Seamos directos
El plazo de transposición de la Directiva NIS 2 era octubre de 2024. La mayoría de los Estados miembros de la UE ya la han incorporado a su ordenamiento jurídico nacional o están en la fase final de hacerlo. Los mecanismos de aplicación están en marcha. Los organismos reguladores están ampliando sus equipos. Los marcos de supervisión están entrando en vigor.
Y sin embargo, cuando hablo con CISOs, responsables de cumplimiento y gestores de TI en toda Europa, la conversación suena casi siempre igual:
“We know NIS 2 applies to us. We’ve read the directive. But we haven’t actually started implementing.”
Si ese es su caso, este artículo es su llamada de atención. Y su solución.
La brecha de la que nadie habla
El problema con NIS 2 es este: es una directiva, no un manual.
Le dice QUÉ debe lograr. NO le dice CÓMO llegar hasta ahí. Y el «cómo» es donde la mayoría de las organizaciones están completamente bloqueadas.
Tiene más de 50 páginas de texto legal. Entiende el alcance, los sectores, las obligaciones de notificación. Pero cuando llega el lunes por la mañana y necesita construir un marco de gobernanza, realizar una evaluación de riesgos que satisfaga el artículo 21, establecer una respuesta a incidentes con plazos de alerta temprana de 24 horas y notificación de 72 horas, y documentar sus medidas de seguridad en la cadena de suministro...
¿Por dónde empieza?
Esa brecha, entre entender la directiva e implementarla, es exactamente donde los profesionales se quedan atascados durante meses. Y los meses son tiempo que no tiene.
En qué se diferencia NIS 2 de todo lo que ha hecho hasta ahora
Si ha trabajado con ISO 27001, GDPR u otros marcos de seguridad, puede pensar que NIS 2 es simplemente otra casilla de cumplimiento. No lo es. He aquí por qué:
- Responsabilidad personal de la dirección. NIS 2 hace personalmente responsable a la alta dirección. No a la organización. A usted. Si es el CISO o el responsable de cumplimiento, el dedo le apuntará a usted cuando las cosas salgan mal.
- Notificación de incidentes obligatoria con plazos inamovibles. 24 horas para la alerta temprana. 72 horas para la notificación completa. Sin flexibilidad, sin «les responderemos la semana que viene».
- La seguridad de la cadena de suministro no es opcional. No basta con decir «confiamos en nuestros proveedores». Necesita evaluaciones documentadas, obligaciones contractuales y seguimiento continuo.
- Multas que duelen. Hasta 10 millones de euros o el 2% de la facturación anual global para las entidades esenciales. Y su organización puede ser nombrada públicamente.
- Obligaciones transfronterizas. Si opera en varios Estados miembros de la UE, se enfrenta a múltiples transposiciones nacionales de una misma directiva. Complejidad multiplicada.
ISO 27001 es una base excelente. Pero no cubre los plazos de notificación obligatoria de NIS 2, sus requisitos sectoriales específicos ni sus disposiciones sobre responsabilidad de la dirección. Necesita el manual propio de NIS 2.
Las 5 preguntas que le hará su regulador
Cuando su autoridad nacional llame a su puerta, y lo hará, esto es lo que querrá ver:
- Gobernanza: ¿Dispone de un marco de gobernanza de ciberseguridad con roles, responsabilidades y supervisión directiva claramente definidos? ¿Puede demostrar que la alta dirección está activamente implicada?
- Gestión de riesgos: ¿Ha realizado una evaluación de riesgos formal? ¿Está documentada? ¿Está vinculada a controles específicos? ¿Puede mostrar cómo ha priorizado?
- Respuesta a incidentes: ¿Dispone de un plan de respuesta a incidentes probado? ¿Cumple las obligaciones de notificación de 24h/72h? ¿Lo ha ejercitado realmente?
- Cadena de suministro: ¿Cómo evalúa y gestiona los riesgos de ciberseguridad en su cadena de suministro? ¿Qué contratos, controles y mecanismos de seguimiento tiene implantados?
- Mejora continua: ¿Cómo mide su postura de ciberseguridad? ¿Qué métricas reporta? ¿Cómo prueba y mejora con el tiempo?
Si no puede responder a las cinco preguntas con evidencias, documentación y seguridad, tiene una brecha de cumplimiento. Y esa brecha tiene un coste.
Del 4 al 8 de mayo: cierre la brecha en 5 días
Aquí es donde entra nuestro curso NIS 2 Directive Lead Implementer.
Del 4 al 8 de mayo, impartimos una edición en directo online, en inglés, que le guía a través del proceso completo de implementación de NIS 2. No la teoría. No el texto normativo. La metodología real.
Así es la semana:
DíaContenidoLun, 4 de mayoFundamentos de NIS 2, requisitos, definición del alcance en su organización, inicio del proyecto de implementaciónMar, 5 de mayoEstructura de gobernanza, roles y responsabilidades, gestión de activos, metodología de gestión de riesgosMié, 6 de mayoControles de ciberseguridad, seguridad de la cadena de suministro, gestión de incidentes, marcos de gestión de crisisJue, 7 de mayoContinuidad de negocio, programas de concienciación y formación, pruebas, métricas y monitorización, mejora continua
En pocas semanas, es un NIS 2 Directive Lead Implementer certificado.
Con qué sale realmente de aquí
Seré concreto, porque «aprenderá mucho» no es una propuesta de valor:
- Una hoja de ruta de implementación completa que puede presentar a su consejo el lunes por la mañana. No «apuntes de una formación», sino un plan estructurado con fases, hitos y entregables.
- Marcos de respuesta a incidentes que cumplen los plazos de notificación obligatoria de 24h/72h de NIS 2. Documentados, probados y defendibles.
- Una metodología de evaluación de riesgos construida sobre escenarios del mundo real, no ejemplos de manual. Sabrá cómo evaluar, priorizar y documentar riesgos de forma que satisfaga a los auditores.
- Enfoques de seguridad en la cadena de suministro que van más allá de «nuestros proveedores firmaron un NDA». Marcos de evaluación reales, requisitos contractuales y seguimiento continuo.
- La credencial PECB Certified NIS 2 Directive Lead Implementer reconocida en toda Europa y respaldada por nuestra garantía Certified or Refunded.
- La que se obtiene cuando sabe exactamente lo que hace, sin adivinar.
Por qué este curso es diferente
Hay otros cursos de NIS 2 disponibles. La mayoría los imparten formadores que leen diapositivas sobre la directiva. Eso no es lo que ocurre aquí.
Soy un CISO en activo. Dirijo implementaciones de NIS 2 para organizaciones en toda Europa. Cuando enseño respuesta a incidentes, es porque he construido programas de respuesta a incidentes. Cuando enseño gestión de riesgos, es porque me he sentado frente a auditores y he defendido evaluaciones de riesgos. Los ejemplos de este curso son reales. La metodología está probada. Las anécdotas de guerra son mías.
Esto no es un ejercicio teórico. Es una transferencia intensiva y comprimida de conocimiento práctico de implementación por parte de alguien que hace este trabajo cada día.
¿Y si no supera el examen? Le devolvemos el dinero. Esa es nuestra garantía Certified or Refunded. Sin letra pequeña. Sin condiciones más allá de completar el curso y presentarse al examen.
¿Es para usted?
Este curso está diseñado para profesionales que han terminado de leer sobre NIS 2 y están listos para implementarla:
- CISOs y responsables de seguridad que lideran (o están a punto de liderar) proyectos de cumplimiento de NIS 2
- Responsables de GRC y cumplimiento encargados de traducir la directiva en realidad operativa
- Gestores de TI en sectores de infraestructura crítica: energía, transporte, sanidad, servicios digitales y el resto de los 18 sectores ahora en alcance
- Consultores que asesoran a clientes sobre NIS 2 y necesitan la credencial que lo respalde
- Risk managers que integran los requisitos de NIS 2 en marcos de riesgo empresarial
¿No encaja? Si busca una introducción de alto nivel sobre qué es NIS 2 y a quién aplica, nuestro curso NIS 2 Foundation es el mejor punto de partida. El itinerario Lead Implementer asume que ya ha superado el «qué» y está listo para el «cómo».
Reserve su plaza
NIS 2 Directive Lead Implementer
4–8 de mayo de 2025 | En directo online | En inglés
Examen de certificación PECB incluido | 31 créditos CPD
Garantía Certified or Refunded
Las plazas son limitadas. Mantenemos grupos reducidos para garantizar interacción real, preguntas reales y respuestas reales.
