Contenido de esta autoevaluación NIS2 en 10 puntos:

  1. Descarga gratuita del checklist
  2. Qué es la Directiva NIS2 (y su aplicación en España)
  3. Los 10 puntos de la autoevaluación
  4. Qué obtienes al completarla e interpretación de la puntuación
  5. Para quién está pensada, beneficios y apoyo PrivaLex
  6. Preguntas frecuentes (FAQs)

Descarga la Autoevaluación NIS2

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555 sobre seguridad de las redes y los sistemas de información) es la principal norma de la Unión Europea en materia de ciberseguridad. Sustituye a la anterior Directiva NIS y amplía de forma significativa tanto el número de organizaciones afectadas como las obligaciones que deben cumplir. Entró en vigor en enero de 2023, fijó como fecha límite de transposición el 17 de octubre de 2024 y derogó la Directiva NIS anterior con efectos desde el 18 de octubre de 2024.

NIS2 exige a las entidades afectadas implantar medidas de ciberseguridad basadas en el riesgo, reforzar la gobernanza y la responsabilidad a nivel de dirección, desarrollar capacidades de detección y notificación de incidentes y gestionar el riesgo de ciberseguridad en toda la cadena de suministro. Se aplica a una amplia variedad de sectores, entre ellos energía, transporte, banca, salud, infraestructuras digitales, servicios TIC gestionados y proveedores cloud, y alcanza tanto a grandes organizaciones como a muchas empresas medianas que operan en estos ámbitos.

NIS2 en España: transposición y supervisión

En España, la transposición de NIS2 se articula con el marco nacional de ciberseguridad y la actuación de autoridades como el CCN-CERT en sectores y entidades que quedan bajo su ámbito. El grado de desarrollo normativo y de enforcement puede diferir de otros Estados miembros, pero las obligaciones de la Directiva siguen siendo el referente. Si necesitas contexto previo, revisa qué es NIS2 y quién debe cumplirla.

¿Qué es la autoevaluación NIS2 en 10 puntos?

Esta autoevaluación NIS2 ofrece una forma rápida y estructurada de evaluar el nivel de preparación de una organización en las diez áreas que NIS2 exige acreditar de forma más directa. Cada pregunta está conectada con una obligación real de la Directiva, desde gobernanza y gestión de riesgos hasta plazos de notificación de incidentes, controles sobre la cadena de suministro y mejora continua. Al completarlo, la organización obtiene una visión clara de su nivel actual de madurez, una puntuación orientativa sobre su exposición al riesgo y una imagen priorizada de los ámbitos en los que conviene actuar primero.

Los 10 puntos de la autoevaluación

Cada pregunta del checklist se conecta con obligaciones reales del artículo 21 de la Directiva NIS2. Estas son las diez áreas que evalúas al descargarlo:

  1. Alcance y clasificación: ¿Tu organización está in-scope? ¿Entidad esencial o importante según sector y tamaño?
  2. Gobernanza y dirección: ¿El órgano de dirección aprueba medidas, recibe formación y supervisa el riesgo de ciberseguridad?
  3. Gestión de riesgos: ¿Existe análisis de riesgos documentado y medidas proporcionadas al perfil de amenaza?
  4. Gestión de incidentes: ¿Tienes procedimiento operativo y capacidad de notificación temprana (24 h) e informe (72 h) cuando aplique?
  5. Continuidad y crisis: ¿Existen planes de continuidad, recuperación y gestión de crisis probados o revisados?
  6. Cadena de suministro: ¿Evalúas y gestionas el riesgo de ciberseguridad de proveedores y subcontratistas críticos?
  7. Adquisición y desarrollo seguro: ¿Integras seguridad en el ciclo de vida de sistemas, cambios y despliegues?
  8. Políticas y procedimientos: ¿Hay políticas de ciberseguridad aprobadas, difundidas y revisadas periódicamente?
  9. Formación y concienciación: ¿El personal recibe formación alineada con su rol? (Conecta con formación de empleados para NIS2).
  10. Controles técnicos y criptografía: ¿Aplicas higiene básica, gestión de accesos, cifrado y autenticación donde corresponde?

Qué obtienes al completarla

Al rellenar la autoevaluación obtienes, de forma similar a un gap analysis inicial:

  • Puntuación orientativa sobre tu nivel de preparación frente a NIS2.
  • Desglose por área: fortalezas y brechas en gobernanza, riesgos, incidentes, cadena de suministro y resto de puntos.
  • Prioridades de actuación: qué conviene abordar primero según impacto y exposición.
  • Resumen descargable para compartir con dirección, compliance o tu CISO como base de hoja de ruta.

Cómo interpretar tu puntuación

La puntuación es orientativa, no sustituye una auditoría ni una determinación formal de alcance. Como referencia práctica:

  • Baja (muchas respuestas negativas o «no sé»): prioriza alcance, gobernanza y gestión de incidentes antes de invertir en herramientas.
  • Media: tienes bases, pero faltan evidencias, cadena de suministro o continuidad; conviene un gap assessment estructurado.
  • Alta: refuerza documentación, simulacros y revisión periódica; el reto suele ser mantener el cumplimiento NIS2 cuando cambia el negocio o los proveedores.

¿Para quién está pensada esta autoevaluación?

Este checklist está diseñado para responsables de compliance y equipos legales que necesiten realizar una primera revisión de gap frente a NIS2, responsables de seguridad y CTOs que estén preparando una posible revisión por parte de la autoridad competente, miembros del consejo y alta dirección que necesiten una visión rápida de la exposición de la organización, y asesores externos que quieran realizar evaluaciones iniciales de readiness para sus clientes. También resulta útil para organizaciones que todavía no tienen claro si están dentro del ámbito de aplicación y necesitan una forma estructurada de analizarlo.

Beneficios de cumplir con NIS2

Abordar NIS2 como una oportunidad, y no solo como una carga regulatoria, tiene un impacto práctico claro. Las organizaciones que pueden demostrar un nivel sólido de cumplimiento refuerzan su posición en procesos de venta enterprise y en licitaciones públicas, donde cada vez más compradores y departamentos de procurement exigen evidencias de madurez en ciberseguridad como condición previa para contratar. Esta es una inferencia práctica de mercado, pero está alineada con el hecho de que NIS2 eleva el estándar exigible en sectores críticos y relevantes. 

El cumplimiento también ayuda a reducir la exposición a sanciones. La Directiva establece que, para las entidades esenciales, las multas pueden alcanzar al menos 10 millones de euros o el 2 % del volumen de negocio anual global, y para las entidades importantes al menos 7 millones de euros o el 1,4 % del volumen de negocio anual global, en ambos casos la cantidad que resulte mayor. Además del riesgo económico, también reduce la probabilidad de interrupciones operativas y de daños reputacionales derivados de incidentes graves. 

Más allá de la reducción de riesgos, un programa NIS2 bien implantado mejora la resiliencia interna y aporta al consejo una mayor visibilidad para tomar decisiones informadas sobre riesgo de ciberseguridad, algo expresamente conectado con el énfasis que la Directiva pone en gestión, supervisión y responsabilidad de los órganos de dirección. 

Cómo puede ayudarte PrivaLex

En PrivaLex Partners acompañamos a las organizaciones a lo largo de todo el proceso de adaptación a NIS2, desde la determinación inicial del alcance y el gap assessment hasta la implantación de controles, la redacción de políticas, la revisión de la cadena de suministro y la preparación para auditorías o revisiones supervisoras.

Nuestro enfoque se adapta al sector, al tamaño y al nivel real de madurez de cada organización. Nos centramos en implantar controles proporcionados al perfil de riesgo, no en generar documentación innecesaria. Para aquellas organizaciones que necesitan apoyo continuado, ofrecemos servicios de asesoramiento recurrente para mantener el cumplimiento NIS2 actualizado a medida que evolucionan la actividad, la exposición tecnológica y el entorno regulatorio.


Preguntas frecuentes (FAQs)

Sí. La Directiva NIS2 entró en vigor en enero de 2023 y fijó el 17 de octubre de 2024 como fecha límite para su transposición por los Estados miembros. Desde el 18 de octubre de 2024, la Directiva NIS anterior quedó derogada. Ahora bien, la transposición nacional no ha sido uniforme en toda la UE, por lo que el grado de desarrollo legislativo interno y de enforcement puede variar según el país.

NIS2 cubre entidades que operan en los sectores recogidos en los anexos I y II de la Directiva, entre ellos energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, infraestructuras digitales, servicios gestionados y otros sectores relevantes. La clasificación como entidad esencial o importante depende, principalmente, del sector y del tamaño de la organización. Si existe duda, el primer punto de este checklist sirve como punto de partida, y PrivaLex puede realizar una determinación formal de alcance como parte de una evaluación inicial.

Las entidades esenciales suelen ser organizaciones de mayor tamaño o pertenecientes a sectores especialmente críticos, como energía, transporte, banca, salud o infraestructuras digitales. Las entidades importantes abarcan un conjunto más amplio de sectores y, con frecuencia, incluyen empresas medianas que superan determinados umbrales. La diferencia es relevante porque el régimen de supervisión no es exactamente el mismo: las entidades esenciales están sujetas a una supervisión más proactiva, mientras que para las entidades importantes predomina un enfoque más reactivo. También cambian los topes sancionadores.

Las autoridades nacionales competentes pueden imponer distintas medidas de enforcement, incluyendo instrucciones vinculantes, órdenes de subsanación y sanciones económicas. Para las entidades esenciales, las multas pueden llegar al menos a 10 millones de euros o el 2 % del volumen de negocio anual global. Para las entidades importantes, el límite puede alcanzar al menos 7 millones de euros o el 1,4 % del volumen de negocio anual global. En situaciones graves, la Directiva también contempla medidas dirigidas a reforzar la responsabilidad de la dirección.

Depende del punto de partida. Las organizaciones que ya cuentan con ISO 27001 o con un sistema maduro de gestión de seguridad suelen cerrar parte del gap de forma más rápida. En cambio, aquellas que parten de un nivel bajo deberían plantear un programa estructurado de varios meses. La puntuación obtenida en esta autoevaluación ofrece una primera referencia útil para estimar el nivel de madurez actual y construir una hoja de ruta realista.

NIS2 exige notificación temprana a la autoridad competente en un plazo máximo de 24 horas desde el conocimiento del incidente significativo, seguida de un informe de incidente en 72 horas con más detalle, y un informe final cuando la situación quede resuelta. El punto 4 del checklist evalúa si tu organización tiene procedimiento y capacidad operativa para cumplir esos plazos.

En la práctica, las esenciales suelen recibir supervisión más proactiva y topes sancionadores más altos; las importantes también deben cumplir las medidas del artículo 21, pero con un enfoque supervisorio más reactivo. En ambos casos necesitas evidencias de cumplimiento: la autoevaluación te ayuda a ver si partes de cero o ya tienes bases (ISO 27001, ENS, etc.).