Convertimos la obligación normativa en resiliencia operativa real. Análisis de brechas, implementación técnica y apoyo en el registro ante el INCIBE para Sujetos Esenciales e Importantes en España.
Ámbito de aplicación
La Directiva NIS2 divide a las organizaciones en dos categorías con obligaciones y régimen de supervisión diferentes. La clasificación impacta directamente en el nivel de riesgo sancionador.
| Criterio | 🔴 Sujetos Esenciales (SE) | 🟡 Sujetos Importantes (SI) |
|---|---|---|
| Sectores típicos | Energía, Transporte, Sanidad, Agua potable, Infraestructura digital, Espacio, Banca, Administraciones públicas | Servicios postales, Gestión de residuos, Química, Alimentación, Fabricación, Proveedores digitales |
| Supervisión | Ex-ante y Ex-post Inspecciones regulares y proactivas |
Ex-post Solo ante indicios de incumplimiento |
| Multa máxima | 10.000.000 € o el 2% de la facturación global | 7.000.000 € o el 1,4% de la facturación global |
| Responsabilidad directiva | Directa — consejo, CEO y CISO responsables personalmente | Directa — con obligaciones formativas explícitas |
| Registro nacional | ✓ Obligatorio | ✓ Obligatorio |
¿No tienes claro si entras en el ámbito? Algunas PYMES se incluyen automáticamente por sector, independientemente de su tamaño (proveedores de DNS, registros TLD, prestadores cualificados de servicios de confianza). La verificación es el primer paso — solicítala gratis.
Artículo 21 — Directiva (UE) 2022/2555
Cada consultoría de Webristle cubre íntegramente los requisitos técnicos y organizativos establecidos por ENISA, el INCIBE y el CCN-CERT. Sin atajos.
Evaluación formal de amenazas, Business Impact Analysis (BIA) y definición de la propensión al riesgo aprobada por el consejo, con políticas de seguridad documentadas.
Procedimientos operativos para detección, clasificación y notificación al INCIBE-CERT: alerta temprana en 24h, notificación completa en 72h, informe final en un mes.
Planes de continuidad, gestión de copias de seguridad, disaster recovery probado y gestión de crisis con RTO y RPO definidos y documentados.
Auditoría y evaluación del nivel de seguridad de los proveedores críticos. Cláusulas contractuales alineadas con NIS2 y monitoreo continuo.
Gestión estructurada de vulnerabilidades, pentesting periódico y bastionado (hardening) en toda la infraestructura IT/OT.
Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos, con auditorías internas y ejercicios de red-team.
Arquitectura zero-trust, MFA obligatorio en todos los sistemas críticos, gestión IAM y Privileged Access Management (PAM).
Programas de formación y concienciación, procedimientos seguros de onboarding/offboarding y gestión del riesgo de amenaza interna.
Patch management sistemático, inventario de activos, seguridad endpoint y políticas BYOD documentadas y aplicadas.
Cifrado de datos en reposo y en tránsito como estándar mínimo. Políticas de gestión de claves, certificados digitales y firma electrónica conforme.
Cómo trabajamos
Sin enfoques genéricos. Cada empresa parte de un punto distinto: empezamos por ahí.
Determinamos si estás en el ámbito NIS2 y qué activos críticos quedan cubiertos. Verificación gratuita.
Documento técnico-legal que mapea las carencias frente a las 10 medidas del art. 21 con severity rating.
Hoja de ruta priorizada con esfuerzo, coste y plazos realistas. Primero las criticidades con mayor riesgo sancionador.
Bastionado técnico, políticas documentales, formación del management y registro ante el INCIBE.
Empieza hoy
El análisis de brechas es el punto de partida obligatorio. En 5 días laborables tendrás una fotografía precisa de tu posición frente a la NIS2.
Nuestros expertos te contactarán en 4 horas laborables con una evaluación preliminar gratuita.
Sin compromiso. Primera consulta gratuita. Respuesta en 4 horas laborables.
FAQ
Las respuestas a las dudas más comunes de CISOs, CEOs y responsables jurídicos.
Empieza con una verificación gratuita del ámbito. Sin compromiso, respuesta en 4 horas laborables.
EN
IT
ES