Ir al contenido
Empieza 2026 con todo en regla: obtén gratis el Kit de herramientas esenciales para cumplir la Ley en España
|
Descargar
Leyes y documentos

Empresas esenciales vs importantes en la NIS2

·
6 minutos de lectura
¿TU EMPRESA ESTÁ PREPARADA PARA NIS2?
Centraliza dispositivos y accesos, automatiza políticas de seguridad y prepárate mejor para cumplir con NIS2 y las auditorías. Descubre más sobre Factorial IT
Escrito por

La directiva NIS2 marca un antes y un después en las obligaciones de ciberseguridad para miles de empresas en Europa. Si bien todas las organizaciones afectadas deben cumplir con un nivel de protección elevado y medidas de seguridad uniformes, la normativa introduce una distinción clave entre empresas esenciales y empresas importantes. Esta clasificación no afecta tanto a las medidas técnicas a implementar, sino que influye directamente en el nivel de supervisión estatal y en la cuantía de las posibles sanciones.

Comprender esta diferencia es fundamental para anticiparse, evaluar riesgos y evitar incumplimientos. En este artículo te explicamos de forma clara qué significa cada categoría, en qué se diferencian y cómo saber en cuál encaja tu organización. 

¿Qué es NIS2 y por qué clasifica a las empresas?

La directiva NIS2 es la nueva normativa de la Unión Europea que refuerza los requisitos de ciberseguridad para empresas que prestan servicios críticos o relevantes para la sociedad y la economía. Su objetivo es mejorar la resiliencia frente a ciberataques y garantizar una respuesta coordinada ante incidentes.

Para aplicar estas obligaciones de forma eficaz y proporcional, la normativa clasifica a las organizaciones según su nivel de criticidad e impacto potencial. No todas las empresas tienen el mismo peso dentro del funcionamiento de la economía o de los servicios esenciales.

Por ello, la directiva NIS2 distingue entre entidades esenciales y entidades importantes en función de factores como el sector, el tamaño, la dependencia de sistemas digitales o las consecuencias que tendría una interrupción de su actividad.

¿Qué es una empresa esencial según la NIS2?

Una empresa esencial según la directiva NIS2 es aquella organización que opera en sectores considerados críticos para el funcionamiento de la sociedad y la economía, y cuya interrupción podría provocar un impacto significativo en servicios básicos, la seguridad pública o la estabilidad económica.

Para que una empresa sea considerada esencial necesita cumplir con los siguientes criterios:

1. Operar en un sector considerado de “alta criticidad”

Los sectores considerados de “alta criticidad” son los siguientes:

  • Energía: electricidad, redes de calefacción y refrigeración urbana, petróleo, gas e hidrógeno.
  • Transporte: aéreo, ferroviario, marítimo y por carretera.
  • Banca: entidades de crédito.
  • Infraestructuras de los mercados financieros: operadores de centros de negociación, sistemas de liquidación y entidades de contrapartida central.
  • Sanidad: prestadores de asistencia sanitaria, laboratorios de referencia, actividades de investigación y desarrollo farmacéutico y fabricantes de medicamentos.
  • Agua potable: proveedores y distribuidores responsables del suministro.
  • Aguas residuales: empresas encargadas de la recogida, eliminación o tratamiento.
  • Infraestructura digital: proveedores de servicios en la nube, centros de datos, redes de telecomunicaciones, proveedores de DNS y registros de nombres de dominio.
  • Gestión de servicios TIC: proveedores de servicios gestionados (MSP) y proveedores de servicios de seguridad gestionada (MSSP) que operan en entornos empresariales (B2B).
  • Administración pública: entidades de la administración central y regional.
  • Espacio: operadores de infraestructuras terrestres que apoyan la prestación de servicios espaciales.

2. Tamaño de la organización

Para que una empresa sea considerada esencial tiene que cumplir alguno de los siguientes puntos:

  • Tener más de 250 empleados, o
  • Tener un volumen de negocio anual superior a 50 millones de euros (o balance superior a 43 millones).

3. Operar en la Unión Europea

La empresa debe estar establecida dentro de la Unión Europea, pero su alcance no se limita a sus fronteras físicas, ya que también afecta a organizaciones con sede fuera de la UE si prestan servicios, suministran productos o gestionan infraestructuras críticas para usuarios o empresas en el mercado europeo.

Ejemplo de empresas esencial

  • Empresa: IberEnergía S.A.
  • Sector: Energía (Distribución de electricidad).
  • Tamaño: 600 empleados y 150 millones de euros de facturación.

¿Por qué está considerada como entidad esencial? Porque opera en un sector de alta criticidad (energía) y supera el umbral de gran empresa (más de 250 empleados y más de 50M€).

¿Qué es una empresa importante según la NIS2?

Una empresa importante según la directiva NIS2 es aquella organización que opera en sectores críticos para la sociedad y la economía, pero cuya interrupción tendría un impacto menor que el de las entidades esenciales. Estas empresas siguen estando sujetas a obligaciones de ciberseguridad, pero con un régimen de supervisión diferente (reactivo en lugar de proactivo).

Para que una empresa sea considerada importante necesita cumplir los siguientes criterios:

1. Operar en un sector de “alta criticidad” o «otros sectores críticos»

Una organización entra en esta categoría en dos supuestos:

  • Si opera en un sector de “alta criticidad” (vistos anteriormente, como por ejemplo energía o salud) pero tiene el tamaño de una empresa mediana.
  • Si opera en los llamados “otros sectores críticos”, independientemente de si es mediana o grande. Estos sectores son:
  • Servicios postales y de mensajería.
  • Gestión de residuos.
  • Industria química: fabricación, producción y distribución de sustancias químicas.
  • Alimentación: producción, transformación y distribución al por mayor de alimentos.
  • Fabricación: incluye la fabricación de dispositivos médicos, productos informáticos, electrónicos y ópticos, equipos eléctricos, maquinaria, vehículos de motor y otro material de transporte.
  • Proveedores digitales: mercados en línea (marketplaces), motores de búsqueda y plataformas de redes sociales.
  • Investigación: organizaciones e institutos de investigación.

Tamaño de la organización

Por regla general, se consideran entidades importantes aquellas que cumplen con los umbrales de mediana empresa:

  • Tener entre 50 y 249 empleados, o
  • Tener un volumen de negocio anual o balance general de entre 10 y 50 millones de euros.

3. Operar en la Unión Europea

Al igual que ocurre con las entidades esenciales, este marco normativo no se limita a las fronteras físicas. Una organización se considera «importante» si su actividad impacta en el mercado europeo, independientemente de dónde esté su sede central.

Esto incluye a empresas extranjeras que suministran servicios digitales o infraestructuras a usuarios dentro de la Unión Europea, las cuales están obligadas a designar un representante legal en un Estado miembro para actuar como enlace con las autoridades de ciberseguridad.

Ejemplo de empresas importante

  • Empresa: LogiTrans S.L.
  • Sector: Transporte (Servicios de logística regional).
  • Tamaño: 120 empleados y 20 millones de euros de facturación.

¿Por qué está considerada como empresa importante? Porque opera en un sector relevante listado en el Anexo II (transporte regional) y cumple los criterios de tamaño para entidades importantes (entre 50 y 250 empleados y facturación entre 10 y 50M€), sin superar los umbrales de una entidad esencial.

📌 Descubre a quién afecta la directiva NIS2 en España.

Principales diferencias entre empresas esenciales e importantes

La distinción entre estas dos categorías es el eje central de la NIS2. Aunque ambas deben cumplir con las mismas medidas de gestión de riesgos, la «intensidad» de la vigilancia estatal y el peso de las multas varían significativamente.

Característica Entidad Esencial Entidad Importante
Sectores incluidos Solo sectores de Alta Criticidad (Anexo 1). Sectores de Alta Criticidad (Anexo 1) Y Otros Sectores Críticos (Anexo 2).
Tamaño de la empresa Grandes empresas (>250 empleados o >50M€ facturación). Medianas empresas (50-249 emp.) en cualquier sector O Grandes en sectores del Anexo 2.
Supervisión Proactiva y reactiva: Las autoridades auditan de oficio en cualquier momento. Solo reactiva: Solo hay inspecciones si ocurre un incidente o hay indicios de falta.
Multas Máximas Hasta 10 millones de euros o el 2% de la facturación global. Hasta 7 millones de euros o el 1,4% de la facturación global.

Obligaciones comunes para ambas clasificaciones

Independientemente de si una empresa es calificada como esencial o importante, la directiva NIS2 exige un nivel de protección elevado y uniforme. Todas las organizaciones afectadas deben implementar medidas técnicas, operativas y organizativas para gestionar los riesgos de ciberseguridad.

Estas obligaciones se dividen en tres grandes bloques:

1. Medidas básicas de gestión de riesgos

La normativa establece un «mínimo obligatorio» que toda empresa debe cumpli:

  • Políticas de análisis de riesgos y seguridad: documentar cómo se identifican y gestionan las amenazas.
  • Gestión de incidentes: protocolos claros de detección, respuesta y recuperación tras un ataque.
  • Continuidad del negocio: planes de respaldo (backups), recuperación ante desastres y gestión de crisis para que la empresa no se detenga.
  • Seguridad en la cadena de suministro: evaluar la ciberseguridad de los proveedores (un punto crítico en la NIS2).
  • Seguridad en la adquisición y desarrollo: asegurar que los sistemas y aplicaciones sean seguros «por diseño».
  • Evaluación de la eficacia: realizar auditorías y controles periódicos para comprobar que las medidas funcionan.
  • Ciberhigiene y formación: capacitación obligatoria en ciberseguridad para todos los empleados, incluida la alta dirección.
  • Criptografía y cifrado: uso de herramientas para proteger los datos sensibles.
  • Seguridad de los recursos humanos: control de accesos, gestión de activos y políticas de «privilegio mínimo».
  • Autenticación de múltiples factores (MFA): uso de soluciones de verificación en dos pasos y comunicaciones seguras.

2. Obligación de notificación de incidentes

Ambas clasificaciones tienen el mismo deber de informar a las autoridades (en España, habitualmente al INCIBE-CERT o al CCN-CERT) sobre cualquier incidente significativo siguiendo este cronograma:

  1. Alerta temprana (24 horas): notificación inicial indicando si el incidente es grave o causado por actos ilícitos.
  2. Notificación del incidente (72 horas): actualización de la información, evaluación inicial de la gravedad e impacto.
  3. Informe final (1 mes): descripción detallada, causa raíz y medidas correctivas aplicadas.

3. Responsabilidad de la alta dirección

Los órganos de dirección (Administradores y Consejos) deben aprobar las medidas de ciberseguridad, supervisar su puesta en práctica y son responsables directos en caso de incumplimiento. Además, tienen la obligación de recibir formación específica en ciberseguridad.📌 Descubre las multas por incumplir con la directiva NIS2.

Guillem Moreso
Passionate about helping companies simplify and modernize IT. I write about device management, SaaS, security, compliance, and the everyday challenges IT teams face.

Publicaciones relacionadas