En vigor desde el 17 oct 2024·Día 578·

Sanciones28 mar. 20258 min

Cómo calcularán los reguladores nacionales su multa NIS2

Hasta 10 M€ o el 2 % de la facturación mundial. El titular es sencillo. La aritmética detrás, no tanto.

Cómo calcularán los reguladores nacionales su multa NIS2Sanciones

«Hasta 10 M€ o el 2 % del volumen de negocios mundial» es el titular. Es corto, dramático y casi siempre se cita mal en las presentaciones al consejo. La regla real está en el artículo 34 de la Directiva (UE) 2022/2555 y se lee, en su forma operativa completa, como una función de tres elementos: una categoría, una fórmula y una lista de factores.

Esto es lo que su área financiera tiene que modelar.

La fórmula: no «o», sino «la cuantía más alta»

El artículo 34, apartado 4, fija el techo para las entidades esenciales: multas administrativas «de un importe máximo de al menos 10 000 000 EUR o de un importe máximo de al menos el 2 % del volumen de negocios anual total a nivel mundial del ejercicio anterior de la empresa a la que pertenezca la entidad esencial, prevaleciendo la cuantía más alta».

El artículo 34, apartado 5, fija el techo para las entidades importantes: «de un importe máximo de al menos 7 000 000 EUR o de un importe máximo de al menos el 1,4 % del volumen de negocios anual total a nivel mundial (...), prevaleciendo la cuantía más alta».

Lo que se cae en el atajo es «prevaleciendo la cuantía más alta». Para una entidad esencial dentro de un grupo con 1 000 millones € de facturación mundial, el techo no es 10 M€ — es 2 % × 1 000 M€ = 20 M€. Para 10 000 M€, es 200 M€. La cifra fija en euros solo se aplica a entidades suficientemente pequeñas como para que el 2 % de su facturación sea inferior a 10 M€ — grosso modo, grupos por debajo de 500 M€ de ingresos.

Igual de importante: el porcentaje se calcula sobre la empresa (el grupo), no sobre la persona jurídica que cometió la infracción. Una filial entidad esencial de una multinacional se multa como porcentaje de la facturación mundial consolidada de la matriz. El texto es inequívoco en este punto.

Los factores: nueve modificadores entre cero y el techo

El artículo 34, apartado 3, enumera lo que las autoridades nacionales competentes deberán tener en cuenta al fijar el importe efectivo dentro de ese techo. La lista es exhaustiva en la directiva pero ampliamente interpretada en la transposición nacional. Los nueve factores:

  1. Gravedad y duración de la infracción.
  2. Daños causados o pérdidas sufridas por la entidad, incluidos los daños económicos, sociales o medioambientales a terceros.
  3. Carácter intencionado o negligente de la infracción.
  4. Medidas tomadas para prevenir o mitigar el daño.
  5. Grado de responsabilidad o eventuales infracciones anteriores.
  6. Grado de cooperación con la autoridad competente.
  7. Manera en la que la infracción llegó a conocimiento de la autoridad, en particular si la entidad la notificó por sí misma y con qué prontitud.
  8. Adhesión a códigos de conducta aprobados o a mecanismos de certificación.
  9. Cualquier beneficio financiero obtenido o pérdida evitada como consecuencia de la infracción.

La implicación aritmética: un factor favorable (auto-notificación en 72 horas, plena cooperación, ISO 27001 vigente, mitigación rápida) reduce la multa. Un factor desfavorable (ocultación, infracción previa, incumplimiento intencionado, ausencia de certificaciones) la empuja al techo. Las autoridades nacionales competentes han comenzado a publicar tablas aproximadas de ponderación — véase la metodología publicada del BSI en Alemania y las linee guida sanzionatorie de la ACN en Italia — y los modificadores suelen abarcar un orden de magnitud.

El peor caso para una entidad esencial con 1 000 M€ de facturación es 20 M€. El mejor caso para la misma entidad y la misma infracción ronda los 1 a 2 M€. El trabajo no es evitar la multa — es moverse a lo largo de la escala de modificadores.

Agravantes que empujan de forma significativa al techo

Tres factores producen consistentemente recargo en las directrices publicadas:

  • No notificación de un incidente dentro de la ventana de 72 horas del artículo 23. Es el agravante más común porque es el más probatorio.
  • Reincidencia — un hallazgo previo sobre el artículo 21 en los últimos tres años (las reglas nacionales varían en la ventana retrospectiva).
  • Incumplimiento intencionado documentado en actas del consejo o correos internos. La prueba localizable de que el órgano de dirección fue advertido de la ausencia de una medida y decidió no abordarla es el peor modificador.

Atenuantes que reducen de forma significativa la multa

Igual de consistentes:

  • Auto-notificación de la infracción a la autoridad competente antes de que el regulador actúe.
  • Una certificación ISO/IEC 27001 vigente o una certificación nacional equivalente (Grundschutz del BSI, Esquema Nacional del INCIBE-CERT, esquema de ACN, vía de certificación del NCSC-IE).
  • Supervisión documentada del consejo bajo el artículo 20 — los mismos documentos cubiertos en nuestro análisis del artículo 20 (actas del consejo, registros de formación, registro de riesgos fechado) mapean directamente con este factor.
  • Remediación pronta con fechas de cierre medibles comunicadas al regulador.

Interacción con multas RGPD y DORA

El artículo 32, apartado 2, de NIS2 contiene una cláusula de coordinación: cuando la misma conducta dispara a la vez NIS2 y RGPD o DORA, las autoridades competentes deben coordinarse para evitar la doble sanción sobre los mismos hechos. En la práctica, esto rara vez cancela una multa — más bien desplaza qué regulador lleva la batuta y cuál queda informado. La exposición agregada en un incidente de violación de datos personales que también constituye un incidente significativo NIS2 es el mayor de los dos techos, no su suma.

Para entidades del sector financiero también en el ámbito de DORA, el techo combinado es aún más estratificado. Una decisión a nivel de consejo de invertir en el cumplimiento del más exigente de los dos (típicamente DORA para los servicios financieros afectados) es la postura defendible.

Variación nacional

La directiva fija techos mínimos («al menos»). Los Estados miembros pueden establecer techos más altos, y varios han usado la opción:

  • Alemania: la NIS2UmsuCG retiene los mínimos de la directiva pero añade responsabilidad civil explícita de los administradores en su §32.
  • Francia: el marco de aplicación de ANSSI sigue los mínimos de la directiva; el Consejo de Estado tiene jurisdicción de supervisión sobre los litigios.
  • España, Italia, Irlanda: mínimos de la directiva confirmados, con especificidades procedimentales nacionales sobre derechos de oposición y recurso.
  • Bélgica: la transposición fue más allá, con responsabilidad civil explícita de las personas físicas que ejercen funciones de dirección.

La aritmética es la de la directiva. El procedimiento y la vía de recurso son nacionales. Los consejos que modelan su exposición a multas deben correr la fórmula con las cifras de la directiva y añadir una capa de coste procedimental específico de cada Estado miembro de operación.

Qué significa esto para el presupuesto

La postura presupuestaria racional no es «provisionar la multa máxima por si acaso». Es:

  • Modelar el techo sobre la facturación del grupo.
  • Trazar el valor real esperado según el perfil actual de factores de la entidad (certificaciones, gobernanza del consejo, prontitud de notificación, historial).
  • Tratar el diferencial entre ambos como un caso de negocio para inversión en controles. Cada euro gastado en un control que mueva un factor de agravante a atenuante se devuelve, en valor esperado, varias veces frente al techo de multa.

Esa es la conversación que el artículo 34 realmente invita. La cifra del titular es el principio, no la respuesta.

Fuentes

  1. Directiva (UE) 2022/2555, artículo 34 («Condiciones generales para imponer multas administrativas»).
  2. Directiva (UE) 2022/2555, artículo 34, apartados 4 y 5 (techos para entidades esenciales e importantes).
  3. Directiva (UE) 2022/2555, artículo 34, apartado 3 (factores a tener en cuenta al imponer multas).
  4. Directiva (UE) 2022/2555, artículo 32, apartado 2 (coordinación con RGPD y otras sanciones del Derecho de la Unión).
  5. Directiva (UE) 2022/2555, artículo 23 (obligaciones de notificación de incidentes — referenciado como factor de multa).
  6. Directiva (UE) 2022/2555, considerandos 130 a 135 (sanciones y aplicación).
  7. Directrices de aplicación de las autoridades nacionales competentes: BSI (DE), ANSSI (FR), INCIBE (ES), ACN (IT), NCSC-IE (IE), y análisis comparativos de ENISA.

Otros artículos

Autenticación multifactor NIS2: 5 clases de acceso obligatoriasMedidas técnicas

Autenticación multifactor NIS2: 5 clases de acceso obligatorias

11 may. 2026·Leer · 7 min
Transposición NIS2 España: dónde están hoy los cuatro mercadosEjecución nacional

Transposición NIS2 España: dónde están hoy los cuatro mercados

6 may. 2026·Leer · 7 min
Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugadaGestión de incidentes

Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugada

6 may. 2026·Leer · 7 min