Cumplimiento normativo
Preparamos a entidades esenciales e importantes para cumplir la directiva NIS2, de principio a fin: análisis de aplicabilidad, evaluación de brechas frente al artículo 21, plan de adecuación, implantación de medidas, formación del órgano de dirección y procedimientos de notificación de incidentes en 24 y 72 horas.
Equipo certificado (CISA, CISSP, CISM) y sistema propio certificado en ISO 27001 y ENS categoría ALTA.
Estado en España
La directiva está en vigor en la Unión Europea desde enero de 2023 y el plazo de transposición venció en octubre de 2024. España todavía no ha completado la suya: el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se aprobó en Consejo de Ministros en enero de 2025 y sigue en tramitación parlamentaria, mientras la Comisión Europea mantiene abierto un procedimiento de infracción por el retraso, con dictamen motivado enviado en 2025.
No esperes a la ley definitiva. Una adecuación seria lleva entre seis y doce meses: cuando se publique, el plazo ya estará corriendo.
El efecto cascada ya funciona. Las grandes entidades obligadas trasladan requisitos NIS2 a sus proveedores por contrato, estén o no en el ámbito directo.
La dirección responde en persona. El texto contempla responsabilidad personal de los directivos, incluida la inhabilitación temporal por falta de supervisión. Hacen falta evidencias de diligencia desde ya.
En un grupo, lo primero es saber a quién aplica. En holdings y estructuras con varias sociedades, lo más difícil no es cumplir, sino determinar qué entidades entran, con qué clasificación y por qué. Aclarar ese perímetro es nuestro primer trabajo y condiciona todo lo demás.
A quién obliga
Como regla general, NIS2 alcanza a organizaciones de dieciocho sectores con cincuenta o más empleados o más de diez millones de euros de facturación anual, clasificadas como esenciales o importantes. Y aunque no aparezcas en la lista, puedes entrar por la cadena de suministro: si vendes a una entidad obligada, sus requisitos acabarán en tu contrato. En grupos con varias sociedades, la obligación puede alcanzar solo a algunas filiales y con distinta clasificación, así que el primer paso es delimitar el perímetro. Y conviene recordar que muchos de esos sectores son industriales: en energía, agua o manufactura, parte del cumplimiento es la seguridad OT con la IEC 62443.
Si tienes dudas, el análisis de aplicabilidad las resuelve en pocos días.
Servicio
Análisis de aplicabilidad y clasificación: esencial, importante o proveedor afectado, y en grupos, qué sociedades del perímetro entran y con qué categoría.
Evaluación de brechas frente a las diez medidas del artículo 21: políticas de seguridad, gestión de riesgos, continuidad y copias, seguridad de la cadena de suministro, control de accesos, criptografía, higiene básica y gestión de incidentes.
Plan de adecuación priorizado por riesgo y esfuerzo, con presupuesto orientativo para que dirección decida con datos.
Implantación acompañada de las medidas técnicas y organizativas, con nuestro equipo o junto al tuyo.
Procedimientos de notificación: alerta temprana en 24 horas, notificación en 72 e informe final en un mes, con plantillas y un simulacro incluido.
Gestión de proveedores: cláusulas contractuales, evaluación y seguimiento de terceros.
Formación por roles: al órgano de dirección, que la norma obliga de forma expresa, y a cada perfil de la organización según su responsabilidad, del técnico a toda la plantilla.
Cuadro de evidencias preparado para una supervisión o inspección.
De la norma a la práctica
La directiva habla en abstracto; nosotros lo bajamos a controles que se implantan y se demuestran. Estos son los que más se repiten en una adecuación, sin dos proyectos iguales.
La detección y la respuesta continua se pueden cubrir con Sondriva, nuestro SOC con inteligencia artificial, si no quieres montar esa capacidad en casa.
Método
Alcance, clasificación y evaluación de brechas, de dos a tres semanas, en sesiones presenciales o remotas.
Hoja de ruta priorizada que aprueba la dirección; esa aprobación es ya la primera evidencia de cumplimiento.
Medidas, procedimientos, formación y simulacro de notificación; de tres a nueve meses según el punto de partida.
Revisión de evidencias, auditoría interna y actualización ante cambios normativos.
Grupos internacionales
NIS2 es una directiva europea, pero cada Estado la traspone a su manera: plazos, autoridades competentes, registros y matices cambian de un país a otro. Si tu organización opera en varios, eso significa requisitos distintos para una misma realidad.
Acompañamos a grupos con presencia internacional definiendo un marco de cumplimiento común, una sola política, un mismo lenguaje de riesgos y un cuadro de evidencias homogéneo, y ajustando después las particularidades de cada región: la autoridad ante la que se notifica, los plazos locales y los registros que exige cada transposición. Una base que se gobierna desde el grupo, con las capas locales que cada filial necesita.
Sinergias
Un SGSI certificado cubre buena parte de las medidas del artículo 21, pero no equivale a cumplir NIS2: la directiva añade obligaciones legales propias, como los plazos de notificación, la responsabilidad del órgano de dirección o el registro ante la autoridad competente. Trabajamos con un mapeo entre marcos para aprovechar lo que ya tienes y no duplicar un solo documento. Y como NIS2 espera que pruebes tu seguridad y no solo que la documentes, nuestro pentest de infraestructura aporta esa prueba.
El anteproyecto de transposición refuerza esta vía: se apoya en perfiles de cumplimiento basados en el ENS, con certificación de conformidad acreditada para las entidades esenciales y certificación o autoevaluación para las importantes. Y al revés: una adecuación NIS2 bien hecha te deja a un paso de la ISO 27001 o del ENS.
Lo que nos diferencia: somos auditores además de implantadores. Sabemos qué evidencias mira una inspección porque las buscamos en las auditorías que hacemos, y eso cambia cómo preparamos tu cumplimiento, pensando en defenderlo, no solo en documentarlo.
Dudas
En la práctica, sí. La ley que completa el marco está en tramitación, pero supervisores, licitaciones y grandes clientes ya usan NIS2 como referencia. Esperar a la publicación definitiva solo acorta el margen de adecuación.
Las de los dieciocho sectores de los anexos de la directiva con cincuenta o más empleados o más de diez millones de euros de facturación, clasificadas como esenciales o importantes. Además, los proveedores de esas entidades reciben los requisitos por vía contractual aunque no estén obligados directamente.
Hasta diez millones de euros o el 2% de la facturación mundial para entidades esenciales, y hasta siete millones o el 1,4% para importantes, aplicándose siempre la cuantía mayor. El texto español contempla además la sanción personal a directivos, con posible inhabilitación temporal.
Alerta temprana en las primeras 24 horas desde que se tiene conocimiento de un incidente significativo, notificación completa en 72 horas e informe final en el plazo de un mes.
Ayuda mucho, pero no basta. La ISO 27001 cubre gran parte de las medidas técnicas y organizativas, y NIS2 añade obligaciones legales concretas: notificación en plazos tasados, responsabilidad y formación del órgano de dirección y registro ante la autoridad. Con un mapeo entre ambos marcos se aprovecha todo el trabajo previo.
Sí. La seguridad de la cadena de suministro es una de las medidas del artículo 21: debes evaluar y vigilar el riesgo de tus proveedores, no solo firmar una cláusula. Evaluamos a tus proveedores críticos con checklist y puntuación, y te ayudamos con las cláusulas contractuales y el seguimiento. Si quieres, auditamos a esos proveedores con nuestra metodología de auditor.
Para ambas, y la norma lo separa en dos artículos. El artículo 20 obliga al órgano de dirección a formarse para poder supervisar el riesgo; el artículo 21 exige formación e higiene de ciberseguridad para toda la organización. Lo eficaz es un programa por roles: gobernanza para el consejo, respuesta a incidentes y criptografía para los perfiles técnicos, control de proveedores para compras y concienciación básica para todos. Lo diseñamos así y dejamos evidencia de cada impartición.
Sí. NIS2 es una directiva, así que cada país la traspone con sus propios plazos, autoridades y registros. Para un grupo internacional definimos un marco de cumplimiento común y luego ajustamos las particularidades de cada región, de modo que la matriz gobierna una sola política y cada filial cumple su versión local sin duplicar el trabajo.
Sí. El órgano de dirección debe aprobar las medidas de gestión de riesgos, supervisar su implantación y recibir formación específica en ciberseguridad. Tenemos un curso diseñado para consejos y comités de dirección que deja evidencia documental de su impartición.
¿Hablamos?
El análisis de aplicabilidad resuelve la duda en pocos días: si NIS2 te alcanza, en qué categoría y qué te separa del cumplimiento.
Ponte en contacto