NIS2 sin dramas: qué exige la nueva directiva y cómo cumplirla con presupuesto de pyme

04.08.2025

Una guía para que tu empresa pueda dormir tranquila sin gastar una fortuna. 

1. De qué va todo esto y por qué deberías leerlo

Imagínate que tu negocio es una casa con muchas puertas y ventanas digitales. Cada correo, cada enlace y cada proveedor externo son aberturas por donde un ladrón cibernético podría colarse. La Directiva NIS2 llega para obligarnos a reforzar esas cerraduras, instalar cámaras y—lo más importante—anotar en un cuaderno qué hicimos, cuándo y por qué.

NIS2 (siglas de Network and Information Security), aprobada en diciembre de 2022 y efectiva en la UE desde el 16 de enero de 2023, sustituye a la NIS1 de 2016. Su objetivo es que todos los países europeos se pongan serios con la ciber-resiliencia; sobre todo ahora que los ataques de ransomware cuestan millones y pueden paralizar una pyme en minutos.

Si eres de los que piensa: "Esto es solo para las grandísimas corporaciones", sigue leyendo. NIS2 amplía sectores, baja umbrales de tamaño y exige mucho más a la dirección (sí, a los gerentes). Incluso si tu empresa no entra directamente, tus clientes sí podrían pedirte pruebas de cumplimiento para seguir haciendo negocios.

2. ¿A quién se aplica? Spoiler: muchas más empresas que antes

La directiva define dos grandes categorías:

  1. Entidades esenciales: agua, energía, transporte, banca, salud, infraestructuras digitales, etc.

  2. Entidades importantes: manufactura de productos críticos, proveedores digitales, correos y mensajería, gestión de residuos, industrias químicas, y un largo etcétera.

El criterio general es 250 empleados o 50 M € de facturación, pero algunos sectores críticos bajan el listón—y los Estados miembros pueden introducir excepciones. Para las entidades importantes, las multas tope son de 7 M € o el 1,4 % de la facturación mundial; para las esenciales, 10 M € o el 2 %. ThreatscapeThe NIS2 Directive

Ojo pyme: ¿Tienes menos de 250 empleados pero prestas servicio a un hospital, una planta energética o un ministerio? Probablemente formes parte de su supply chain y te pedirán evidencias de controles NIS2. Ser "demasiado pequeño" ya no es escudo.

3. Fechas clave y la situación en España (sí, vamos tarde)

Hito Qué pasa Estado en España
16 ene 2023 Entrada en vigor en la UE
17 oct 2024 Límite para transponer a leyes nacionales No cumplido (procedimiento de infracción abierto)
18 oct 2024 Aplicación de las medidas nacionales Anteproyecto en tramitación
2025-2026 Inspecciones y primeras sanciones esperadas INCIBE y CCN-CERT preparan guías sectoriales



4. Las 10 obligaciones que no puedes obviar

1. Gobernanza y rendición de cuentas

La alta dirección debe aprobar la estrategia de ciberseguridad y recibir formación específica. Las sanciones pueden alcanzar a los directivos si se demuestra negligencia. 

2. Gestión de riesgos y política de seguridad

Inventario de activos críticos, análisis de riesgos al menos anual y plan documentado de mitigación.

3. Control de cadena de suministro

Evaluar y exigir requisitos de seguridad a proveedores y outsourcers.

4. Respuesta y notificación de incidentes
  • Notificación inicial al CSIRT nacional en 24 h.
  • Informe final con causas y medidas correctoras en ≤ 1 mes.
5. Cifrado y resiliencia operativa

Adoptar cifrado "adecuado" y planes de continuidad (backups, capacidad de recuperación ≤ 24 h).

6. Gestión de vulnerabilidades

Procedimiento para monitorizar CVEs, aplicar parches y reportar zero-days.

7. Autenticación multifactor (MFA) y control de accesos

Especial atención a accesos remotos y cuentas privilegiadas.

8. Formación y concienciación

Programas anuales para todo el personal.

9. Política de pruebas y auditorías

Test de penetración y auditoría de eficacia de controles al menos cada dos años.

10. Registro y conservación de logs

Mantener trazabilidad de eventos de seguridad durante al menos 18 meses.

Tip realista: No todo requiere súper-software caro. Algunas plataformas SaaS incluyen MFA gratuito y te permiten exportar logs a un SIEM "freemium".

5. Multas, reputación y otros sustos (por si aún dudabas)

  • Entidades esenciales: hasta 10 M € o 2 % del volumen global.

  • Entidades importantes: hasta 7 M € o 1,4 %.

  • Responsabilidad personal: suspensión temporal de funciones directivas. ThreatscapeThe NIS2 Directive

Más allá de las cifras, una sanción pública equivale a un cartel luminoso que dice "No somos de fiar", perfecto para espantar clientes y partners. Invertir ahora unos miles de euros en prevención suele ser más barato que arreglar un desastre luego.

6. Ruta de 7 pasos para cumplir con presupuesto de pyme

Objetivo: Alcanzar un nivel "suficiente y demostrable" antes de que la ley española se publique.
1. Autodiagnóstico express (2 semanas) Usa la checklist de INCIBE o un cuestionario gratuito de Cyviax.
2. Inventario de activos críticos Hojas de cálculo + herramientas open-source (Nmap, Lansweeper free).
3. Política de seguridad y roles RACI Plantillas ISO 27001 disponibles online.
4. MFA y control de accesos Activa MFA nativo en Microsoft 365, Google Workspace o tu VPN.
5. Backup 3-2-1 Almacenamiento en nube S3-compatible con cifrado.
6. Detección y respuesta básica Sysmon + Wazuh (open-source) o servicio SOC compartido de Cyviax.
7. Simulacro y ajuste continuo Phishing drill trimestral + actualización de plan. 300 € /año
Tiempo total: 3–4 meses si lo compaginas con la operativa diaria. La clave es priorizar "lo que marca la multa": MFA, backups y plan de respuesta documentado.

7. Controles "low-cost" que disparan tu ciber-resiliencia

Desactivar macros por defecto

en la suite ofimática.

Lista blanca de aplicaciones

con Windows AppLocker o equivalente Linux.

DNS filtrado

gratuito (Quad9, Cloudflare).

Escaneo automático de vulnerabilidades

semanal con OpenVAS.

Gestor de contraseñas corporativo

(Bitwarden Teams ≈ 3 €/usuario/mes).

Política de mínimos privilegios

: quita admin local salvo IT.

Plantilla de "lecciones aprendidas"

pos-incidente; obliga a registrar root-cause.

Dashboard de métricas

en un documento compartido: nº parches pendientes, MFA adoptado, phishing click-rate.

Pequeños pasos—especialmente MFA y backups offline—han demostrado reducir hasta un 80 % el impacto de ransomware.

8. FAQ rápido para jefes con prisa

¿Cuenta mi empresa como "importante" si somos 120 empleados pero facturamos 80 M €?
Sí. Superas el umbral de 50 M € de facturación, independientemente del número de empleados.

¿Puedo externalizar todo a un MSSP y olvidarme?
Delegas la operativa, pero no la responsabilidad. La dirección sigue siendo sancionable si algo falla.

¿Tengo que notificar incidentes menores?
Solo los que afecten significativamente a la prestación de tu servicio o la confidencialidad de datos críticos. Cuando dudes, notifica en 24 h y amplía detalles después; es mejor "pecar" por exceso.

¿Vale con ISO 27001?
Ayuda—mucho—, pero tendrás que añadir controles específicos de cadena de suministro y reporting en 24 h que ISO no exige explícitamente.

¿Cuánto cuesta todo esto de verdad?
Las pymes que parten de cero suelen invertir 4 000–15 000 € el primer año y 15–30 % menos los siguientes gracias a economías de escala y automatización.

9. Conclusión

Cumplir NIS2 no va de comprar la herramienta más cara ni de generar armarios llenos de documentación; va de adoptar hábitos de seguridad continuos, medibles y—sobre todo—demostrables.

Piensa en NIS2 como el cinturón de seguridad digital: quizá jamás tengas un accidente grave, pero si ocurre, querrás haberlo llevado puesto.

¿Hablamos?

En Cyviax llevamos años acompañando a pymes en su camino hacia la ciber-resiliencia. Podemos ayudarte desde el autodiagnóstico gratuito hasta un servicio SOC 24×7 sin grandes inversiones iniciales.

👉 Escríbenos a info@cyviax.es o solicita tu diagnóstico NIS2 gratuito aquí.

Juntos podemos hacer que la normativa sea la excusa perfecta para mejorar tu seguridad, no un dolor de cabeza. ¡Te esperamos!

Share