Checklist de preparación NIS2 para PYMEs europeas

NIS2 (Directiva (UE) 2022/2555) cubre entidades “esenciales” e “importantes” en 18 sectores. Para PYMEs, la prueba práctica es: ¿tiene ≥50 empleados o ≥10 M€ de facturación Y opera en energía, transporte, banca, salud, agua potable, infraestructura digital, gestión de servicios TIC, administración pública, espacio, postal, residuos, química, alimentación, fabricación de dispositivos médicos/ordenadores/electrónica, proveedores digitales, investigación, o es un MSP? Si es así, está dentro del alcance. Las autoridades nacionales competentes (INCIBE en España) mantienen registros — el registro es obligatorio.

• Confirme su clasificación sectorial frente a los Anexos I y II
• Regístrese ante su autoridad nacional competente
• Designe a un miembro del consejo personalmente responsable del riesgo cíber
• Documente su decisión de alcance por escrito — los auditores lo pedirán

NIS2 exige medidas técnicas, operativas y organizativas basadas en riesgos. La lista del Artículo 21(2) es el suelo — los auditores muestrearán evidencias para cada una.

• Análisis de riesgos y políticas de seguridad de SI
• Gestión de incidentes (detección, respuesta, recuperación)
• Continuidad de negocio y gestión de crisis
• Seguridad de la cadena de suministro (incluidos proveedores directos)
• Seguridad en adquisición, desarrollo y mantenimiento (incl. gestión de vulnerabilidades)
• Políticas para evaluar la eficacia de las medidas
• Higiene cíber básica y formación
• Políticas de criptografía y cifrado
• Seguridad de RRHH, control de acceso, gestión de activos
• MFA, voz/vídeo/texto seguros y comunicaciones de emergencia seguras

Los incidentes significativos activan un reloj estricto en tres fases que empieza en cuanto se tiene conocimiento. Saltarse cualquier fase es sancionable de forma independiente.

• En 24 horas: alerta temprana al CSIRT/autoridad competente indicando si se sospecha que es malicioso o tiene impacto transfronterizo
• En 72 horas: notificación con evaluación inicial de gravedad, IoCs y actualizaciones de la alerta temprana
• En 1 mes: informe final con descripción detallada, tipo de amenaza, medidas de mitigación e (si aplica) impacto transfronterizo

Las multas administrativas máximas alcanzan 10 M€ o el 2% de la facturación global (entidades esenciales) y 7 M€ o el 1,4% (entidades importantes). De forma crítica, NIS2 hace personalmente responsable al órgano de dirección — incluyendo posibles prohibiciones temporales de ejercer funciones directivas en entidades esenciales.

• El consejo debe aprobar y supervisar las medidas cíber
• La dirección debe seguir formación cíber regular
• Los Estados miembros pueden publicar nombres de entidades infractoras
• El seguro D&O no cubre multas regulatorias en la mayoría de jurisdicciones UE

Si no ha empezado, este es el camino mínimo viable. La mayoría de PYMEs que onboardamos lo completan en 60-90 días con 1-2 horas internas por semana más nuestro equipo.

• Semanas 1-2: confirmación de alcance, gap-assessment vs Artículo 21, registro ante la autoridad
• Semanas 3-6: MFA en todas partes, EDR en todos los endpoints, copias cifradas, inventario de activos
• Semanas 7-10: redactar y aprobar las 8 políticas obligatorias, simulacro de respuesta a incidentes, formación
• Semanas 11-13: cuestionarios de riesgo de proveedores, auditoría interna, aprobación del consejo y dossier de evidencias