Preguntas frecuentes

La Directiva (UE) 2022/2555, conocida como NIS2, es la normativa europea que establece medidas de ciberseguridad de alto nivel común para todas las redes y sistemas de información de los Estados miembros. Amplía significativamente el ámbito de aplicación respecto a la directiva NIS original, incluyendo a más sectores y reduciendo el umbral de tamaño de empresa obligada.

Depende de tu sector y tamaño. La NIS2 aplica a empresas de sectores esenciales (energía, transporte, salud, agua, infraestructuras digitales) e importantes (manufactura, logística, química, alimentación, construcción) que tengan más de 10 empleados o más de 10 millones de euros de facturación. Además, las empresas que son proveedoras de entidades esenciales también deben cumplir a través de la cadena de suministro (Art. 21.2.d). Si no estás seguro, consulta nuestro artículo sobre [qué empresas están obligadas](/blog/nis2-obligado-empresas).

Las sanciones de la NIS2 incluyen multas de hasta 10 millones de euros o el 2% de la facturación anual global (lo que sea mayor), inhabilitación temporal de los miembros del órgano de dirección, supervisión reforzada y publicidad de la sanción. Para una PYME de 5 millones de facturación, la multa máxima sería 100.000 €.

La NIS2 ya ha sido transpuesta al ordenamiento jurídico español mediante la modificación del Real Decreto-Ley de ciberseuridad. Las inspecciones por parte del INCIBE y las autoridades competentes comenzarán antes de 2027. Las empresas obligadas deben estar preparadas desde ya: las sanciones por incumplimiento son exigibles desde el momento en que las inspecciones comiencen.

Es una captura pasiva del tráfico de tu red industrial durante 2-4 semanas, sin impacto en producción. Analizamos los dispositivos conectados, las comunicaciones, los protocolos utilizados y las vulnerabilidades visibles desde el tráfico. Al final, entregas un informe ejecutivo y un informe técnico con un plan de acción priorizado. Más información en [diagnóstico básico OT](/servicios/diagnostico).

No. El diagnóstico es completamente pasivo: colocamos un sensor de captura en un puerto SPAN o mirror de un switch industrial y solo escuchamos el tráfico existente. No enviamos ningún paquete, no hacemos escaneos activos, no interactuamos con los PLCs ni con ningún dispositivo. La producción continúa con total normalidad.

El diagnóstico básico OT tiene un coste de entre 1.500 y 3.500 euros, dependiendo de la complejidad de la red. Incluye la captura, el análisis y la entrega de informes. Es la inversión con mayor retorno que puedes hacer en ciberseguridad: comparado con el coste de un incidente de ransomware (50.000-200.000 € en una PYME), el diagnóstico es una fracción.

Incluye la redacción de todas las políticas de seguridad requeridas por el Art. 21.2 de la NIS2, los planes de continuidad de negocio (BCP), los planes de respuesta ante incidentes (IRP), la formación ejecutiva y la preparación del expediente de auditoría. Todo coordinado con las medidas técnicas implementadas. Más detalles en [adecuación legal NIS2](/servicios/legal).

Un Chief Information Security Officer externalizado es un profesional de ciberseguridad que asume las funciones de CISO para tu empresa de forma part-time: revisión mensual de la postura de seguridad, informe ejecutivo, coordinación de auditorías, línea directa de respuesta ante incidentes y formación a la dirección. Todo por una fracción del coste de un CISO interno (800-1.500 €/mes vs. 70.000-120.000 €/auro). Más información en [soporte continuo y CISO externo](/servicios/soporte).

La segmentación IT/OT consiste en establecer una frontera controlada entre la red corporativa (IT, donde están los ordenadores de oficina, el correo, el ERP) y la red industrial (OT, donde están los PLCs, el SCADA, los sensores). Sin segmentación, un atacante que compromete un ordenador de oficina puede llegar directamente a los PLCs que controlan la producción. Lee más en nuestro artículo sobre [segmentación IT/OT](/blog/segmentacion-it-ot).

La NIS2 es la directiva europea que define **qué** debe protegerse: los niveles mínimos de ciberseguridad para las entidades cubiertas. El ENS (Esquema Nacional de Seguridad) es la normativa española que define **cómo** protegerse: las medidas concretas organizativas y operativas. En la práctica, cumplir con el ENS de Categoría Media te posiciona para cumplir con la mayoría de los requisitos técnicos de la NIS2. Más detalles en [ENS y NIS2](/blog/que-es-ens-pyme).

Los escaneos activos (Nmap, Nessus) pueden ser peligrosos en redes industriales porque envían paquetes a los dispositivos, y algunos PLCs y RTUs pueden bloquearse. Por eso nuestro diagnóstico es **pasivo**: solo capturamos el tráfico existente sin enviar nada a la red. Lee más sobre nuestro enfoque en [diagnóstico pasivo de redes OT](/blog/diagnostico-pasivo-ot).