NIS2 ya está aquí: qué deben hacer las PYMEs europeas antes del próximo ciclo de auditoría

La Directiva NIS original se aplicaba solo a un puñado de operadores designados. NIS2 (Directiva (UE) 2022/2555) amplía el alcance drásticamente: cualquier empresa mediana en 18 sectores califica ahora como entidad "esencial" o "importante". En España se implementa mediante el Real Decreto-ley 7/2025; en Francia mediante el paquete LPM/SREN; en Países Bajos mediante la actualización de la Wbni. La consecuencia práctica es que una PYME que antes no tenía obligaciones legales de ciberseguridad tiene ahora la misma base mínima que un banco regulado en muchas áreas.

El alcance se decide por sector + tamaño. Mediana = 50+ empleados o €10M+ facturación. Las entidades pequeñas también pueden quedar incluidas si son proveedor único, son críticas para el orden público u operan infraestructura transfronteriza.

• Esenciales: energía, transporte, banca, agua potable, sanidad, infraestructura digital, administración pública, espacio
• Importantes: postal/mensajería, gestión de residuos, fabricación de productos médicos/electrónica/maquinaria/vehículos, producción y distribución alimentaria, química, investigación, proveedores digitales (marketplaces, motores de búsqueda, redes sociales)
• Los proveedores B2B de TI y de servicios gestionados quedan dentro de "gestión de servicios TIC" — casi todos los MSP entran por definición
• Regla de cadena de suministro: incluso PYMEs fuera de alcance que suministren a clientes dentro del alcance serán arrastradas vía cláusulas contractuales de riesgo de proveedor

NIS2 evita deliberadamente controles prescriptivos pero exige medidas "adecuadas y proporcionadas" en diez dominios. Los auditores están convergiendo en un combo EDR clase Bitdefender + MFA + backup + IRP como mínimo de facto para PYMEs.

• Análisis de riesgos y políticas de seguridad de sistemas de información
• Gestión de incidentes (con runbook documentado y responsables nombrados)
• Continuidad de negocio, backup y recuperación ante desastres, gestión de crisis
• Seguridad de la cadena de suministro, incluida la evaluación de proveedores y prestadores directos
• Seguridad en adquisición, desarrollo y mantenimiento de redes y sistemas — incluida gestión de vulnerabilidades
• Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgo
• Prácticas básicas de higiene cibernética y formación en ciberseguridad
• Políticas y procedimientos sobre el uso de criptografía y, cuando proceda, cifrado
• Seguridad de RR. HH., políticas de control de acceso y gestión de activos
• Uso de MFA o autenticación continua, comunicaciones de voz/vídeo/texto seguras y comunicaciones de emergencia seguras

El Artículo 23 introduce una cascada estricta. Incumplir la ventana de aviso temprano es por sí mismo una infracción sancionable, separada del incidente.

• T+24h: aviso temprano al CSIRT nacional (España: INCIBE-CERT / CCN-CERT)
• T+72h: notificación con evaluación inicial, severidad, impacto e indicadores de compromiso
• T+1 mes: informe final con causa raíz, mitigaciones aplicadas e impacto transfronterizo
• Para "amenazas cibernéticas significativas" (no solo incidentes), los destinatarios afectados también deben ser notificados sin demora

NIS2 es la primera ley europea de ciberseguridad que ata responsabilidad personal a la dirección. Los consejos deben aprobar y supervisar las medidas y pueden ser responsables individualmente. Las multas siguen la escala del RGPD.

• Entidades esenciales: hasta €10M o el 2% de la facturación global anual, lo que sea mayor
• Entidades importantes: hasta €7M o el 1,4% de la facturación global anual, lo que sea mayor
• Las autoridades pueden suspender funciones directivas y certificaciones por incumplimientos repetidos
• Muchos Estados miembros (ES, DE, NL) han transpuesto responsabilidad penal por negligencia dolosa

Los auditores quieren evidencias, no intenciones. La vía más rápida a una postura defendible es mapear las herramientas existentes contra el Artículo 21 y cerrar las brechas obvias antes de redactar la política.

• Días 1–14: evaluación de alcance + inventario de activos + lista de proveedores con cláusulas cíber marcadas
• Días 15–30: desplegar EDR (nivel Bitdefender GravityZone según riesgo), MFA en admin y correo, backups inmutables obligatorios
• Días 31–60: redactar y aprobar runbook de respuesta, plan de continuidad y cláusulas de seguridad de proveedores; formar al personal; ejercicio de mesa
• Días 61–90: evaluación independiente de brechas, aprobación del consejo, alta en el CSIRT nacional, revisiones trimestrales

Mapeamos su entorno contra el Artículo 21 en un taller, desplegamos el stack Bitdefender + Hornetsecurity + backup inmutable normalmente en 5–10 días laborables, y entregamos el runbook de respuesta documentado, la plantilla de cláusulas de proveedor y el board-pack que necesita para su primera auditoría. Reserve una llamada de descubrimiento de 30 minutos y le presupuestamos un paquete NIS2 cerrado en un día laborable.