Servicio · NG-001 Adecuación NIS2 Diagnóstico cerrado · 5 días laborables Desde 1.490 € Precio cerrado
§00 — Servicio

¿Tu empresa está obligada por NIS2
y no sabes por dónde empezar?

§01
¿Te aplica?

Dieciocho sectores obligados.
Multas hasta 10 M € o 2 % de facturación.

NIS2 distingue entidades esenciales y entidades importantes. La responsabilidad alcanza al órgano de dirección. Aplica a empresas con ≥ 50 empleados o ≥ 10 M € de facturación; sin umbral para infraestructura crítica.

§ Entidades esenciales

  • Energía: electricidad, gas, petróleo, hidrógeno, calor y frío urbano.
  • Transporte aéreo, ferroviario, marítimo y por carretera.
  • Banca y mercados financieros (con DORA aplicable en paralelo).
  • Sanidad: hospitales, laboratorios, fabricantes de productos sanitarios.
  • Agua potable y aguas residuales.
  • Infraestructura digital: DNS, IXP, TLDs, cloud y datacenters.
  • Administración pública crítica (AGE y CCAA).
  • Espacio.

Entidades importantes

  • Servicios postales y de mensajería.
  • Gestión de residuos.
  • Fabricación y distribución de productos químicos.
  • Alimentación: producción, transformación, distribución.
  • Fabricación: dispositivos médicos, electrónica, maquinaria, vehículos.
  • Proveedores digitales: marketplaces, buscadores, redes sociales.
  • Investigación científica.
  • Cualquier proveedor TIC crítico de las anteriores.
§02
Pilares

Seis bloques de cumplimiento.
Auditamos los seis.

No es solo «tener un firewall». NIS2 exige medidas de gestión de riesgo, gobierno y notificación con responsabilidad directa de la dirección.

Pilar 01

Gobierno y gestión de riesgo

Política de seguridad, análisis de riesgos, responsabilidad del órgano de dirección y formación obligatoria para directivos.

Dirección
Pilar 02

Tratamiento de incidentes

Procedimientos de detección, respuesta y notificación al CSIRT en menos de 24 h (alerta temprana) y 72 h (notificación formal).

CSIRT
Pilar 03

Continuidad de negocio

Backups, gestión de crisis, recuperación ante desastres y procedimientos de continuidad operativa probados.

BCP/DR
Pilar 04

Cadena de suministro

Evaluación de riesgo de proveedores TIC, requisitos contractuales y vigilancia de la exposición de terceros en la red Tor.

Terceros
Pilar 05

Higiene básica y formación

Políticas de contraseñas, MFA, parches, control de acceso, segmentación de red y formación recurrente en ciberseguridad.

Operación
Pilar 06

Cifrado, IAM y criptografía

Uso de cifrado en tránsito y reposo, gestión de identidades y accesos, criptografía adecuada al riesgo del activo.

Cripto
§03
Método

Cinco días laborables. Diagnóstico cerrado.

No vendemos consultoría infinita. Vendemos un diagnóstico claro, un plan ejecutable y un presupuesto cerrado para llegar al cumplimiento real.

FASE 01

Kickoff

Sesión inicial de 90 minutos. Identificamos sector, alcance, entidades del grupo y obligaciones aplicables.

FASE 02

Recogida

Cuestionario técnico, revisión documental, entrevistas con responsables IT, seguridad y legal, y barrido externo con Ghostnet.

FASE 03

Análisis gap

Mapeamos lo que tienes contra los 6 pilares NIS2. Identificamos gaps y los priorizamos por riesgo y esfuerzo de implementación.

FASE 04

Plan de adecuación

Plan con acciones, responsables, plazos, coste estimado y orden de ejecución. Ejecutable por cualquier equipo competente, sin lock-in.

FASE 05

Presentación ejecutiva

Sesión de 90 minutos con dirección. Entrega del informe, dossier de evidencias y roadmap a la inspección.

§04
Entregables

Qué recibes exactamente.

Entregable 01PDF

Dictamen de obligación

AlcanceAnálisis escrito de si tu organización está obligada por NIS2, en qué categoría (esencial / importante) y por qué activo o servicio concreto.
Entregable 02Gap

Informe de análisis gap

DetalleMapeo de tu estado actual contra los 6 pilares NIS2. Cada gap clasificado por criticidad, esfuerzo de implementación y dependencias.
Entregable 03Plan

Plan de adecuación priorizado

AccionesRoadmap con acciones inmediatas (< 30 días), tácticas (< 90 días) y estructurales (< 12 meses). Coste estimado por acción.
Entregable 04Plantillas

Plantillas documentales

IncluyePolítica de seguridad, plan de respuesta a incidentes, registro interno de incidentes y plantilla de evaluación de proveedores TIC.
Entregable 05Dark web

Barrido inicial Ghostnet

CoberturaBúsqueda en la red Tor sobre tus dominios, marcas y proveedores TIC críticos. Evidencia inicial para el pilar 4 — cadena de suministro.
Entregable 06Sesión

Presentación a dirección

Duración90 minutos con el órgano de dirección para explicar obligación, gaps y plan. Material adaptado para audiencia no técnica.
§05
Precio

Tres paquetes. Precio cerrado.
Sin sorpresas.

Elige el alcance según el tamaño de tu organización y el nivel de profundidad que necesites. Todos incluyen presentación ejecutiva final.

NG-001a · Express

Diagnóstico inicial

Para empresas que necesitan saber si están obligadas y dónde están los huecos urgentes.

1.490+ IVA · 5 días
  • Verificación de obligación NIS2 con dictamen escrito
  • Autodiagnóstico guiado de los 6 pilares
  • Sesión técnica de 90 min con tu equipo
  • Checklist priorizado de gaps detectados
  • Recomendaciones de quick-wins (< 30 días)
Solicitar Express

Pago único. Plazo cerrado de 5 días laborables.

Más contratado
NG-001b · Audit

Auditoría completa + plan

Para llegar al cumplimiento real, con plan ejecutable y plantillas documentales listas para usar.

4.900+ IVA · 2-3 sem.
  • Todo lo del paquete Express
  • Auditoría documental y técnica completa
  • Entrevistas con IT, seguridad, legal y dirección
  • Análisis gap detallado de los 6 pilares
  • Plan con responsables, plazos y coste por acción
  • Plantillas: política, respuesta, registro, proveedores
  • Sesión ejecutiva 90 min con dirección
  • Revisión a los 90 días sin coste
Solicitar Audit

Pago único. 2-3 semanas según volumen documental.

NG-001c · Audit + Watch

Cumplimiento + vigilancia

Para sumar evidencia continua de cadena de suministro y notificación temprana al CSIRT.

9.900+ IVA · 6 meses
  • Todo lo del paquete Audit
  • Ghostnet Watch durante 6 meses
  • Vigilancia continua de dominios, marcas y ejecutivos
  • Alertas en < 5 min cuando aparezcas
  • Informe mensual de exposición
  • Vigilancia de proveedores TIC críticos (pilar 4)
  • Renovación opcional con descuento al 6.º mes
Solicitar Audit + Watch

Pago único. 6 meses de monitorización continua incluidos.

Grupo empresarial con varias entidades obligadas o regulación adicional (DORA, ENS) — solicita propuesta a medida.

Marcos alineados — NIS2 · DORA · RGPD · ENS · ISO 27001 · CCN-STIC 800 · INCIBE-CERT · MITRE ATT&CK

§06
Preguntas

Dudas frecuentes.

¿Cómo sé si NIS2 me aplica?

Te lo decimos gratis en una llamada de 30 minutos. NIS2 aplica si operas en uno de los 18 sectores listados en los Anexos I y II y superas el umbral de tamaño (≥ 50 empleados o ≥ 10 M € de facturación), con excepciones para infraestructura crítica que aplica a cualquier tamaño. También aplica indirectamente si eres proveedor TIC de una empresa obligada.

¿En qué se diferencia esto de una ISO 27001?

ISO 27001 es voluntaria; NIS2 es obligatoria con sanciones reales. Si ya tienes ISO 27001 implementada, parte del trabajo está hecho — lo aprovechamos y solo cubrimos los gaps específicos de NIS2 (notificación a CSIRT, responsabilidad de dirección, vigilancia de cadena de suministro). Si no la tienes, NIS2 es perfectamente cumplible sin necesidad de certificarse en ISO.

¿Qué pasa si no cumplo?

Sanciones administrativas hasta 10 M € o 2 % de la facturación global anual (lo que sea mayor) para entidades esenciales. Suspensión temporal de directivos e inhabilitación temporal del CEO. La autoridad nacional (INCIBE-CERT y CCN-CERT) puede inspeccionar y exigir el plan de adecuación con plazo. Mejor tener el plan antes de la inspección.

¿Vosotros me certificáis o solo auditáis?

NIS2 no requiere certificación de un tercero acreditado: requiere que la entidad obligada tenga implementadas las medidas y pueda demostrarlo. Hacemos la auditoría, el plan y, si quieres, la implementación de los controles técnicos a través del servicio de Hardening. La autoridad nacional inspecciona; nosotros te dejamos preparado para esa inspección.

¿Hacéis también la implementación, no solo la auditoría?

Sí. La auditoría y el plan terminan con un presupuesto cerrado para implementar lo que falte. Podemos hacerlo nosotros (Hardening, Monitorización, Formación) o coordinarnos con tu proveedor IT actual. Sin lock-in: el plan es ejecutable por cualquier equipo competente.

¿Por qué incluir Ghostnet Watch en el paquete superior?

NIS2 exige vigilancia continua de la cadena de suministro y notificación temprana de incidentes. Ghostnet Watch monitoriza la red Tor buscando tus activos y los de tus proveedores críticos, generando evidencia continua de cumplimiento del pilar 4 y permitiendo notificar a CSIRT en plazo cuando aparezcas en una filtración antes de que sea pública.

§07 — Siguiente paso

Empieza con el diagnóstico gratuito de obligación.

Antes de contratar nada, te decimos en una llamada de 30 minutos si NIS2 te aplica, qué nivel (esencial o importante) y qué paquete encaja con tu organización. Sin coste y sin compromiso.

Solicitar diagnóstico Ver monitorización continua