Convertimos la Directiva NIS2 de una carga regulatoria en una ciberseguridad más sólida y respaldada por la dirección: análisis de brechas, medidas de gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro, sin frenar tu operación.
La NIS2 hace a la dirección formalmente responsable de la ciberseguridad, con sanciones significativas y la posibilidad de inhabilitar a directivos. La mayoría de organizaciones no saben con certeza si están sujetas ni dónde están sus brechas.
No tienes claro si tu empresa está sujeta a la NIS2 por sector, tamaño o por ser proveedor de una entidad obligada.
La dirección responde personalmente del cumplimiento, pero carece de un mapa claro de obligaciones y riesgos.
No existe un proceso de notificación de incidentes que cumpla los plazos de 24 horas, 72 horas y un mes.
Tus clientes ya te exigen garantías de ciberseguridad por contrato como parte de su propia cadena de suministro.
Un programa pragmático que cubre los dos pilares de la NIS2 —gestión de riesgos y notificación de incidentes— más la seguridad de la cadena de suministro y la gobernanza de la dirección.
Analizamos tu sector, tamaño y posición en la cadena de suministro para determinar si estás sujeto, y comparamos tus medidas actuales con los requisitos de la directiva.
Implantamos medidas técnicas y organizativas proporcionadas: políticas de seguridad, continuidad de negocio, control de accesos y cifrado.
Diseñamos el proceso de notificación con los hitos de 24 horas, 72 horas y un mes, y asignamos responsables claros.
Evaluamos a tus proveedores y trasladamos requisitos contractuales de ciberseguridad, tal como exige la directiva.
Definimos el papel del consejo en la aprobación y supervisión de las medidas y formamos a la dirección sobre su responsabilidad.
Apalancamos un sistema de gestión basado en ISO 27001 para cubrir buena parte de las medidas exigidas y facilitar la evidencia de cumplimiento.
Las cifras que definen lo que está en juego si no cumples, directamente de la directiva.
10M€ / 2%
Sanción máxima para entidades esenciales (10M€ o el 2% de la facturación anual global, lo que sea mayor)
Fuente: Directiva (UE) 2022/2555
7M€ / 1,4%
Sanción máxima para entidades importantes (7M€ o el 1,4% de la facturación global, lo que sea mayor)
Fuente: Directiva (UE) 2022/2555
18
Sectores estratégicos afectados (Anexos I y II), además de sus cadenas de suministro
Fuente: Directiva (UE) 2022/2555
Un proyecto ordenado, no una carrera de última hora, diseñado en torno a los plazos de notificación de 24 horas, 72 horas y un mes.
Analizamos sector, tamaño y posición en la cadena de suministro de entidades obligadas.
Comparamos tus medidas actuales con los requisitos de la directiva e identificamos las carencias.
Desplegamos medidas técnicas y organizativas proporcionadas al riesgo: incidentes, continuidad, accesos, cifrado y proveedores.
Establecemos el proceso de notificación de incidentes con los plazos de 24 y 72 horas y el informe final.
Formamos al consejo y definimos su papel en la aprobación y supervisión continua de las medidas.
Depende de tu alcance, sector y madurez de partida. Empezamos con un diagnóstico gratuito que dimensiona el esfuerzo y te entregamos una propuesta por fases, para que inviertas primero donde hay más riesgo y no de golpe.
El diagnóstico y el análisis de brechas se completan en semanas; la implantación de medidas se planifica por fases según tu riesgo. Diseñamos el calendario en torno a los plazos de notificación de 24 horas, 72 horas y un mes para que llegues preparado, no a contrarreloj.
Aplica a entidades de 18 sectores estratégicos que superan el umbral de mediana empresa, con excepciones para pymes en sectores críticos. Además, puedes estar obligado de facto si eres proveedor de una entidad sujeta. El diagnóstico aclara tu situación exacta.
No. Nuestro objetivo es dejar a tu equipo y a tu dirección autónomos: documentamos el sistema, formamos a las personas responsables y te entregamos el proceso. Puedes contar con nosotros para soporte continuo, pero por elección, no por dependencia.
La NIS2 establece que los órganos de dirección deben aprobar y supervisar las medidas de ciberseguridad y pueden ser inhabilitados en caso de incumplimiento grave. Por eso implicamos al consejo desde el inicio, no solo al equipo técnico.
Solicita un diagnóstico de cumplimiento NIS2 gratuito: evaluamos tu alcance, mapeamos tus brechas y trazamos un plan de acción realista.
Solicitar diagnóstico NIS2 gratuitoSin compromiso: una lectura clara de tu exposición a la NIS2.