NIS2 Gap-Scan Express · Evaluación de cumplimiento art. 21 con IA defensiva
Evaluación NIS2 art. 21 (10 medidas técnicas y organizativas) con stack IA defensiva propio y firma personal del responsable. Diagnóstico, plan priorizado y board memo en cuatro semanas.
NIS2 Gap-Scan Express
Diagnóstico de cumplimiento NIS2 art. 21 en cuatro semanas, con IA defensiva multi-modelo y firma humana del responsable
La directiva NIS2 (Directiva UE 2022/2555) cubre aproximadamente doce mil entidades en España como esenciales o importantes y obliga a implantar diez medidas técnicas y organizativas concretas (art. 21). La transposición española avanza por dos vías paralelas: el Real Decreto-ley 7/2025 ya en vigor con obligaciones parciales y el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en tramitación. Las sanciones potenciales alcanzan los diez millones de euros o el dos por ciento de la facturación global, con responsabilidad personal de directivos.
OCIRIA NIS2 Gap-Scan Express entrega en cuatro semanas un diagnóstico técnico del cumplimiento art. 21, un mapa priorizado de hallazgos y un memo ejecutivo redactado para dirección. Todo el análisis se realiza con un stack propio de IA defensiva multi-modelo (Claude Haiku, Sonnet y Opus en triangulación) bajo supervisión y firma personal del responsable S.L.
Qué cubre exactamente
El gap analysis evalúa las diez medidas establecidas en el art. 21 de la directiva:
1. Política de análisis y gestión de riesgos.
2. Gestión de incidentes (detección, comunicación y respuesta).
3. Continuidad de negocio: copias de seguridad, recuperación de desastres y gestión de crisis.
4. Seguridad de la cadena de suministro.
5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
6. Políticas y procedimientos para evaluar la eficacia de las medidas.
7. Higiene básica: prácticas, formación y concienciación.
8. Criptografía y cifrado, cuando proceda.
9. Seguridad de recursos humanos, política de control de acceso, gestión de activos.
10. Autenticación multifactor y comunicaciones seguras.
Para cada medida, identificamos el estado actual, la distancia hasta el cumplimiento, el esfuerzo orientativo para cerrarlo y la prioridad relativa en función de su organización.
Por qué este servicio existe
Las consultoras tradicionales abordan NIS2 con plantillas de dos meses, equipos de cuatro a seis personas y entregables de cien diapositivas que la dirección no termina de leer. Las Big4 lo hacen aún más caro y más lento. La realidad es que la mayoría de entidades necesita primero saber dónde está, no recibir un plan a doce meses antes de haber visto el primer hallazgo.
OCIRIA aprovecha la IA defensiva para hacer el análisis técnico que un equipo humano necesitaría cuarenta o sesenta horas, en una fracción del tiempo. Lo que la IA no decide es ningún entregable material: el mapa de hallazgos, la priorización y el memo ejecutivo los firma personalmente el responsable humano. La IA acelera, no sustituye.
Cómo trabajamos · cuatro semanas, tres entregables
Semana 1 · Alcance y recogida. Reunión inicial (cuarenta y cinco minutos) para entender sector, tamaño, criticidad, dependencias y exposición previa. Recogida de información mínima necesaria sin acceso a sistemas vivos: dominios, infraestructura de email, exposición pública conocida, política de seguridad actual si existe, organigrama relevante.
Semana 2 · Análisis IA multi-modelo + validación humana. Triangulación entre tres modelos Claude (Haiku para clasificación, Sonnet para correlación, Opus para análisis crítico). Detección de discrepancias entre modelos como señal de riesgo a investigar manualmente. Verificación de superficie pública (OSINT defensivo: subdominios, fugas indexadas, configuración DNS/SPF/DMARC, headers HTTP, certificación, exposición Shodan/Censys). Análisis de gap normativo medida por medida.
Semana 3 · Cruce con realidad operativa. Sesión técnica (sesenta a noventa minutos) con responsable interno (si lo hay) o con dirección para validar los hallazgos, completar lagunas que los modelos no ven (procedimientos internos, contratos con proveedores, formación realizada) y priorizar.
Semana 4 · Entregables firmados. Tres documentos: informe técnico extenso con hallazgos detallados y evidencia reproducible, mapa priorizado de medidas con esfuerzo y plazo orientativo, y memo ejecutivo de tres páginas redactado para que dirección pueda llevar al consejo o al comité de auditoría. Todos firmados personalmente por el responsable S.L.
Pricing
OCIRIA NIS2 Gap-Scan tiene tres niveles, según la profundidad y el acompañamiento posterior:
| Nivel | Producto | Precio | Plazo |
|---|---|---|---|
| Express | Gap analysis art. 21 + mapa priorizado + memo dirección | 3.500 € | 4 semanas |
| Standard | Express + roadmap doce meses + tabletop incidente | 6.500 € | 5-6 semanas |
| Premium | Standard + acompañamiento mensual seis meses | 12.900 € | 4 semanas + 6 meses |
Los precios son orientativos para PYMES (hasta doscientos cincuenta empleados) y mid-market estándar. Para grupos consolidados, infraestructura multi-sede o sectores con normativa adicional (salud, energía, agua, finanzas) ajustamos alcance y presupuesto en la reunión inicial.
Modalidad de pago. Cincuenta por ciento al inicio, cincuenta por ciento contra entrega del memo ejecutivo. Sin penalización si tras la reunión inicial decidimos que el servicio no encaja con su situación.
Para quién es
- Entidades esenciales bajo NIS2: transporte, energía, salud, agua, infraestructura digital, administración pública, espacio.
- Entidades importantes bajo NIS2: servicios postales, gestión de residuos, productos químicos, alimentación, manufactura, plataformas digitales, investigación.
- Empresas mid-market que prestan servicio a entidades NIS2 y reciben cuestionarios de cumplimiento desde clientes regulados.
- Grupos consolidados que necesitan unificar postura NIS2 entre varias filiales antes del consejo.
Si tiene dudas sobre si NIS2 le aplica, la reunión inicial es gratuita y le sacamos esa duda en treinta minutos.
Para quién NO es
- Empresas que ya tienen un CISO interno con dedicación completa y un equipo de seguridad de tres o más personas. En ese caso, lo que probablemente necesite es un AI Red Team de su stack interno, no un gap análisis externo.
- Empresas que buscan un sello rápido para superar un proceso de venta y no quieren un análisis real. OCIRIA no firma informes en los que no haya hallazgos verificables.
- Sectores donde la normativa aplicable es claramente otra (DORA financial sector con dedicación específica, GDPR puro sin componente NIS2).
Casos típicos
Caso 1 · El hospital privado mid-market. Centro médico con doscientos cuarenta empleados, atención presencial y telemedicina, dos sedes y una historia clínica electrónica externalizada. Gap-Scan revela ausencia de procedimiento formal de gestión de incidentes, doble factor solo en la cuenta administrativa, política de backups sin verificación periódica y cuatro proveedores TIC sin cláusulas NIS2 en contrato. Memo ejecutivo: cumplimiento estimado en el sesenta y cinco por ciento; plan de seis meses para alcanzar el ochenta y cinco con presupuesto orientativo de doce mil euros adicionales.
Caso 2 · La empresa de tratamiento de aguas. Operador regional bajo OUG 155/2024 (transposición rumana NIS2). Gap-Scan identifica DMARC en p=none, paneles cPanel expuestos en hosting compartido con dominios de terceros, portal de clientes sin doble factor ni HSTS. Memo dirección: tres medidas críticas que se pueden cerrar en setenta y dos horas, siete medidas con plan de tres meses, conclusión clara sobre si la entidad cumpliría una primera inspección.
Caso 3 · El proveedor industrial de servicios esenciales. Empresa manufacturera que vende a una entidad NIS2 esencial y recibe cuestionario obligatorio de cumplimiento. Gap-Scan se orienta a responder ese cuestionario con evidencia: las preguntas que pueden contestarse con cumplimiento actual, las que requieren acción y las que necesitan cláusula contractual con el cliente regulado.
¿Cómo empezar?
El primer paso es una reunión inicial gratuita de cuarenta y cinco minutos. Le explicamos cómo funciona la metodología, qué hallazgos típicos encontramos con una empresa de su perfil y le decimos sinceramente si el Gap-Scan le aporta valor o si tiene una situación que requiere otra cosa.
Si avanzamos, el contrato es de una sola página y el calendario es de cuatro semanas desde la firma.
Escríbanos a [email protected]