La Directiva NIS2 amplía enormemente el ámbito de la anterior NIS: más sectores, más empresas, más obligaciones. Las sanciones alcanzan hasta 10 millones de euros o el 2% de la facturación global. Analizamos tu situación y te ponemos en regla.
Evaluación gratuita · Respuesta en 24h · Sin compromisos
NIS2 distingue entre entidades esenciales (alta criticidad) y entidades importantes. Ambas están obligadas — las sanciones difieren en cuantía máxima.
Políticas de análisis de riesgos, seguridad de sistemas de información, planes de continuidad de negocio y gestión de crisis. No es opcional — debe estar documentado y actualizado.
Alerta temprana en 24 horas, notificación completa en 72 horas e informe final en un mes. Las organizaciones deben tener el protocolo establecido antes de que ocurra el incidente.
Los órganos de dirección aprueban las medidas de gestión del riesgo y supervisan su implementación. La ignorancia de la dirección no es un eximente — es una agravante.
NIS2 exige revisar la seguridad de los proveedores y subcontratistas. Una brecha que venga de un proveedor mal gestionado es tu responsabilidad — y tu sanción.
El uso de cifrado de extremo a extremo y la autenticación multifactor (MFA) en sistemas críticos pasan a ser requisitos, no recomendaciones. Incluye comunicaciones de voz, vídeo y texto.
Los miembros de la dirección deben recibir formación periódica en ciberseguridad. Y deben fomentar activamente que todos los empleados la reciban también.
Evaluamos dónde estás, diseñamos la hoja de ruta y ejecutamos la implementación técnica. Con nosotros, el cumplimiento no es solo documentación.
Determinamos si tu empresa entra en el ámbito de NIS2 (esencial vs. importante) y qué obligaciones específicas te aplican según el sector, tamaño y tipo de servicios que prestas.
Auditamos el estado actual de tu ciberseguridad frente a los requisitos de NIS2: políticas existentes, medidas técnicas implementadas, gestión de incidentes, formación del personal y seguridad de proveedores.
Con el gap analysis en mano, diseñamos un plan de acción con tres horizontes: acciones urgentes (primeras 4 semanas), estructurales (3 meses) y de madurez continua (12 meses).
MFA en todos los sistemas críticos, cifrado de extremo a extremo, segmentación de redes, gestión de vulnerabilidades, SIEM, EDR y backups verificados. No solo recomendamos — implementamos.
Diseñamos el procedimiento completo: detección, clasificación, escalado, notificación a la autoridad competente en 24h y comunicación a afectados. Con ejercicios de simulación incluidos.
Revisamos y auditamos a los proveedores críticos, establecemos contratos con cláusulas de seguridad NIS2-compliant e implementamos un proceso de evaluación continua de terceros.
Formación específica NIS2 para el órgano de dirección (obligatoria por ley) y para los equipos operativos. Certificación documentada que acredita el cumplimiento del requisito formativo.
NIS2 no es un proyecto puntual — exige vigilancia continua. Proporcionamos monitorización 24/7, revisiones periódicas del cumplimiento y acompañamiento ante cualquier inspección de la autoridad.
5 minutos para saber si tu empresa está obligada por NIS2 y en qué categoría.
2 semanas. Auditoría técnica y de gobernanza para mapear la brecha entre tu situación actual y los requisitos NIS2.
4-6 semanas. Ejecutamos el plan priorizado: MFA, cifrado, SIEM, protocolos de incidentes y formación.
Monitorización, revisiones trimestrales y acompañamiento ante inspecciones. El cumplimiento no caduca.
NIS2 se aplica a entidades que operan en los sectores definidos en los Anexos I y II de la directiva, y que superen ciertos umbrales de tamaño (generalmente, más de 50 empleados o más de 10M€ de facturación). Pero hay excepciones: algunas organizaciones críticas están obligadas independientemente de su tamaño. El test gratuito de 5 minutos te da la respuesta inmediata.
El RGPD regula la protección de datos personales. NIS2 regula la ciberseguridad de las redes y sistemas de información. Aunque comparten algunas medidas técnicas (como el cifrado), son marcos normativos distintos con autoridades supervisoras diferentes. Muchas empresas necesitan cumplir ambos. Nosotros gestionamos los dos sin duplicar trabajo.
NIS2 establece un proceso en tres fases: alerta temprana en 24 horas (notificación a la autoridad competente de que se ha producido un incidente significativo), notificación completa en 72 horas (con detalles del incidente, impacto y medidas tomadas) e informe final en un mes. Sin el protocolo establecido, cumplir estos plazos es imposible.
Sí. NIS2 exige expresamente que las organizaciones obligadas gestionen los riesgos de seguridad en su cadena de suministro. Esto significa que eres responsable de verificar que tus proveedores críticos también tienen medidas de seguridad adecuadas. Una brecha de seguridad que venga de un proveedor no te exime de responsabilidad.
Depende de la complejidad de los sistemas, el sector y el nivel de madurez actual de la ciberseguridad. Para una pyme de hasta 50 empleados en un sector de alta criticidad, el proyecto de cumplimiento inicial suele estar entre 8.000€ y 20.000€. El mantenimiento continuo oscila entre 2.400€ y 6.000€ anuales. Hacemos un gap analysis gratuito primero.
La Directiva NIS2 entró en vigor a nivel europeo en octubre de 2024. España está en proceso de transposición mediante la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad Nacional. Las organizaciones obligadas deben cumplir los requisitos independientemente del estado de la transposición — el retraso legislativo no exime de las obligaciones europeas.
El test gratuito de 5 minutos te dice si tu empresa entra en el ámbito de NIS2, en qué categoría y cuáles son tus obligaciones principales. Recibes el informe en tu correo.