¿Por qué no puedo esperar a que la ley NIS2 española sea definitiva para prepararme?

Implementar controles de seguridad NIS2 lleva meses. Cuando la ley entre en vigor habrá un período de inspecciones: las empresas preparadas las pasan sin problema; las que empiecen entonces pagarán multas y correrán. Además, un ciberataque no espera a que la ley esté aprobada.

¿Qué es un gap analysis de NIS2?

Un gap analysis de NIS2 es una evaluación que compara el estado actual de seguridad de tu empresa con los requisitos del artículo 21 de la directiva. Identifica qué medidas ya existen, cuáles están incompletas y qué hay que crear desde cero, generando una lista priorizada de brechas a cerrar.

¿Quién debe ser el responsable de seguridad bajo NIS2?

NIS2 exige designar un responsable de seguridad identificado con responsabilidades claras. No tiene que ser empleado a jornada completa. Para pymes, la figura del CISO virtual externo (consultor IT que ejerce de CISO) es perfectamente válida y mucho más asequible que contratar un CISO interno.

¿Qué documentación hay que tener para demostrar el cumplimiento de NIS2?

La documentación mínima incluye: política de seguridad aprobada por la dirección, resultados del análisis de riesgos, procedimiento de gestión de incidentes, plan de continuidad de negocio, contratos con proveedores con cláusulas de seguridad, registros de formación del personal y resultados de auditorías.

Plan de cumplimiento NIS2: pasos y checklist 2026

Saber que NIS2 aplica a tu empresa es el primer paso. El segundo es hacer algo con esa información antes de que llegue una inspección o, peor, un ciberataque. Esta guía es un plan de trabajo concreto: qué hacer primero, qué documentar, cómo medir el progreso y los errores más comunes.

¿Por qué el "ya lo haré cuando salga la ley" es una mala estrategia?

El argumento más habitual para no empezar es: "La ley española de transposición todavía no está aprobada, esperaré". El problema es múltiple:

Implementar controles de seguridad lleva tiempo. Un plan de continuidad de negocio serio no se hace en un fin de semana.
Los cambios organizativos (formación, políticas, responsabilidades) son los que más tardan.
Cuando la ley entre en vigor, habrá inspecciones. Las empresas preparadas las pasan sin problema.
Un ciberataque mientras esperas no tiene en cuenta si la ley está aprobada o no.

La ventana actual es una oportunidad: puedes hacer las cosas bien en lugar de corriendo.

¿Cómo hacer un gap analysis de NIS2?

El gap analysis es la herramienta central del plan. Compara tu estado actual con lo que exige NIS2 y documenta las diferencias. Para cada una de las 10 medidas del artículo 21, necesitas saber:

¿Existe alguna medida equivalente? ¿Está documentada?
¿Es suficiente o necesita mejoras?
¿Qué hace falta crear desde cero?

El resultado es una lista de brechas priorizada por criticidad y esfuerzo.

¿Qué inventario de activos hay que hacer para NIS2?

Sin saber qué tienes, no puedes protegerlo. El inventario incluye:

Sistemas y servidores (físicos, virtuales y cloud)
Aplicaciones críticas para el negocio
Datos y bases de datos con clasificación de sensibilidad
Dispositivos de red (routers, switches, firewalls)
Dispositivos de usuario (portátiles, móviles)
Proveedores tecnológicos y los sistemas que gestionan

Herramienta: Para empresas sin SIEM implementado, Wazuh es una solución open source que combina monitorización de activos, detección de incidentes y cumplimiento normativo. Qué es Wazuh →

¿Cómo priorizar las brechas de cumplimiento NIS2?

No todas las brechas son iguales. Una matriz de impacto vs esfuerzo te ayuda a priorizar:

Alta prioridad, bajo esfuerzo: activar MFA, verificar backups, parchear sistemas críticos → hacer ya
Alta prioridad, alto esfuerzo: plan de continuidad, análisis de riesgos, seguridad en contratos → planificar con recursos
Baja prioridad, bajo esfuerzo: documentar políticas existentes → segunda oleada
Baja prioridad, alto esfuerzo: mejoras de largo plazo → planificar con más tiempo

¿A quién hay que asignar la responsabilidad de seguridad NIS2?

NIS2 requiere personas identificadas con responsabilidades claras. Para muchas empresas esto implica:

Designar un responsable de seguridad (interno o CISO virtual externo)
Definir qué rol aprueba las políticas (normalmente dirección o consejo)
Establecer quién notifica incidentes a las autoridades
Definir quién activa el plan de crisis

¿Cuánto cuesta cumplir NIS2 para una empresa mediana?

El coste varía según el punto de partida. Para una empresa mediana que parte de nivel básico:

Herramientas técnicas (SIEM, MFA, gestión de parches): 5.000–30.000 €/año
Servicios profesionales (gap analysis, políticas, formación): 5.000–25.000 € (inversión inicial)
Auditoría externa (entidades esenciales): 10.000–40.000 € según tamaño
Formación del personal: 1.000–5.000 €/año

Comparado con las multas potenciales (desde 100.000 € hasta millones), la inversión en cumplimiento es completamente racional.

¿Cuál es el plan de implementación por fases?

¿Qué hacer en los primeros 2 meses (gobernanza)?

Política de seguridad aprobada por dirección
Responsable de seguridad designado
Procedimiento de gestión de incidentes con plazos NIS2
Formación inicial para la dirección sobre NIS2 y sus responsabilidades

¿Qué controles técnicos urgentes hay que activar en los primeros 3 meses?

MFA en sistemas críticos y acceso remoto
Verificación de copias de seguridad (restauración de prueba)
Parches de seguridad en sistemas con vulnerabilidades críticas conocidas
Revisión de cuentas con privilegios excesivos
Activación de logs en sistemas críticos

¿Qué procesos y documentación hay que tener en el mes 4?

Inventario de activos completo
Análisis de riesgos formal (puede ser simplificado para medianas empresas)
Plan de continuidad de negocio básico
Revisión de contratos con proveedores tecnológicos
Políticas de uso aceptable y gestión de contraseñas

¿Cómo abordar la formación y cultura de seguridad en el mes 6?

Formación en ciberseguridad para todos los empleados
Simulaciones de phishing
Formación específica para el personal técnico
Comunicar al equipo qué es NIS2 y qué cambia en su día a día

¿Cuál es el checklist completo de cumplimiento NIS2?

¿Qué hay que tener en gobernanza?

☐ Confirmado si aplica NIS2 y en qué categoría
☐ Responsable de seguridad designado
☐ Dirección formada y comprometida formalmente
☐ Política de seguridad aprobada por dirección
☐ Procedimiento de notificación de incidentes documentado

¿Qué controles técnicos son obligatorios?

☐ MFA activado en sistemas críticos y acceso remoto
☐ Copias de seguridad verificadas con restauración probada
☐ Cifrado de datos sensibles en reposo y en tránsito
☐ Gestión de parches al día en sistemas críticos
☐ Monitorización y logs centralizados
☐ Control de accesos con principio de mínimo privilegio

¿Qué documentación de riesgos y continuidad hay que tener?

☐ Inventario de activos actualizado
☐ Análisis de riesgos formal documentado
☐ Plan de continuidad de negocio documentado
☐ Plan de recuperación ante desastres con RTO/RPO definidos
☐ Simulacro de crisis realizado

¿Qué hay que revisar en la cadena de suministro?

☐ Inventario de proveedores tecnológicos críticos
☐ Evaluación de seguridad de proveedores críticos
☐ Contratos actualizados con cláusulas de seguridad NIS2

¿Cuáles son los errores más comunes en la preparación de NIS2?

Tratar NIS2 como un proyecto de IT, no de negocio. La dirección tiene que estar involucrada desde el principio.
Olvidar la documentación. Los controles sin documentar no existen desde el punto de vista de la inspección.
Ignorar los proveedores. El 60% de los ciberataques graves llegan a través de un proveedor comprometido.
No probar los backups. Descubrir que el backup está corrupto el día del incidente es un error muy frecuente.
Hacer la formación "para cumplir el expediente". Una formación de 20 minutos al año no protege y no demuestra cultura de seguridad.

¿Necesitas ayuda con el plan? En AI Security hacemos el gap analysis inicial, diseñamos el plan de cumplimiento y lo acompañamos en la implementación. Consulta gratuita →