Ciberseguridad 2 min de lectura
NIS2 para PYMEs: plan de 90 días para empezar sin bloquear la operación
Una guía práctica para priorizar medidas NIS2 en una PYME: alcance, evidencias, responsables, riesgos y primeros controles técnicos.
En este artículo +
NIS2 no se resuelve comprando una herramienta. Para una PYME, el avance real empieza cuando se sabe qué activos son críticos, quién decide sobre ellos y qué evidencias se pueden enseñar si hay un incidente o una auditoría.
Esta guía no sustituye asesoramiento legal. Sirve para convertir una obligación amplia en un plan técnico inicial que un equipo pequeño pueda ejecutar sin paralizar la empresa.
Respuesta corta
Una PYME debería empezar NIS2 con tres entregables: inventario de activos, registro de riesgos y plan de medidas priorizado. Después debe cerrar controles básicos de identidad, copias de seguridad, actualizaciones, respuesta a incidentes y gestión de proveedores.
Priorización inicial
| Semana | Objetivo | Evidencia útil | Riesgo que reduce |
|---|---|---|---|
| 1-2 | Definir alcance y activos críticos | Inventario de sistemas, dominios, aplicaciones y responsables | No saber qué proteger |
| 3-4 | Evaluar riesgos principales | Matriz de riesgos con impacto, probabilidad y propietario | Priorizar por intuición |
| 5-6 | Revisar identidad y accesos | Usuarios privilegiados, MFA, bajas y altas | Compromiso de cuentas |
| 7-8 | Validar backups y recuperación | Prueba de restauración documentada | Parada operativa prolongada |
| 9-10 | Revisar proveedores críticos | Lista de terceros y datos tratados | Riesgo heredado de terceros |
| 11-12 | Simular incidente | Runbook, responsables y tiempos de respuesta | Improvisación durante crisis |
Flujo de trabajo recomendado
flowchart TD
A[Inventario de activos] --> B[Mapa de riesgos]
B --> C[Controles prioritarios]
C --> D[Plan de remediación]
D --> E[Prueba de evidencias]
E --> F[Revisión mensual]
F --> BControles que suelen dar retorno antes
| Control | Por qué importa | Implementación pragmática |
|---|---|---|
| MFA en cuentas críticas | Reduce accesos no autorizados por credenciales filtradas | Activarlo primero en correo, administradores, VPN y paneles cloud |
| Backups probados | Un backup sin restauración probada es una suposición | Ejecutar una restauración parcial cada trimestre |
| Gestión de parches | Baja la exposición a vulnerabilidades conocidas | Ventanas mensuales y excepciones justificadas |
| Registro de proveedores | NIS2 mira la cadena de suministro | Clasificar terceros por criticidad y datos tratados |
| Runbook de incidente | Evita decisiones lentas en crisis | Documento de una página con roles, contactos y pasos |
Cómo evitar el error habitual
El error habitual es empezar por documentos largos antes de saber qué sistemas sostienen la operación. La documentación importa, pero debe salir de la realidad técnica: activos, datos, permisos, logs, backups y contratos.
Un buen primer diagnóstico responde:
- Qué sistemas no pueden estar caídos más de un día.
- Qué cuentas podrían causar más daño si se comprometen.
- Qué proveedores tienen acceso a datos o infraestructura.
- Qué evidencias existen hoy y cuáles faltan.
- Qué medidas reducen más riesgo con menos interrupción.
Indicadores de avance
| Indicador | Bueno | Malo |
|---|---|---|
| Activos inventariados | Responsable y criticidad definidos | Lista técnica sin dueño |
| Riesgos | Priorizados por impacto operativo | Todos con la misma prioridad |
| Evidencias | Capturas, logs, pruebas y fechas | Declaraciones sin prueba |
| Incidentes | Roles y tiempos definidos | ”Llamar a informática” |
| Proveedores | Contratos y accesos revisados | Nadie sabe quien entra donde |
Fuentes de trabajo
- Google Search Central recomienda crear contenido útil, original y con experiencia demostrable. Este artículo evita prometer una “checklist mágica” y se centra en decisiones operativas verificables.
- Las buenas prácticas de seguridad deben adaptarse al sector, tamaño, sistemas y obligaciones concretas de cada empresa.
