídico.