NIS2 Assessment gratuito · Autoevaluación de cumplimiento en 15 minutos | OCIRIA
Quince minutos. Treinta y dos preguntas. Sabrá si NIS2 le aplica, qué le exige y por dónde empezar.
NIS2 Assessment
Sepa en quince minutos cómo le afecta NIS2 y por dónde empezar
[Glosario: NIS2] es la Directiva europea de ciberseguridad en vigor desde octubre de 2024. Cambia las reglas del juego para miles de empresas que antes no tenían obligaciones formales. Esta herramienta gratuita le sitúa de un vistazo: si entra en el ámbito, qué le exige concretamente y cuáles son sus brechas más urgentes.
[Botón: Empezar evaluación]
---
Qué es NIS2
La Directiva NIS2 (Network and Information Security 2) amplía considerablemente las obligaciones de ciberseguridad para empresas europeas. Su predecesora, NIS1, cubría operadores de servicios esenciales (energía, transporte, banca, salud). NIS2 amplía a sectores nuevos (correos, gestión de residuos, alimentación, manufactura), incorpora a entidades importantes además de esenciales, sube el listón técnico de los controles exigidos, y endurece las sanciones por incumplimiento.
La transposición nacional en España y otros estados miembros está en curso. Las inspecciones ya se preparan. Las sanciones administrativas pueden llegar a 10 millones de euros o el 2% de la facturación global para entidades esenciales (7 millones o 1,4% para importantes), además de responsabilidad personal de la dirección en caso de incumplimiento grave.
Esta herramienta no sustituye a un análisis de cumplimiento formal, pero le da la primera respuesta operativa: ¿me aplica? ¿qué tengo que mirar primero? ¿estoy lejos o cerca de cumplir?
---
Por qué importa
El calendario aprieta. La directiva está en vigor. La transposición nacional está en curso o ya hecha en varios estados miembros. Las autoridades de control están operativas. El plazo cómodo de "ya lo miraré" ya no existe.
Las sanciones son materiales. Hasta 10 millones de euros o el 2% del volumen de negocio global anual para entidades esenciales; hasta 7 millones o el 1,4% para entidades importantes. La sanción se acompaña frecuentemente de medidas correctoras públicas que erosionan la confianza de clientes.
La responsabilidad llega a la dirección. NIS2 introduce responsabilidad explícita del órgano de dirección. Aprobar las medidas, supervisar su implantación, recibir formación. Ya no se delega entero al departamento técnico.
Sus clientes van a preguntar. Si su cliente entra en NIS2 y usted le presta un servicio TIC relevante, le pasarán la pregunta a usted. Pueden exigir cláusulas contractuales nuevas, evidencias de controles, capacidad de notificar incidentes en plazo. Anticiparlo es ventaja competitiva.
---
Qué evalúa el assessment
El cuestionario tiene treinta y dos preguntas organizadas en cinco secciones:
Sección 1 · Alcance y ámbito (6 preguntas). Sector de actividad, tamaño (empleados, facturación), tipo de servicio que presta, presencia geográfica. Resultado: confirmación de si es entidad esencial, importante o fuera de ámbito según la directiva y su transposición nacional.
Sección 2 · Gobierno y gestión de riesgos (6 preguntas). Existencia de política de seguridad aprobada, asignación de responsabilidades, formación del órgano de dirección, sistema de gestión de riesgos documentado, procesos de revisión y mejora continua.
Sección 3 · Medidas técnicas (8 preguntas). Gestión de accesos e identidades, control de cuentas privilegiadas, registro y auditoría, gestión de vulnerabilidades, segmentación de red, cifrado de datos, continuidad y recuperación, gestión de la cadena de suministro TIC.
Sección 4 · Gestión de incidentes (6 preguntas). Existencia de plan de respuesta documentado, equipo identificado y formado, criterios de notificación a autoridad nacional en plazos NIS2 (alerta temprana 24h, notificación 72h, informe final 1 mes), comunicación a usuarios afectados, pruebas periódicas del plan.
Sección 5 · Cadena de suministro y proveedores (6 preguntas). Inventario de proveedores TIC críticos, cláusulas contractuales de seguridad, evaluación periódica de riesgo del proveedor, capacidad de respuesta coordinada ante incidente del proveedor.
Cada pregunta tiene opciones guiadas con explicación contextual; no necesita ser especialista para responder.
---
Tiempo estimado
Diez a quince minutos para alguien con visión de la organización (gerente, director financiero, responsable IT o de calidad). Puede guardar progreso y continuar después si necesita consultar con su equipo.
---
Resultados que verá
Al cerrar el cuestionario obtiene:
Veredicto de ámbito. Le decimos explícitamente si NIS2 le aplica, en qué categoría (entidad esencial · entidad importante · fuera de ámbito · zona gris con explicación), y por qué.
Score global de preparación. Una puntuación 0-100 que estima cómo está su organización frente a las exigencias de la directiva. Incluye desglose por sección con los puntos fuertes y débiles.
Gráfico radar por sección. Visualización de su posición relativa en las cinco secciones del cuestionario. Útil para mostrar a dirección de un vistazo dónde concentrar el esfuerzo.
Tres recomendaciones top. Las tres acciones que más impacto tendrían en su nivel de cumplimiento, priorizadas por relación esfuerzo-beneficio. No una lista de cincuenta cosas: las tres que de verdad importan ahora.
Plan de acción 90 días. Una guía concreta de los siguientes pasos sugeridos en los próximos tres meses, con orden razonable y referencias a artículos concretos de la directiva.
Avisos sobre brechas críticas. Si en alguna respuesta aparece una brecha que la directiva considera obligatoria (por ejemplo, ausencia total de plan de respuesta a incidentes), se lo marcamos con prioridad máxima.
---
PDF descargable
El resultado completo se puede descargar como PDF de diez a quince páginas, con:
- Resumen ejecutivo para dirección.
- Resultado por sección con respuestas dadas y comentarios contextuales.
- Plan de acción de 90 días detallado.
- Glosario de términos y referencias a artículos de la directiva.
- Plantilla de seguimiento para revisar avance trimestral.
El PDF está pensado para presentarlo a comité de dirección sin más trabajo. Se descarga directamente sin necesidad de dejar correo. Si quiere recibirlo por correo además, hay un campo opcional.
---
Para quién es
CISO o responsable de seguridad que necesita una primera línea de base antes de un análisis formal completo.
CTO o director técnico de empresa mediana sin función de seguridad dedicada, que quiere entender la exposición antes de presupuestar.
DPO o responsable de protección de datos que ya conoce GDPR y necesita situar NIS2 en relación con lo que ya gestiona.
CEO o director general de pyme y mid-market que han oído de NIS2 y necesitan saber, en lenguaje claro, qué supone para su organización.
Responsable de compliance o calidad que está mapeando obligaciones regulatorias y necesita incorporar NIS2 al panel.
---
Preguntas frecuentes
¿Sustituye a un análisis formal de cumplimiento?
No. Es un primer mapa, no un análisis exhaustivo. Si tras el resultado considera que necesita un diagnóstico profundo, podemos hablar. Si el resultado le da el confort que necesita para gestionar internamente, perfecto: la herramienta le ha ahorrado dinero y tiempo.
¿Qué hacen con mis respuestas?
Si descarga el PDF sin dejar correo, no guardamos nada salvo agregados estadísticos anónimos (cuántas empresas de su sector responden similar) para mejorar la herramienta. Si deja correo, sólo lo usamos para enviar el PDF y, si marca la casilla específica, para contactarle con propuesta. Sin newsletter automático ni cesión a terceros.
¿Está actualizado con la transposición nacional?
Sí. Mantenemos la herramienta al día con la transposición en España y monitorizamos las transposiciones de otros estados miembros relevantes. Si la transposición de su país tiene matices, lo indicamos en el resultado.
¿Puedo guardar progreso y volver después?
Sí. Si interrumpe el cuestionario, puede pedir un enlace por correo para retomar donde lo dejó. Las respuestas se guardan cifradas durante 30 días y luego se borran si no completa.
¿Es realmente gratuito y sin trampa?
Sí. Resultado completo y PDF descargable gratuitos. La opción comercial es voluntaria: marca usted la casilla si quiere que le contactemos. Si no la marca, no le contactamos.
¿Pueden hacerlo varios miembros de la misma empresa y comparar respuestas?
Sí. Es una práctica que recomendamos: que el responsable IT y el director general respondan por separado y comparen. Los desajustes suelen revelar brechas de percepción que merece la pena hablar antes de empezar a invertir.
---
¿Quiere ir más allá?
Si tras el assessment decide que necesita acompañamiento para cerrar las brechas, podemos hablar de un diagnóstico formal o de la opción de vCISO mensual que dirija el programa de adaptación. Sin presión: si la herramienta le ha sido útil tal cual, le ha ahorrado dinero. Eso ya es ganancia.
Hablemos · [[email protected]](mailto:[email protected])
[Botón: Empezar evaluación] · [Botón: Probar también Email Scanner](/herramientas/email-scanner)