Preparación para NIS2 en pequeñas empresas — una guía clara (2026) | Scanthra

Scanthra · 8 min de lectura · Actualizado Mayo de 2026

¿Qué es NIS2 y dónde se aplica?

NIS2 es la Directiva de Seguridad de Redes y Sistemas de Información de la UE (Directiva (UE) 2022/2555). Reemplaza la NIS1 original de 2016 y amplía significativamente el ámbito de aplicación, eleva el nivel mínimo de medidas de seguridad requeridas, e introduce responsabilidad personal para los órganos de dirección.

Todos los Estados miembros de la UE debían transponer NIS2 a su legislación nacional antes del 17 de octubre de 2024. En la práctica, las leyes nacionales han llegado en oleadas durante 2024–2026. Algunos ejemplos de los nombres locales que puedes encontrarte:

• Polonia — enmienda a la Ley de Ciberseguridad (Krajowy System Cyberbezpieczeństwa), en vigor desde el 3 de abril de 2026.
• Alemania — NIS2-Umsetzungsgesetz (NIS2UmsuCG).
• Francia — implementada mediante la Loi de transposition NIS2 supervisada por ANSSI.
• Italia — Decreto Legislativo que implementa la directiva, supervisado por ACN.
• España, Países Bajos, Bélgica, países nórdicos… — cada uno tiene su propia ley con el mismo contenido mínimo.

Fuera de la UE, están surgiendo regímenes similares — el Cyber Security and Resilience Bill del Reino Unido, la Ley de Seguridad de la Información de Suiza, y varios países no pertenecientes a la UE están alineando el lenguaje de sus cuestionarios de proveedores con NIS2 aunque no les aplique legalmente. Si vendes a la UE desde cualquier parte del mundo, tus clientes acabarán preguntándote sobre las medidas del Artículo 21.

¿Estoy en el ámbito de aplicación?

Directamente: solo si eres una entidad esencial o importante. Eso significa principalmente empresas medianas y grandes (≥50 empleados o ≥10M EUR de facturación) en sectores como energía, transporte, banca, sanidad, infraestructura digital, administración pública, servicios postales, residuos, fabricación de productos críticos, alimentación, química, investigación y proveedores digitales (nube, marketplaces, motores de búsqueda).

Indirectamente: cada proveedor o subcontratista de una entidad en el ámbito. El Artículo 21(2)(d) de NIS2 exige a las entidades en el ámbito abordar la seguridad de la cadena de suministro. En la práctica, eso significa que tus clientes empresariales te enviarán un cuestionario de seguridad y un anexo contractual pidiéndote que demuestres los mismos controles — gestión de parches, encabezados, MFA, respuesta a incidentes — aunque tu empresa tenga 5 empleados y esté fuera de la UE.

Las 7 medidas del Artículo 21 relevantes para sitios web

De las 10 medidas mínimas del Artículo 21(2) de NIS2, siete se corresponden con cosas que puedes observar y mejorar en un sitio web:

1. Criptografía y cifrado — TLS/SSL (cifrado) moderno, HSTS (forzado de HTTPS), sin SSLv3/TLS 1.0/1.1.
2. Gestión de vulnerabilidades y divulgación — mantén el CMS (gestor de contenidos) y los componentes en versiones compatibles y parcheadas; publica un contacto de seguridad o security.txt.
3. Control de acceso — URLs de administración no indexadas públicamente, sin archivos .git / .env / copias de seguridad expuestos.
4. Comunicaciones seguras — solo HTTPS, cookies seguras, CSP (Content Security Policy) y Permissions-Policy coherentes.
5. Protección de datos — páginas de depuración desactivadas, sin trazas de pila filtradas, sin IPs internas en encabezados.
6. Seguridad de la cadena de suministro — dependencias y versiones conocidas, sin datos de clientes expuestos mediante subdominios.
7. Autenticación del correo — SPF, DKIM y DMARC (protección del correo) para que los incidentes no se propaguen mediante correos falsificados.

El pack de inicio NIS2 económico (menos de 4 horas de trabajo)

Estas cinco acciones cubren la mayoría de los problemas «esperábamos más» en un cuestionario de proveedor NIS2 típico para una pequeña empresa — independientemente del país:

1. Activa las actualizaciones automáticas para tu CMS (gestor de contenidos), temas y plugins.
2. Añade los encabezados HSTS (forzado de HTTPS), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Consulta nuestra guía de CSP.
3. Configura SPF, DKIM y DMARC (protección del correo) en tu dominio. Consulta nuestra guía de autenticación de correo.
4. Elimina o bloquea .env, .git/, /backup.sql, /wp-config.php.bak y otros archivos «expuestos accidentalmente».
5. Publica /.well-known/security.txt con un contacto de correo electrónico y tu política de divulgación de vulnerabilidades.

Un plan de respuesta a incidentes de 24/72 horas que cabe en una página

Incluso fuera del ámbito, tener este documento listo se convierte en una ventaja competitiva cuando un cliente empresarial te lo pide. Las ventanas de 24/72 horas que aparecen a continuación vienen directamente del Artículo 23 de NIS2:

• Hora 0: Identifica el incidente. Toma una instantánea.
• Hora 1–4: Contén — rota credenciales, aísla el servicio afectado.
• Hora 4–24: Notifica (propietarios internos, proveedor de alojamiento, Autoridad de Protección de Datos si hay datos personales afectados, clientes si sus datos están afectados). NIS2 llama a esto la «alerta temprana».
• Hora 24–72: Presenta un informe formal a tu CSIRT nacional si estás en el ámbito.
• Día 7+: Análisis de causa raíz, post-mortem, actualiza el manual. NIS2 exige un informe final no más tarde de un mes después de la notificación.

Cada Estado miembro gestiona su propio portal de notificación — CSIRT NASK en Polonia, BSI en Alemania, ANSSI/CERT-FR en Francia, CSIRT Italia, NCSC-NL en los Países Bajos, etc. ENISA mantiene un directorio central. Aunque no estés en el ámbito, tener la URL y tus datos de cuenta preparados te evitará buscarlos frenéticamente el peor día del año.

Lo que NIS2 explícitamente no es

Algunos mitos comunes:

• No es una certificación puntual. No existe un «sello NIS2» — demuestras práctica continua.
• No reemplaza el RGPD (GDPR). Los dos coexisten; los incidentes con datos personales pueden activar ambos regímenes.
• No exige comprar software específico. El Artículo 21 es tecnológicamente neutral.
• No tiene efecto «solo en la UE». Los proveedores no pertenecientes a la UE que venden a la UE reciben rutinariamente cuestionarios con la forma de NIS2 de sus clientes de la UE.

Cómo ayuda Scanthra

Todos los informes PDF de Scanthra incluyen ahora una sección de preparación para NIS2 que relaciona los problemas detectados de tu escaneo con las siete categorías del Artículo 21 relevantes para sitios web mencionadas anteriormente, con un estado por categoría (OK, atención, brecha) y una puntuación global. El mapeo es a la directiva de la UE en sí, así que es útil independientemente de la transposición del Estado miembro bajo la que caigas — e independientemente de si estás en la UE o no. No es una opinión legal ni un sustituto de una auditoría, pero es un input técnico útil que puedes adjuntar a una respuesta de cuestionario de proveedor o compartir con tu consultor de seguridad.

Este artículo es de carácter informativo general y no constituye asesoramiento jurídico. Para interpretaciones vinculantes de NIS2 en tu jurisdicción, consulta a un abogado cualificado o a tu autoridad nacional de ciberseguridad.