Checklist NIS2: 15 Requisitos que tu PYME Debe Cumplir

Si eres responsable de IT en una pequeña o mediana empresa, este checklist es el punto de partida que necesitas. Entre reuniones, proyectos y el día a día operativo, es fácil perder de vista qué exige realmente esta normativa y, sobre todo, por dónde empezar. La Directiva NIS2 (Network and Information Security Directive) entró en vigor en octubre de 2024 y afecta a miles de PYMEs españolas que antes no estaban sometidas a ninguna regulación de ciberseguridad. Si tu empresa opera en sectores críticos o esenciales, no hay margen de maniobra: necesitas cumplir los requisitos NIS2 o exponerte a sanciones que pueden ser devastadoras.

Este artículo te ofrece un checklist práctico con los 15 controles mínimos que la directiva exige. Nada de teoría abstracta: una guía de cumplimiento que puedes usar mañana mismo para evaluar dónde está tu empresa y qué tienes que hacer.

¿Por Qué los Requisitos NIS2 Afectan a tu PYME?

Antes de entrar en el checklist, conviene entender el contexto. NIS2 amplía significativamente el alcance de la anterior directiva NIS1. Mientras que antes solo afectaba a operadores de servicios esenciales —energía, agua, transporte—, ahora incluye:

• Proveedores de servicios digitales
• Fabricantes de dispositivos conectados
• Distribuidores mayoristas de suministros de tecnología
• Pequeñas y medianas empresas en sectores críticos

En España, el Instituto Nacional de Ciberseguridad (INCIBE) es tu referencia oficial. Ofrecen recursos gratuitos y guías específicas para PYMEs. Si aún no has visitado su web, empieza por ahí antes de buscar cualquier otra fuente sobre medidas de seguridad NIS2 aplicables a tu sector.

La multa por incumplimiento puede llegar a los 10 millones de euros o el 2% de la facturación anual global. Para una PYME, eso no es un susto: es un cierre. Dicho esto, reducirlo todo a miedo a sanciones sería un error. Cumplir NIS2 te protege de verdad contra ciberataques cada vez más sofisticados y dirigidos precisamente a empresas que asumen que son demasiado pequeñas para ser un objetivo.

Los 15 Controles NIS2 Esenciales para tu Empresa

1. Política de Gestión de Riesgos de Ciberseguridad

Tu empresa debe tener un documento formal que defina cómo identificas, evalúas y tratas los riesgos de ciberseguridad. Las ideas sueltas o los acuerdos verbales no cuentan: necesita estar documentado y comunicado a toda la organización.

Qué incluir: identificación de activos críticos, evaluación de amenazas, matriz de riesgos, plan de tratamiento de riesgos.

2. Análisis y Evaluación de Riesgos

Al menos una vez al año —o cuando haya cambios significativos en tu infraestructura IT— debes realizar un análisis formal de riesgos. Los resultados tienen que documentarse y revisarse de forma periódica.

Acción práctica: contrata a un auditor externo o usa herramientas de evaluación de riesgos. INCIBE ofrece guías gratuitas para hacer esto sin necesidad de consultores caros.

3. Medidas de Seguridad Técnicas Básicas

Aquí es donde el checklist se vuelve más concreto. Entre las medidas de seguridad NIS2 obligatorias, la directiva exige implementar controles técnicos mínimos:

• Cifrado de datos en tránsito y en reposo
• Autenticación multifactor (MFA) para accesos críticos
• Firewalls y sistemas de detección de intrusiones (IDS/IPS)
• Parches de seguridad aplicados regularmente
• Segmentación de redes

No necesitas tecnología de punta. Lo que necesitas es lo básico, bien hecho y bien mantenido.

4. Gestión de Accesos e Identidades (IAM)

Cada empleado debe tener credenciales únicas. Los accesos deben revisarse periódicamente, y con especial atención cuando alguien abandona la empresa: en mi experiencia, las cuentas huérfanas son uno de los vectores de ataque más frecuentes y más fáciles de evitar. El principio de “menor privilegio” aplica aquí: cada usuario solo accede a lo que necesita para su trabajo, nada más.

Control práctico: mantén un registro actualizado de quién tiene acceso a qué sistemas y revísalo trimestralmente.

5. Protección de Datos Personales

Si procesas datos personales —y casi todas las empresas lo hacen—, debes cumplir el RGPD además de NIS2. Esto incluye consentimiento informado, derechos de los usuarios y protección contra fugas de información.

6. Criptografía y Gestión de Claves

Si usas cifrado (y deberías), necesitas un proceso formal para generar, almacenar, rotar y destruir claves criptográficas. Las claves no pueden estar en un post-it en el escritorio del jefe, y tampoco en un Excel sin proteger en una carpeta compartida.

7. Seguridad de la Cadena de Suministro

Si usas software, servicios cloud o hardware de terceros —y prácticamente todas las empresas lo hacen—, debes evaluar su seguridad. Incluye cláusulas de seguridad en tus contratos y revisa regularmente que tus proveedores cumplen los estándares exigidos.

Ejemplo: si usas un servicio cloud para almacenar datos de clientes, verifica que el proveedor cuenta con certificaciones de seguridad reconocidas (ISO 27001, SOC 2, etc.).

8. Gestión de Incidentes de Seguridad

Necesitas un plan formal para responder a incidentes. ¿Qué haces si descubres un ataque? ¿A quién llamas? ¿Cómo se documenta todo lo ocurrido?

Elementos clave: definir qué constituye un incidente, crear un equipo de respuesta, establecer tiempos de notificación y documentar lecciones aprendidas.

NIS2 exige notificar incidentes graves a la autoridad competente en un plazo máximo de 72 horas. No es mucho tiempo cuando estás en medio de una crisis.

9. Continuidad de Negocio y Recuperación ante Desastres

Tu empresa debe poder seguir funcionando si algo falla. Este requisito NIS2 incluye:

• Copias de seguridad regulares y probadas
• Plan de continuidad de negocio documentado
• Pruebas periódicas de recuperación (al menos una vez al año)
• Identificación de servicios críticos que no pueden interrumpirse

10. Seguridad Física

La ciberseguridad no es solo digital. El acceso físico a servidores, salas de datos y equipos críticos también debe estar controlado: cámaras, cerraduras de seguridad, registro de visitas. Un atacante con acceso físico a tu infraestructura puede saltarse todos tus controles lógicos.

11. Concienciación y Formación en Ciberseguridad

Tus empleados son tu primera línea de defensa, y también tu punto más vulnerable si no están formados. El programa de formación debe cubrir:

• Reconocimiento de phishing y ingeniería social
• Uso de contraseñas seguras y gestores de contraseñas
• Uso seguro de dispositivos móviles y trabajo remoto
• Protección de datos sensibles

Mínimo una sesión anual por empleado, aunque lo ideal es formación trimestral con simulaciones periódicas de phishing.

12. Seguridad en el Desarrollo y Mantenimiento de Sistemas

Si desarrollas software internamente, la seguridad debe incorporarse desde el inicio del ciclo de desarrollo (DevSecOps), no añadirse al final como un parche. Esto significa:

• Revisar el código antes de ponerlo en producción
• Realizar pruebas de vulnerabilidades (pentesting)
• Mantener dependencias y librerías actualizadas
• Documentar todos los cambios

13. Auditoría y Monitoreo Continuo

Necesitas registros (logs) de accesos y cambios en sistemas críticos. Esos registros deben revisarse regularmente para detectar comportamientos anómalos o accesos no autorizados.

Herramientas: un SIEM (Security Information and Event Management) es lo ideal, pero las empresas más pequeñas pueden empezar con registros básicos y revisión manual periódica. Lo importante es empezar.

14. Cifrado de Comunicaciones

Correos electrónicos, videoconferencias y cualquier comunicación que incluya datos sensibles debe estar cifrada. TLS/SSL para correo, HTTPS para web y VPN para conexiones remotas son el estándar mínimo exigible.

15. Gestión de Vulnerabilidades

Hace falta un proceso continuo para:

• Identificar vulnerabilidades mediante escaneos regulares
• Priorizar las más críticas según su impacto potencial
• Aplicar parches y actualizaciones en plazos definidos
• Verificar que las vulnerabilidades han sido corregidas

Esto no es un evento puntual que puedes tachar de la lista: es un ciclo permanente de identificación y corrección.

Tabla Comparativa: Controles NIS2 por Nivel de Madurez

Cómo Implementar el Checklist NIS2: Pasos Prácticos

Paso 1: Diagnóstico Inicial

Antes de gastar dinero, haz un diagnóstico honesto. Responde a cada uno de los 15 requisitos: ¿lo tienes implementado sí o no? INCIBE ofrece herramientas gratuitas de autoevaluación en su web que son un punto de partida sólido y sin coste.

Paso 2: Priorización por Riesgo

No puedes hacerlo todo a la vez, así que prioriza según:

• Criticidad del requisito para tu sector
• Facilidad de implementación
• Impacto en la reducción de riesgo real
• Presupuesto disponible

Los requisitos 1, 2 y 8 —política de riesgos, análisis y gestión de incidentes— deben ir primero, porque son la base sobre la que se construye cualquier programa de cumplimiento NIS2.

Paso 3: Asignación de Responsabilidades

Designa a alguien como responsable de ciberseguridad. En PYMEs pequeñas puede ser el responsable IT, pero tiene que quedar claro quién lidera el proceso. Sin un nombre y un apellido detrás de cada tarea, nada avanza.

Paso 4: Documentación

Crea documentos para cada requisito. No necesitan ser complejos, pero deben existir, estar fechados y ser accesibles para una posible auditoría.

Paso 5: Implementación Gradual

No intentes implementar todo en un mes. Un plan realista para una PYME pequeña oscila entre los 6 y los 12 meses.

Paso 6: Revisión y Mejora Continua

Cada trimestre, revisa el progreso. ¿Qué está funcionando? ¿Qué necesita ajustarse? El cumplimiento NIS2 no es un proyecto con fecha de fin, sino un ciclo de mejora permanente.

Presupuesto Realista para PYMEs

Muchas empresas creen que cumplir NIS2 es prohibitivamente caro. Depende mucho del punto de partida, pero no siempre es así:

• Bajo presupuesto (0–5.000 €): documentación interna, formación con recursos gratuitos, herramientas open source
• Presupuesto medio (5.000–20.000 €): auditoría externa, software de seguridad comercial, formación profesional certificada
• Presupuesto alto (20.000 € +): consultoría integral, infraestructura de seguridad avanzada, equipo o servicio dedicado (MSSP)

El tamaño y el sector de tu empresa determinan cuánto necesitas invertir. Una empresa de 10 personas no necesita lo mismo que una de 100, y pretender que sí es uno de los errores más habituales que veo al asesorar a PYMEs en este proceso.

Recursos Gratuitos Oficiales para tu Cumplimiento NIS2

El Instituto Nacional de Ciberseguridad (INCIBE) pone a disposición de las PYMEs:

• Guías específicas sobre NIS2 en https://www.incibe.es
• Herramientas gratuitas de evaluación de riesgos
• Plantillas de documentación descargables
• Asesoramiento telefónico sin coste (017)
• Programas de formación en ciberseguridad para empleados

No necesitas pagar a consultores desde el primer día. INCIBE es tu aliado oficial en España para empezar con el checklist NIS2 sin coste.

Preguntas Frecuentes sobre NIS2 para PYMEs

¿Checklist NIS2?

Lista de verificación completa con los 15 controles mínimos que NIS2 exige: análisis de riesgos, gestión de incidentes, continuidad de negocio y más.

¿Cuándo entra en vigor NIS2 en España?

La transposición al derecho español está pendiente de aprobación en el BOE. Se espera en 2025-2026. Las empresas deben prepararse ya.

¿Qué pasa si mi empresa no cumple NIS2?

Las sanciones pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio global para entidades esenciales.

¿Necesito una consultora para cumplir NIS2?

Depende del tamaño y madurez de tu empresa. PYMEs pequeñas pueden empezar con las guías de INCIBE. Las medianas suelen necesitar apoyo externo.

¿Mi PYME está obligada por NIS2?

Depende. Si tu empresa opera en un sector crítico o esencial (energía, agua, salud, transporte, digital, infraestructuras) y tiene más de 50 empleados o una facturación superior a 10 millones de euros, sí. También si eres proveedor de servicios digitales o fabricante de dispositivos conectados. Consulta el listado oficial en INCIBE o en la web de tu comunidad autónoma.

¿Cuánto tiempo lleva implementar NIS2?

Para una PYME pequeña, entre 6 y 12 meses es un plazo realista. Para empresas más grandes o con mayor complejidad, entre 12 y 24 meses. Depende del punto de partida y los recursos disponibles.

Conclusión: Empieza Hoy con tu Checklist NIS2

NIS2 no es una amenaza, es una oportunidad para mejorar la seguridad real de tu empresa. Sí, requiere tiempo y dinero, pero la inversión en ciberseguridad se amortiza rápido cuando evita un incidente costoso.

El checklist de 15 requisitos que hemos recorrido no es exhaustivo, pero cubre lo esencial para cualquier PYME. Empieza hoy: visita INCIBE, descarga las herramientas gratuitas y haz un diagnóstico honesto de dónde está tu empresa. Después, crea un plan realista con plazos y responsables claros.

El cumplimiento NIS2 no es un proyecto que termina, es un proceso continuo de mejora. Pero si empiezas ahora, en seis meses estarás mucho más cerca de cumplir los requisitos. Tu empresa, tus clientes y tus datos te lo agradecerán.