Checklist NIS2 para empresas: cómo pasar de “no sé si me aplica” a “estamos listos”

Lo inquietante de NIS2 no es la directiva en sí. Es el momento en que ocurre un incidente y descubres que tu empresa no puede demostrar tres cosas básicas: qué ha pasado, qué has hecho y cuándo lo has notificado.

Esta guía te da una checklist NIS2 práctica para convertir la obligación en un plan operativo, con evidencia y responsables, sin convertir tu IT en una burocracia.

Checklist NIS2: 3 preguntas que deberías poder responder hoy

Antes de entrar en controles, empieza por lo que de verdad te va a pedir cualquier auditoría o comité directivo:

• ¿Me aplica NIS2? (por sector, tamaño y rol en la cadena).
• ¿Tengo gobierno y responsables? (quién decide, quién ejecuta, quién reporta).
• ¿Puedo responder y notificar a tiempo? (procesos, registros y comunicación).

Si una de estas respuestas es “no lo sé”, ya tienes tu primer resultado: necesitas una checklist NIS2 que te dé orden y evidencia.

¿Quieres priorizar tu checklist NIS2 sin adivinar?

• Resultado: mapa de brechas priorizadas (alto/medio/bajo) y próximos pasos.
• Tiempo: 10 minutos para responder + 24–48h para devolverte el resumen.

Para quién es: empresas B2B con IT interno o proveedor externo (sectores críticos o cadena de suministro).

Solicitar autodiagnóstico  |  Ver servicios de cumplimiento y ciberseguridad

Checklist NIS2 paso a paso: 12 puntos para tener control (y evidencia)

1) Confirma alcance: ¿te aplica NIS2 o te aplica “por cliente”?

No empieces “implantando controles” sin saber si estás dentro del perímetro o si tu obligación viene por cliente/tercero. En B2B esto ocurre muchísimo: no estás en el anexo principal, pero eres proveedor crítico.

• Revisa tu sector y actividad.
• Valora tamaño y criticidad.
• Mapea clientes que ya te exigen requisitos NIS2 (o equivalentes) para renovar o firmar.

2) Define gobierno: convierte la checklist NIS2 en una decisión de negocio

NIS2 no es “un proyecto de IT”: es riesgo operacional. Si dirección no está involucrada, la checklist NIS2 se cae en el primer conflicto de prioridades.

• Responsable ejecutivo (propietario del riesgo) + responsable operativo (ejecución).
• Marco mínimo: políticas, presupuesto, prioridades y métricas.
• Formación periódica (no una charla anual).

3) Inventario de activos y servicios críticos

Si no puedes responder qué activos soportan tus servicios críticos, no puedes gestionar riesgo. En B2B, “activo” incluye SaaS, integraciones, identidades y proveedores.

• Lista servicios críticos y sus dependencias.
• Asocia propietario, RTO/RPO, proveedor y punto único de fallo.
• Clasifica datos (PII, financiero, propiedad intelectual, contratos).

4) Análisis de riesgos: simple, accionable y repetible

Riesgo no es un PDF; es una lista priorizada de decisiones. Esta parte convierte tu checklist NIS2 en un plan real.

• Escenarios: ransomware, credenciales, fallo de proveedor, insider, fuga de datos.
• Probabilidad/impacto con criterios claros (operativo, financiero, reputacional, contractual).
• Quick wins (30 días) vs. medidas estructurales (90+ días).

5) Gestión de incidentes: que no dependa de una persona

• Roles y escalado (quién decide, quién ejecuta, quién comunica).
• Registro de incidentes (qué, cuándo, impacto, medidas, responsables).
• Plantillas para comunicación interna y a clientes/terceros cuando aplique.

6) Continuidad: backup, recuperación y pruebas

Si tu backup no se prueba, no existe. En una checklist NIS2 “audit-ready”, una restauración documentada es oro.

• RTO/RPO por servicio crítico.
• Prueba real de restauración y evidencia (fecha, resultados, lecciones).
• Plan de crisis (qué haces si el peor escenario ocurre).

7) Cadena de suministro: proveedores y requisitos mínimos

Muchos incidentes entran por terceros. NIS2 pone foco en supply chain, y tu checklist NIS2 debe reflejarlo.

• Lista de proveedores críticos (SaaS, cloud, soporte, integraciones).
• Requisitos mínimos: SLA, seguridad, reporting, notificación de incidentes.
• Revisión contractual y evidencias.

8) Gestión de vulnerabilidades y parches

• Cadencia de parches (críticos/altos/medios) y responsables.
• Inventario de software y exposición.
• Registro de cambios y validación.

9) Identidad y accesos: reduce el “camino del atacante”

En la mayoría de empresas, el 80% del riesgo baja si refuerzas identidades (MFA), endpoints, backup/restauración, parches y detección/respuesta. Esta es una forma práctica de ejecutar tu checklist NIS2 sin fricción.

Si necesitas reforzar endpoints de forma rápida (muy típico en entornos híbridos):

Protección integral del puesto de trabajo

10) Formación y ciberhigiene (operativa, no decorativa)

• Entrenamientos cortos y frecuentes (phishing, credenciales, acceso).
• Simulacros con métricas (click rate, reporte, tiempo de reacción).
• Políticas entendibles y aplicables.

11) Preparación de reporting: evita improvisar

Una parte crítica de cualquier checklist NIS2 es poder reportar con orden: qué pasó, impacto, acciones y aprendizaje. Deja preparado un procedimiento y plantillas, y ensáyalo.

12) Evidencias: lo que separa “cumplo” de “puedo demostrar”

• Políticas y revisiones.
• Registros (incidentes, cambios, parches, accesos).
• Resultados de pruebas (restauraciones, simulacros, revisiones).
• Métricas (MTTD/MTTR, cobertura de activos, cumplimiento de parches).

Plan 30–60–90 días para ejecutar la checklist NIS2 sin frenar operaciones

Primeros 30 días

• Alcance + gobierno + inventario mínimo.
• MFA en sistemas críticos.
• Backup con prueba de restauración documentada.
• Procedimiento de incidentes + registro + roles.

Días 31–60

• Análisis de riesgos + plan priorizado.
• Gestión de vulnerabilidades/parches con cadencia.
• Requisitos mínimos para proveedores.
• Formación práctica con métricas.

Días 61–90

• Continuidad formal: RTO/RPO por servicio.
• Simulacros y mejora continua.
• Métricas y evidencias listas para auditoría.

Preguntas frecuentes sobre checklist NIS2

¿Cómo sé si NIS2 me aplica si soy proveedor B2B?

Además de sector y tamaño, muchos proveedores entran por criticidad en la cadena. Si un cliente te exige requisitos NIS2 para renovar o firmar, ya tienes exposición contractual.

¿Cuánto tarda en estar lista una checklist NIS2 “defendible”?

Con foco, un plan 30–60–90 días te deja en un nivel defendible (gobierno, controles base y evidencia). La madurez completa es continua.

¿Necesito herramientas nuevas para cumplir?

Muchas empresas avanzan con lo que ya pagan (suite cloud, EDR, backups). Lo crítico es proceso, disciplina y evidencia. Donde haya huecos, ahí sí se decide tecnología.

¿Qué riesgos hay si no hago nada?

Riesgo operacional (paradas), contractual (clientes), reputacional y sancionador. En B2B, el impacto más inmediato suele ser perder renovaciones o licitaciones por falta de garantías.

Conclusión: la checklist NIS2 sirve para responder con evidencia

Si mañana ocurre un incidente, tu empresa debe demostrar control: qué servicios afectó, qué medidas existían, qué hiciste y cómo comunicaste. Ese es el objetivo de una checklist NIS2 bien aplicada.

Si quieres acelerar esto sin inflar costes ni frenar operaciones, podemos ayudarte a aterrizar un programa de adecuación que priorice riesgo, evidencias y continuidad.

• Resultado: plan de adecuación y evidencias listas para auditoría (prioridades 1–3).
• Tiempo: primera propuesta en 5–10 días laborables (según alcance).
• Riesgo reducido: procedimiento de incidentes y continuidad para no improvisar.

Solicitar propuesta de adecuación NIS2  |  Ver servicios

Fuentes para ampliar (enlaces externos)

• Directiva (UE) 2022/2555 (texto oficial en EUR-Lex)
• Información oficial de la Comisión Europea sobre NIS2 en España
• Guía NIS2 (INCIBE-CERT)