La Ley de Coordinación y Gobernanza de la Ciberseguridad (NIS2) redefine quién puede competir en el mercado. Las grandes empresas ya excluyen a proveedores que no acreditan medidas técnicas, organizativas y cobertura aseguradora, en un entorno donde el modelo estadounidense empieza a consolidarse en España, con Xeoris como referente en la adaptación empresarial.
Cada vez es más frecuente que empresas con productos competitivos queden fuera de licitaciones por no disponer de certificaciones de ciberseguridad o ciberseguro, más allá de la calidad de su oferta.
Este cambio responde a la convergencia entre un marco regulatorio más exigente y una nueva cultura empresarial que, influida por Estados Unidos, convierte la ciberseguridad en un requisito de acceso al mercado, con Xeoris acompañando a las organizaciones en este proceso.
Un nuevo marco legal con retraso, pero con urgencia
La Directiva NIS2, aprobada en 2022, debía estar transpuesta por todos los Estados miembros antes del 17 de octubre de 2024. España no cumplió el plazo y el anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado en enero de 2025, sigue en tramitación con retraso.
La Comisión Europea ha emitido un dictamen motivado y podría llevar el caso al Tribunal de Justicia de la UE, con sanciones económicas que pueden alcanzar los 10 millones de euros o el 2% de la facturación global, además de posibles responsabilidades para la alta dirección.
En cualquier caso, la falta de transposición no exime a las empresas: las obligaciones de la NIS2 serán aplicables desde su entrada en vigor, sin periodos de adaptación amplios. Quien retrase su preparación podría llegar tarde al nuevo marco regulatorio.
Quién está obligado: muchas más empresas de lo que se piensa
La NIS2 amplía de forma significativa el número de entidades reguladas. Según estimaciones del Gobierno, más de 200.000 empresas en España quedan dentro de su ámbito de aplicación, diferenciando entre entidades esenciales e importantes según su nivel de criticidad.
El alcance sectorial también se amplía más allá de las infraestructuras críticas tradicionales. Además de energía, transporte, sanidad y servicios financieros, la normativa incluye industria manufacturera, logística, agroalimentación, farmacéutica, gestión de residuos, servicios en la nube y proveedores digitales.
El umbral de aplicación se fija, en términos generales, en empresas con 50 o más empleados o una facturación anual superior a 10 millones de euros.
Obligaciones mínimas bajo la NIS2:
Políticas documentadas de análisis de riesgos y seguridad de la información
Plan de gestión de incidentes: prevención, detección y respuesta
Planes de continuidad de negocio y copias de seguridad verificables
Seguridad en toda la cadena de suministro, incluyendo evaluación de proveedores
Notificación obligatoria de incidentes significativos en menos de 24 horas
Designación de un CISO (Responsable de Seguridad de la Información) acreditado
Formación obligatoria para consejeros y alta dirección
Autenticación multifactor y cifrado en sistemas críticos
La cadena de suministro: el eslabón que todo lo condiciona
Una de las novedades más relevantes de la NIS2 es la responsabilidad sobre la cadena de suministro. Las entidades esenciales e importantes no solo deben proteger sus propios sistemas, sino también evaluar y garantizar la seguridad de sus proveedores y subcontratistas.
Esto convierte la ciberseguridad en un criterio contractual clave. Las grandes empresas ya exigen cuestionarios de seguridad, certificaciones como ISO 27001 o ENS y revisan pólizas de ciberseguro antes de cerrar contratos.
Los datos confirman la tendencia: el 22,5% de las brechas de seguridad en 2025 implicaron a terceros o proveedores, el doble que el año anterior, con un impacto global estimado de 53.200 millones de dólares. En España, el 40% de las empresas está expuesto a riesgos en la cadena de suministro, según Kaspersky.
La conclusión es clara: los ataques ya no entran por el perímetro principal, sino a través de proveedores con menores niveles de protección, convirtiendo la cadena de suministro en el principal punto de exposición.
El modelo americano: el ciberseguro como pasaporte de negocio
En Estados Unidos, la combinación de regulación, litigiosidad y cultura aseguradora ha convertido el ciberseguro en un requisito clave para operar en muchas cadenas de valor, especialmente en sectores como la administración federal, la banca o la industria farmacéutica.
España y Europa siguen esa misma tendencia, aunque con varios años de retraso. Desde 2024, la adopción se ha acelerado por el impulso de las grandes corporaciones.
El resultado es claro: la ciberseguridad ya es un requisito de acceso al mercado y no basta con tener un buen producto.
«La brecha de ciberprotección es uno de los riesgos silenciosos de 2026: si las pymes siguen infraaseguradas, el impacto se traslada a clientes, proveedores y a la continuidad de los servicios.» Juan M. Criado CEO de XEORIS
El ciberseguro: de opción a pilar estratégico
El mercado de ciberseguros en España refleja con claridad la asimetría de preparación entre empresas grandes y pequeñas. Según datos de la Insurtech española especializada en Ciberseguros y regulación de ciberseguridad XEORIS, el 75% las grandes corporaciones españolas ya dispone de una póliza de ciberriesgo. En el segmento de pymes, esa cifra cae a menos del 25%, y entre las microempresas apenas alcanza el 17%.
Esta brecha es estructuralmente peligrosa. Las pymes representan el 99% del tejido empresarial español y son proveedoras clave de grandes corporaciones. Si una pyme sufre un incidente y no puede responder, la responsabilidad puede recaer en la empresa contratante.
Por ello, el ciberseguro empieza a exigirse como requisito contractual. Esta póliza transfiere riesgo, acredita un nivel mínimo de ciberseguridad y facilita la respuesta ante incidentes.
Al mismo tiempo, el mercado asegurador ha endurecido sus condiciones, exigiendo auditorías y certificaciones, lo que está elevando el nivel general de ciberseguridad empresarial.
España, cuarto mercado europeo: oportunidad y urgencia
En este contexto de creciente exigencia, el sector de la ciberseguridad en España atraviesa un fuerte crecimiento. Según INCIBE y CONETIC, la industria alcanzó 6.351 millones de euros en 2024, con unos 165.000 empleos, situando a España como el cuarto mercado europeo.
Las previsiones apuntan a un crecimiento anual del 14,25% hasta 2029, impulsado por el cumplimiento normativo y el aumento de incidentes, que en 2025 superaron los 122.000.
La principal paradoja es que las pymes, clave en la cadena de suministro, son también las que tienen menos recursos para adaptarse, aunque iniciativas públicas como el Kit Digital intentan reducir esa brecha.
Una nueva regla del juego
La conclusión de fondo es que la ciberseguridad ha dejado de ser un problema técnico del departamento de TI para convertirse en una cuestión estratégica que afecta a la continuidad del negocio, a la capacidad de acceso al mercado y a la gestión de la responsabilidad legal y reputacional.
Las empresas que han entendido esto —y que han invertido en construir una postura de seguridad robusta, documentada y asegurada— no solo reducen su exposición al riesgo. Obtienen una ventaja competitiva real en un mercado que, progresivamente, excluye a quienes no alcanzan el nivel mínimo exigido.
El mensaje para el tejido empresarial español es claro: la pregunta ya no es si conviene invertir en ciberseguridad. La pregunta es cuánto negocio se puede permitir perder por no haberlo hecho.
