NIS2
12 min de lectura

10 pasos para el cumplimiento NIS2

Guía práctica paso a paso

NIS2 puede parecer abrumador. Diez áreas de medidas, reporte de incidentes, documentación, auditorías... ¿Por dónde empezar? En este artículo te damos una guía práctica paso a paso.

Resumen de pasos

1

Determina si estás sujeto a NIS2

Baja1 día

Comprueba dos criterios: sector (energía, transporte, salud, manufactura...) y tamaño (50+ empleados o €10+ millones de facturación). Resultado: respuesta clara SÍ/NO y categoría.

2

Obtén apoyo de la dirección

Media1-2 semanas

NIS2 exige participación de la dirección. Prepara una presentación sobre NIS2, sanciones y recursos necesarios. Acordad un patrocinador ejecutivo y reportes regulares.

3

Haz una evaluación

Baja1-2 días

Recorre las 10 áreas NIS2 y evalúa el estado actual. ¿Qué tienes? ¿Qué falta? ¿Qué es prioritario? Nuestra evaluación gratuita te ayudará con esto.

4

Analiza riesgos

Media2-4 semanas

Identifica activos (sistemas, datos, infraestructura), amenazas (ransomware, phishing, DDoS) y evalúa riesgos. Define medidas para los riesgos altos.

5

Crea documentación

Media4-8 semanas

Prioridad 1: Política de ciberseguridad y Plan de respuesta a incidentes. Prioridad 2: Registro de riesgos, Plan de continuidad, Política de acceso. Prioridad 3: documentos restantes.

6

Implementa medidas técnicas

Alta2-6 meses

Básicos: firewall, antivirus/EDR, copias de seguridad, cifrado, MFA. Avanzados: segmentación de red, SIEM, escaneo de vulnerabilidades, PAM.

7

Configura la gestión de incidentes

Media2-4 semanas

Define el equipo de respuesta a incidentes, matriz de escalamiento, playbooks para incidentes comunes. Prepara formularios y contactos para reportar a autoridades.

8

Asegura la cadena de suministro

Media1-3 meses

Mapea proveedores, evalúa riesgos, define requisitos de seguridad en contratos. Establece una evaluación regular.

9

Forma a los empleados

BajaContinuo

Para todos: básicos de higiene cibernética. Para TI: formación técnica. Para dirección: responsabilidad bajo NIS2. Registra la asistencia.

10

Prueba y mejora

MediaContinuo

Mensual: revisión de métricas. Trimestral: escaneo de vulnerabilidades, revisión de accesos. Anual: prueba de penetración, revisión de riesgos, auditoría.

Cronograma

Mes 1
Determinación de alcance, apoyo de la dirección, evaluación
Mes 2-3
Análisis de riesgos, documentación básica
Mes 4-6
Medidas técnicas (fase 1), gestión de incidentes
Mes 5-6
Cadena de suministro, formación inicial
Mes 7+
Pruebas, mejora, siguientes fases

Cronograma realista para una empresa mediana: 6-12 meses para el cumplimiento básico.

Lista de verificación

  • Sé si estoy sujeto a NIS2 y en qué categoría
  • Tengo apoyo de la dirección y presupuesto
  • Tengo un análisis de brechas con prioridades
  • Tengo un registro de riesgos
  • Tengo al menos 2 documentos clave
  • Tengo medidas técnicas básicas
  • Sé a quién y cómo reportar incidentes
  • Tengo un resumen de proveedores críticos
  • Los empleados completaron la formación básica
  • Tengo un plan de pruebas regulares

Empieza con el paso 1 y 3

Verifica el alcance y realiza una evaluación. Nuestra evaluación NIS2 gratuita te dirá dónde estás y qué falta.

Este artículo es informativo. Para una implementación específica, consulta a un experto.