NIS2 y tu pyme: checklist de ciberseguridad para cumplir sin morir en el intento
NIS2 y tu pyme: la checklist para cumplir sin convertirlo en tu pesadilla de este año
Todo lo que necesita saber un gerente no técnico sobre la directiva NIS2: quién está obligado, qué medidas hay que adoptar y cómo un consultor externo puede hacerlo llevadero.
Si diriges una pyme y has oído hablar de NIS2 pero no tienes claro si te afecta o qué tienes que hacer exactamente, no estás solo. La directiva europea de ciberseguridad generó una marea de titulares técnicos que, en la práctica, dejaron a muchos gerentes con más dudas que respuestas. Y mientras tanto, el reloj sigue corriendo.
Este artículo es la guía práctica que te habría gustado encontrar desde el principio: sin jerga innecesaria, con una checklist real y con los pasos concretos que puedes empezar a dar esta semana. Si ya conoces los fundamentos y quieres ir directo a las medidas, perfecto; si partes de cero, aquí encontrarás el contexto justo para tomar decisiones informadas.
Importante:: NIS2 no es solo una cuestión de grandes corporaciones. Muchas pymes que forman parte de cadenas de suministro de sectores críticos quedan dentro del ámbito de aplicación, aunque tengan menos de 250 empleados.
¿Tu pyme está realmente obligada? Cómo saber si entras en el ámbito de NIS2
El problema: El primer error que cometen los gerentes es asumir que NIS2 es «cosa de grandes empresas». La directiva amplía considerablemente el perímetro respecto a su predecesora y puede alcanzar a organizaciones de tamaño mediano e incluso pequeño si operan en sectores considerados esenciales o importantes, o si son proveedores clave de empresas que sí están obligadas.
La solución: Para saber si tu pyme entra en el ámbito de NIS2 debes comprobar tres variables: el sector en el que operas (energía, transporte, salud, infraestructura digital, banca, aguas, administración pública, entre otros), el tamaño de tu organización (generalmente más de 50 empleados o más de 10 millones de euros de facturación) y si eres proveedor crítico de una entidad ya regulada. Si encajas en al menos uno de estos criterios, lo más prudente es hacer una valoración formal. Para entender mejor el alcance de la norma en el contexto español, puedes revisar cómo te afecta la directiva NIS2 y qué escenarios concretos se aplican a empresas como la tuya.
Consejo práctico:: Aunque no estés seguro de si te obliga directamente, si alguno de tus clientes principales opera en un sector crítico, es muy probable que te pidan cumplimiento como condición contractual en los próximos meses.
Plazos y sanciones: lo que está en juego si no actúas
El problema: La incertidumbre sobre las fechas exactas de transposición en España hace que muchas pymes pospongan la acción. Pero esperar a tener todas las cifras definitivas sobre la mesa puede salir caro: las sanciones previstas en la directiva para entidades que incumplan son significativas y el régimen de responsabilidad puede recaer directamente sobre los órganos de dirección.
La solución: La directiva NIS2 fue aprobada a nivel europeo y los estados miembros debían transponerla a su legislación nacional. España está en proceso de hacerlo, por lo que las fechas exactas de entrada en vigor y las cuantías concretas de sanción pueden variar: te recomiendo verificar el estado actual en el BOE y con tu asesor legal. Lo que sí es claro desde ya es que la directiva establece dos categorías de entidades (esenciales e importantes) con regímenes sancionadores distintos, y que los administradores y directivos pueden ser declarados responsables personalmente si no adoptan las medidas de supervisión adecuadas. Actuar antes de que la norma esté plenamente vigente en España te da una ventaja real: tienes margen para hacerlo de forma ordenada y sin prisas.
¿Tu pyme está obligada por la NIS2 y no sabes por dónde empezar?
Descubre en una llamada de 30 minutos si tu pyme está en el ámbito de NIS2 y cuáles son tus próximos pasos reales.
La checklist de medidas mínimas: qué tienes que tener sí o sí
El problema: Muchas pymes tienen alguna medida de seguridad suelta —un antivirus aquí, una copia de seguridad allá— pero carecen de un enfoque sistemático. NIS2 exige precisamente eso: un conjunto coherente de controles técnicos y organizativos, no medidas aisladas. El problema es que sin una hoja de ruta clara, no sabes por dónde empezar ni qué priorizar.
La solución: Estas son las medidas que la directiva considera fundamentales y que debes poder acreditar: primero, una política de seguridad de la información documentada y aprobada por la dirección; segundo, gestión de riesgos con un análisis formal y actualizado de las amenazas que afectan a tu negocio; tercero, procedimientos de detección y respuesta ante incidentes, incluyendo la obligación de notificar brechas graves a la autoridad competente; cuarto, continuidad de negocio con copias de seguridad probadas y un plan de recuperación ante desastres; quinto, seguridad en la cadena de suministro, lo que implica evaluar a tus proveedores tecnológicos; sexto, control de accesos y gestión de identidades, donde la autenticación multifactor en empresas es una de las medidas más eficaces y accesibles para proteger accesos críticos sin una inversión desproporcionada; y séptimo, formación y concienciación del personal, porque el factor humano sigue siendo la primera causa de incidentes.
Por dónde empezar:: Si tuvieras que priorizar solo tres acciones esta semana: documenta tu política de seguridad, activa el doble factor de autenticación en el correo y las herramientas de gestión, y comprueba cuándo se hizo tu última copia de seguridad verificada.
Por qué un consultor IT externo marca la diferencia (y cómo elegir uno)
El problema: La mayoría de las pymes no tienen un responsable de seguridad interno, y pedirle al técnico de sistemas o al informático de guardia que lidere la adecuación a NIS2 es poner en sus manos algo para lo que, seguramente, no ha sido formado. Resultado: el proceso se dilata, las medidas se aplican de forma incompleta y, si llega una auditoría, la documentación no sostiene lo que se ha hecho.
La solución: Un consultor IT externo especializado en normativa de ciberseguridad aporta tres cosas que no puedes improvisar: visión global del marco regulatorio y cómo aplica a tu caso concreto, metodología para llevar la adecuación de principio a fin sin reinventar la rueda, y documentación válida ante una auditoría o ante un cliente que te exija cumplimiento. El proceso habitual tiene tres fases: una auditoría inicial de entre dos y cuatro semanas para identificar brechas, un plan de acción priorizado por riesgo e impacto, y un acompañamiento en la implantación de controles. Para una pyme de entre 20 y 80 empleados, el coste de un proyecto de adecuación orientado a NIS2 suele situarse en un rango de entre 3.000 y 10.000 euros según la complejidad, una cifra que hay que comparar con el coste real de un incidente de seguridad o de una sanción regulatoria.
Caso real: resultados en semanas
Empresa de logística regional · 45 empleados · proveedor de una empresa de distribución alimentaria catalogada como entidad esencial
Antes
- Sin política de seguridad documentada ni análisis de riesgos formal
- Copias de seguridad no verificadas desde hacía más de ocho meses
- Acceso remoto de empleados sin doble factor de autenticación
- Notificación del cliente principal: debían acreditar cumplimiento NIS2 en 90 días o perderían el contrato
Después
- Política de seguridad aprobada por dirección y comunicada a toda la plantilla
- Autenticación multifactor activada en correo, ERP y acceso remoto en menos de dos semanas
- Plan de continuidad documentado con pruebas de restauración trimestrales
- Informe de adecuación entregado al cliente en el plazo acordado, contrato renovado
El proyecto completo de adecuación se completó en seis semanas con un coste aproximado de 5.500 euros. El contrato en riesgo representaba más del 30% de la facturación anual de la empresa.
Caso ilustrativo basado en proyectos reales. Datos anonimizados.
Preguntas frecuentes sobre nis2 pymes
¿NIS2 obliga a todas las pymes o solo a las de ciertos sectores?
NIS2 no aplica a todas las pymes de forma automática. El ámbito de aplicación depende del sector en el que operes y del tamaño de tu organización. Los sectores considerados esenciales o importantes están recogidos en la propia directiva e incluyen energía, transporte, salud, infraestructura digital y varios más. Si tu empresa entra en esas categorías o es proveedora clave de una entidad regulada, tienes que cumplir.
¿Cuánto tiempo lleva adecuarse a NIS2 si parto de cero?
Para una pyme sin ninguna medida previa, el proceso de adecuación básica suele llevar entre seis y doce semanas si se trabaja con un plan estructurado y apoyo externo. Llegar a un nivel de madurez más avanzado puede requerir más tiempo, pero las medidas prioritarias —política de seguridad, control de accesos, copias de seguridad verificadas— pueden estar operativas en pocas semanas.
¿Puedo gestionar el cumplimiento de NIS2 internamente sin contratar a nadie externo?
Técnicamente sí, pero en la práctica es difícil sin experiencia en normativa de ciberseguridad. El riesgo más común es hacer las cosas a medias o no documentarlas correctamente, lo que no te protege ante una auditoría. Si tienes un equipo interno con conocimientos suficientes, un consultor externo puede actuar como guía puntual sin necesidad de implicarse en la ejecución completa.
¿Qué pasa si sufro un incidente de seguridad y no he cumplido con NIS2?
Además del daño operativo y reputacional del incidente en sí, el incumplimiento de NIS2 puede derivar en sanciones regulatorias y en responsabilidad directa de los órganos de dirección. La directiva establece la obligación de notificar incidentes graves a la autoridad competente en plazos muy ajustados, algo imposible de cumplir si no tienes procedimientos previos.
¿NIS2 me obliga a contratar un seguro de ciberseguridad?
La directiva no impone contratar un ciberseguro de forma explícita, pero sí exige medidas de gestión de riesgos que muchas aseguradoras valoran a la hora de ofrecer cobertura y calcular primas. Adecuarte a NIS2 puede, de hecho, mejorar tus condiciones de contratación si decides dar ese paso.
¿Quieres saber exactamente qué necesita tu empresa para cumplir con NIS2?
Solicita un diagnóstico gratuito y sin compromiso. En una primera sesión analizamos tu situación de partida, identificamos las brechas más urgentes y te damos un plan de acción claro para que puedas tomar decisiones informadas desde el primer día.
Rubén Rodríguez · Consultor IT e IA para pymes · Barcelona
