Empieza gratis
Mapa de socios

NIS-2 en España: Guía práctica para directores de Pymes (aunque el anteproyecto no esté aprobado)

diciembre 19, 2025

Para directores y empresarios de pymes españolas que necesitan cumplir NIS-2 por exigencia de sus clientes

La realidad en España: NIS-2 sin transponer, pero obligatoria

Si eres director de una pyme española o centro sanitario, probablemente estés recibiendo emails de tus clientes más importantes preguntando por tu cumplimiento NIS-2. Y la situación es confusa: España aún no ha transpuesto la Directiva.

¿Qué está pasando?

La cronología:

  • Diciembre 2022: UE publica Directiva NIS-2
  • Octubre 2024: Fecha límite para transponer (España no cumplió)
  • Enero 2025: Consejo de Ministros aprueba Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad
  • Junio 2025: Bruselas inicia procedimiento de infracción contra España
  • Diciembre 2025 (ahora): El Anteproyecto aún no está publicado en el BOE

La realidad para tu empresa:

  • ✅ La Directiva NIS-2 es obligatoria desde enero 2023 a nivel europeo
  • ✅ Tus clientes grandes (hospitales, bancos, utilities) ya la están aplicando
  • ✅ Te exigen cumplimiento aunque la ley española no exista formalmente
  • ✅ NO puedes esperar a que se publique en el BOE

Por qué te afecta (aunque tu empresa no esté obligada directamente)

El problema de la cadena de suministro:

No importa si tu pyme de 30 empleados está fuera del ámbito de NIS-2. Si trabajas con clientes que SÍ están obligados, ellos te exigirán demostrar que:

  • Sus datos están seguros contigo
  • Tienes medidas de ciberseguridad adecuadas
  • Puedes notificar incidentes
  • Tu personal está formado

Sectores que más lo están exigiendo en España:

  • 🏥 Sanidad: Hospitales públicos (Servicio de Salud), privados (Quirónsalud, HM Hospitales, Sanitas)
  • ⚡ Energía: Iberdrola, Endesa, Naturgy, Red Eléctrica
  • 🏦 Banca: Santander, BBVA, CaixaBank (también por DORA)
  • 📞 Telecom: Telefónica, Orange, Vodafone
  • 🏛️ Administración: Ayuntamientos, diputaciones, consejerías autonómicas
  • 🍖 Industria alimentaria: Grandes grupos (Campofrío, Calidad Pascual)
  • 🚚 Logística: Correos, MRW, SEUR

El problema: compliance sin contexto

Como director, te están haciendo preguntas imposibles:

Tus clientes preguntan:

  • «¿Cumplís con NIS-2?»
  • «¿Tenéis el Esquema Nacional de Seguridad implementado?»
  • «¿Notificáis incidentes a INCIBE-CERT?»
  • «¿Vuestra formación en ciberseguridad está certificada?»
  • «¿Quién es vuestro responsable de seguridad de la información?»

Tu proveedor IT responde:

  • «Sí, lo tenemos todo controlado»
  • «Las copias de seguridad funcionan»
  • «Tenemos antivirus en todos los equipos»

El resultado:

  • ❌ No tienes visibilidad real
  • ❌ No tienes datos objetivos
  • ❌ No puedes demostrarlo ante una auditoría
  • ❌ Tu contrato está en riesgo

Qué necesitas como director de pyme española

No tienes que convertirte en experto en ciberseguridad. Pero sí necesitas:

1. Visibilidad de tu estado de seguridad

«¿Dónde estamos ahora? ¿Cumplimos con ENS básico o no?»

2. Datos objetivos, no promesas

No: «Tenemos las copias controladas»
Sino: «El 94% de nuestros equipos tiene encriptación de disco activa según auditoría automática»

3. Informes que tus clientes entiendan

  • Para tu cliente: Panel de cumplimiento con estado actualizado
  • Para tu junta directiva: «Estamos al 87%, la media del sector es 72%»
  • Para tu proveedor IT: «Faltan 2 portátiles sin encriptación»
  • Para INCIBE: Notificación de incidentes en formato correcto

4. Mapeo con estándares españoles

Tu plataforma debe hablar el idioma de las autoridades españolas:

  • ✅ Esquema Nacional de Seguridad (ENS) – CCN-STIC
  • ✅ Perfil de Cumplimiento NIS-2 (CCN-STIC 892)
  • ✅ Notificación a INCIBE-CERT
  • ✅ ISO 27001 (reconocida internacionalmente)

5. Sin líos con plazos de implementación

No tienes tiempo para proyectos de 6 meses. Tu cliente te dio 30 días para demostrar compliance.

El enfoque tradicional en España: caro y lento

Escenario típico: contratas una consultora de ciberseguridad

Fase 1: Análisis (4-6 semanas)

  • Reuniones de diagnóstico
  • Recopilación de documentación
  • Entrevistas con personal
  • Coste: 5.000€ – 8.000€

Fase 2: Gap analysis ENS (2-3 semanas)

  • Auditoría de 73 controles ENS
  • Identificación de brechas
  • Informe de no conformidades
  • Coste: 4.000€ – 7.000€

Fase 3: Plan de implementación (4-6 semanas)

  • Diseño de políticas
  • Definición de controles
  • Planificación de formación
  • Coste: 6.000€ – 10.000€

Fase 4: Implementación (3-6 meses)

  • Despliegue de medidas técnicas
  • Formación presencial (150€/persona)
  • Documentación ENS
  • Coste: 8.000€ – 15.000€

Fase 5: Auditoría y certificación (2-3 semanas)

  • Auditor externo ENS
  • Revisión de evidencias
  • Emisión de certificado
  • Coste: 5.000€ – 8.000€

TOTAL: 28.000€ – 48.000€ en 6-12 meses

El problema adicional

Después de todo esto:

  • 📄 Tienes un informe de 80 páginas
  • 🎓 Un certificado ENS en la pared
  • ⏰ Pero en 6 meses la información ya está obsoleta
  • 💰 Y cada actualización cuesta más dinero por horas de consultoría

Y tu pregunta más importante sigue sin respuesta:
«¿Estamos seguros AHORA, en este momento?»

El enfoque Lupasafe: visibilidad en días, no meses

Qué obtienes el primer día (concreto)

Como director, inicias sesión y ves:

📊 PANEL DE CUMPLIMIENTO PARA TU EMPRESA

NIS-2 + ENS BÁSICO
Estado general: 87%

🟢 CUMPLE (8 controles)
🟡 EN PROGRESO (9 controles)
🔴 REQUIERE ATENCIÓN (1 control)

─────────────────────────────────────────

DESGLOSE POR ÁREA:

📋 Organizativo: 85%
✅ Política de seguridad aprobada (15-mar-2024)
✅ Roles y responsabilidades asignados

👥 Personal: 78%
✅ Dirección: 5/5 formados (100%)
🟡 Operaciones: 28/35 formados (80%)
🟡 Administración: 6/10 formados (60%)
📊 Puntuación media formación: 8.1/10
🎯 Última simulación phishing: 12% click (sector: 18%)

💻 Técnico: 94%
✅ Encriptación de disco: 46/48 equipos
✅ Firewall y antivirus: 100%
✅ Copias de seguridad: Última hace 4h
✅ Actualizaciones: 96% al día
🔴 2 portátiles sin encriptación

Impacto en compliance: +9% → 96%

Mapeo automático con estándares españoles

Lo que Lupasafe hace automáticamente:

Control NIS-2 → ENS (CCN-STIC 892) → ISO 27001
├─ 2.2 Formación personal → ENS mp.per.1 + ISO 7.2.2
├─ 3.1 Gestión riesgos → ENS op.pl.1 + ISO 6.1.2
├─ 4.3 Gestión incidentes → ENS op.exp.8 + ISO 16.1.1
└─ 5.1 Copias seguridad → ENS op.exp.9 + ISO 12.3.1

Qué significa esto para ti como director

1. Estás en control ante tus clientes

Antes:

  • Cliente: «¿Cumplís NIS-2?»
  • Tú: «Creo que sí, voy a preguntarle a IT…»
  • IT: «Sí, tenemos todo controlado»
  • Cliente: «¿Me podéis enviar evidencias?»
  • Tú: «…»

Con Lupasafe:

  • Cliente: «¿Cumplís NIS-2?»
  • Tú: «Sí, aquí está nuestro panel de cumplimiento en tiempo real: [enlace]»
  • Cliente revisa: «87%, bien. ¿Y la formación del personal?»
  • Tú: «78% completado, aquí ves el detalle por departamento»
  • Cliente: «Perfecto, esto es justo lo que pedía el auditor de Iberdrola»

2. Obtienes valor real por tu inversión

Visibilidad instantánea:

  • Qué 11 empleados necesitan completar formación
  • Qué 2 portátiles no tienen encriptación
  • Cuándo fue la última copia de seguridad
  • Quién hizo click en el último phishing test

Resultados medibles:

  • Compliance pasa de 78% a 94% en 2 meses
  • Click rate en phishing baja de 18% a 12%
  • Tiempo de respuesta a auditoría: de 2 semanas a 5 minutos

Acciones claras:

  • «Estas 3 acciones te suben al 95%»
  • «Este control es crítico, los otros pueden esperar»
  • «Completar formación añade +8% compliance»

3. Puedes dirigir con datos

Escenario real:

Ves en el panel: «Formación compliance: 78%»

Tu decisión:

  1. Envías a RRHH: «Estos 11 empleados necesitan completar formación»
  2. RRHH manda email automático con enlace personal
  3. Semana siguiente revisas: «Formación compliance: 96%»
  4. Cliente pide actualización: compartes panel actualizado
  5. Cliente satisfecho: «Veo que lo habéis solucionado»

4. Puedes informar a todos los stakeholders

A tu cliente (hospital, banco, utility):

  • «Aquí está nuestro dashboard NIS-2 + ENS» [1 enlace]
  • Acceso de solo lectura a tu estado de compliance
  • Actualizaciones en tiempo real

A tu junta directiva:

  • «Estamos al 87% de compliance»
  • «La media del sector es 72%»
  • «Riesgo residual: bajo»
  • «Inversión: 4.200€/año vs 30.000€ consultoría tradicional»

A tu proveedor IT:

  • «Estos 2 portátiles necesitan encriptación»
  • «El firewall de la oficina de Barcelona no reporta»
  • «3 usuarios tienen privilegios excesivos»

A INCIBE-CERT (en caso de incidente):

  • Notificación automática con datos requeridos
  • Línea de tiempo del incidente
  • Sistemas afectados
  • Medidas de contención

Ejemplo práctico: Director de clínica dental en Valencia

Situación inicial

Contexto:

  • Javier dirige una clínica dental con 18 empleados
  • 3 dentistas, 8 auxiliares, 4 administrativos, 3 higienistas
  • Su cliente principal: Sanitas (aseguradora)
  • Sanitas envía email: «Necesitamos certificación NIS-2 antes de renovar contrato»
  • Contrato vale: 180.000€/año (40% de su facturación)

Sin Lupasafe

Semana 1:

  • Javier llama a su proveedor IT (empresa local)
  • IT: «Eso del NIS-2 es muy técnico, tenemos que contratar un consultor»
  • Consultor pide: 12.000€ para auditoría + implementación

Semana 2-4:

  • Reuniones, recopilar documentación
  • Empleados pierden tiempo en entrevistas
  • Consultor encuentra 27 «no conformidades»

Semana 5-8:

  • Plan de acción: 18.000€ adicionales
  • Javier no tiene ese presupuesto
  • Sanitas amenaza con no renovar
  • Javier considera perder el contrato

Resultado: Pánico, estrés, riesgo de perder cliente principal

Con Lupasafe

Día 1:

  • Javier contrata Lupasafe (329€/mes, 18 usuarios)
  • Su IT conecta Microsoft 365 (30 minutos)
  • Panel activo esa misma tarde

Día 2:

  • Javier ve estado: 68% compliance
  • Identifica problemas principales:
    • Solo 6/18 empleados tienen formación
    • 2 ordenadores sin encriptación
    • No hay política de seguridad firmada

Semana 1:

  • Política generada desde plantilla, firmada por Javier
  • IT encripta los 2 ordenadores (2 horas)
  • Empleados reciben email con formación online
  • Compliance sube a 74%

Semana 2:

  • 14/18 empleados completan formación
  • Primera simulación phishing: 22% click rate
  • Compliance: 89%

Semana 3:

  • Javier comparte panel con Sanitas
  • Sanitas: «Excelente, nunca habíamos visto tanta transparencia»
  • Auditor de Sanitas: «Esto es exactamente lo que necesitamos»

Semana 4:

  • Contrato renovado
  • Sanitas recomienda a Javier con otras aseguradoras
  • Nueva oportunidad: Adeslas (otros 120.000€/año)

Mes 3:

  • Compliance estable en 94%
  • Click rate phishing: 11%
  • Empleados más conscientes de ciberseguridad

Resultado:

  • ✅ Contrato salvado (180.000€)
  • ✅ Nuevo cliente conseguido (120.000€)
  • ✅ Inversión: 3.948€/año
  • ✅ ROI: 76x en el primer año

Sin líos con plazos de implementación

El proceso Lupasafe (España)

Día 1: Setup inicial (1 hora)

  • Tu IT o proveedor crea cuenta
  • Conexión con Microsoft 365 / Entra ID
  • Activación de módulos
  • Tu tiempo: 15 minutos (aprobar y firmar)

Día 2: Primera recopilación de datos (automático)

  • Escaneo de endpoints (ordenadores, portátiles, móviles)
  • Análisis de configuración Microsoft 365
  • Detección de usuarios y permisos
  • Primera evaluación ENS
  • Tu tiempo: 0 minutos (todo automático)

Día 3-5: Dashboard operativo

  • Primer informe de compliance
  • Formación desplegada a empleados (español + 30 idiomas)
  • Primera simulación phishing planificada
  • Tu tiempo: 30 minutos (revisar dashboard)

Semana 2: Primeros resultados

  • Empleados completando formación
  • Métricas de seguridad actualizándose
  • Identificación de brechas prioritarias
  • Tu tiempo: 15 minutos/semana (revisar progreso)

Mes 1: Compliance operacional

  • Dashboard consolidado
  • Tendencias visibles
  • Primer informe para cliente/auditor
  • Tu tiempo: 1 hora/mes (gestión)

Comparación con enfoque tradicional

ConceptoTradicionalLupasafe
Tiempo hasta primer informe4-6 semanas3-5 días
Reuniones necesarias8-12 reuniones1 reunión setup
Documentación manual40-60 horas2-4 horas
Coste implementación15.000€ – 30.000€0€ (incluido)
Tiempo dirección20-30 horas3-5 horas
Actualización datosManual (cada 6-12 meses)Automática (tiempo real)

Valor por tu inversión: el ROI real

Comparativa España: Consultora vs Lupasafe

ENFOQUE TRADICIONAL (consultora española)

AÑO 1:
- Auditoría NIS-2 inicial:        8.000€
- Gap analysis ENS:                6.000€
- Implementación controles:       12.000€
- Formación presencial:            2.700€ (18 × 150€)
- Certificación ENS:               5.000€
- Consultoría gestión proyecto:    4.000€
  ──────────────────────────────
  TOTAL AÑO 1:                    37.700€

AÑO 2 (mantenimiento):
- Auditoría anual:                 6.000€
- Actualización formación:         2.700€
- Consultoría puntual:             3.000€
- Re-certificación:                4.000€
  ──────────────────────────────
  TOTAL AÑO 2:                    15.700€

AÑO 3 (mantenimiento):
- Similar a año 2:                15.700€
  ──────────────────────────────

TOTAL 3 AÑOS:                     69.100€

CON LUPASAFE

AÑO 1:
- Plataforma (18 usuarios):        3.948€
- Setup IT (tu proveedor):           400€
- Tiempo interno gestión:            300€
  ──────────────────────────────
  TOTAL AÑO 1:                     4.648€

AÑO 2:
- Plataforma:                      3.948€
- Tiempo interno:                    300€
  ──────────────────────────────
  TOTAL AÑO 2:                     4.248€

AÑO 3:
- Plataforma:                      3.948€
- Tiempo interno:                    300€
  ──────────────────────────────
  TOTAL AÑO 3:                     4.248€

TOTAL 3 AÑOS:                     13.144€

AHORRO VS TRADICIONAL:            55.956€

Pero el valor real va mucho más allá del dinero

1. Contratos que mantienes

2. Nuevos contratos que consigues

3. Tiempo directivo que recuperas

4. Reducción de riesgo real

Próximo paso

¿Visibilidad directa de tu situación? Empieza con nuestro Análisis Rápido NIS-2 gratuito (10 minutos) y descubre dónde está tu empresa.

¿Preguntas? ¿Asesoramiento personal? Programa una reunión de 30 minutos con uno de nuestros asesores. Sin compromiso, con respuestas concretas a tu situación específica. 

¿Demo de la plataforma?Mira el panel de control como lo verías para tu empresa.

Sobre el autor: Este artículo está escrito para directores y empresarios de pymes y sanidad que necesitan cumplir con NIS-2 por responsabilidad de cadena de suministro. Para detalles técnicos de implementación, consulta nuestro artículo para responsables IT. Este artículo ofrece información general sobre NIS-2 en España y no constituye asesoramiento legal. Para obligaciones específicas de tu empresa, consulta con un abogado especializado. Las referencias al Anteproyecto de Ley pueden cambiar durante su tramitación parlamentaria. Verifica siempre la legislación vigente publicada en el BOE.

Empresa