SGSI y gestión de riesgos
Diseñamos un sistema de gestión de seguridad de la información (SGSI) adecuado al nivel de riesgo y al modelo de negocio.
NIS2 / KSC para empresas
Acompañamos a las organizaciones desde la clasificación del estatus de la entidad hasta la implantación del SGSI, el proceso de incidentes 24h/72h/1 mes y la preparación para la supervisión.
Marcas con las que hemos trabajado
alcance de NIS2 y de la modificación de la KSC
Apoyamos a las empresas en el paso del análisis de aplicabilidad al cumplimiento operativo: SGSI, gobernanza, incidentes, auditorías y obligaciones de la cadena de suministro.
Incidentes y obligaciones de notificación
Construimos los procedimientos para las obligaciones de 24 horas, 72 horas y 1 mes junto con plantillas de notificación listas para usar.
Responsabilidad del órgano de dirección
Ordenamos los roles del responsable de la entidad, el modelo de supervisión y la formación anual exigida por la ley.
Cadena de suministro y HRV
Evaluamos los riesgos de los proveedores de TI, diseñamos las cláusulas contractuales y planificamos los escenarios de migración tras las decisiones HRV (proveedor de alto riesgo).
Entrada en vigor de la ley: 1 mes desde su publicación en el Boletín Oficial; con una publicación a finales de febrero de 2026, supone finales de marzo de 2026 (estimación).
Sanciones administrativas: entidad esencial hasta 10 millones de EUR o el 2% del volumen de negocio, entidad importante hasta 7 millones de EUR o el 1,4% del volumen de negocio; en situaciones críticas, hasta 100 millones de PLN.
Estado legal/material: 21 de febrero de 2026.
entidades esenciales e importantes
Primero clasificamos el estatus jurídico de la organización, ya que de él dependen el modelo de supervisión, el alcance de la auditoría y el nivel de sanciones. En la práctica, lo decisivo es resolver si eres una entidad esencial (a menudo llamada «crítica») o una entidad importante.
Cómo determinar el estatus: 4 pasos de clasificación
Paso 1: sector de actividad
Verificamos si la actividad encaja en los sectores del anexo n.º 1 (sectores esenciales) o del anexo n.º 2 (sectores importantes).
Paso 2: tamaño de la organización
Comprobamos el umbral de mediana empresa como mínimo: a partir de 50 empleados o al menos 10 millones de EUR de volumen de negocio y 10 millones de EUR de balance general.
Paso 3: excepciones independientes de la escala
Algunas entidades quedan sujetas al régimen con independencia de su tamaño, p. ej. DNS/TLD, determinados servicios TIC, prestadores cualificados de servicios de confianza, entidades críticas CER y algunas entidades del sector público.
Paso 4: estatus y modelo de supervisión
El resultado es el estatus de entidad esencial o importante, que determina el régimen de supervisión, de auditoría y el alcance de las obligaciones probatorias.
Entidad esencial
Por regla general: grandes entidades de sectores esenciales y categorías indicadas por ley con independencia de su tamaño (entre otros, parte de los proveedores TIC y las entidades críticas).
- Supervisión proactiva
- Feed externo
- Umbral sancionador más elevado
Entidad importante
Habitualmente, entidades medianas y grandes de sectores importantes, así como algunas entidades de sectores esenciales que no cumplen los criterios para alcanzar el estatus de entidad esencial.
- Supervisión reactiva
- Auditoría por requerimiento o tras un incidente
- Obligaciones sistémicas completas
DORA y entidades financieras
Para las entidades financieras delimitamos las obligaciones de DORA y KSC y diseñamos un único modelo integrado de compliance para evitar duplicidades.
Registro y autoidentificación
La entidad clasifica por sí misma su estatus e inscribe el registro. Tras la entrada en vigor de la ley solemos hablar de 6 meses para la inscripción de las entidades que ya cumplen los criterios y de 2 meses desde el momento en que pasen a cumplirlos.
¿Es una entidad esencial? Ejemplos más habituales
Entidad esencial- Hospital grande o red de entidades sanitarias
- Gran operador de infraestructura digital (cloud, centro de datos, CDN)
- Prestador de servicios DNS/TLD o prestador cualificado de servicios de confianza
- Entidad crítica en el sentido de la CER
¿Es una entidad importante? Ejemplos más habituales
Entidad importante- Productor mediano o grande de alimentos, productos químicos o electrónica
- Operador mediano de servicios postales o de gestión de residuos
- Empresa mediana de un sector esencial que no cumple los criterios para ser entidad esencial
- Determinadas entidades del sector público del anexo n.º 2
estado normativo/material: 21 de febrero de 2026
calendario de implantación
Mostramos las fechas firmes y las condicionales para evitar enviar un mensaje erróneo sobre la entrada en vigor de la normativa.
23 de enero de 2026
El Sejm aprobó la modificación de la KSC que transpone NIS2.
20 de febrero de 2026
El Senado aprobó la ley sin enmiendas.
tras su publicación en el Boletín Oficial
Vacatio legis: 1 mes desde la fecha de publicación.
finales de marzo de 2026
Escenario orientativo en caso de publicación a finales de febrero de 2026.
~6 meses desde la entrada en vigor
Plazo para la inscripción de la entidad en el registro.
~12 meses desde la entrada en vigor
Plazo para la implantación completa de los requisitos sistémicos.
estado normativo/material: 21 de febrero de 2026
plan de implantación de NIS2/KSC: fases 0-10
Cerramos cada fase con un documento utilizable a nivel operativo y probatorio ante la autoridad supervisora.
Fase 0 — clasificación de la entidad
Verificamos si la KSC se aplica a la organización y si se trata de una entidad esencial o importante. Concluye con una evaluación de aplicabilidad.
Fase 1 — registro y gobernanza
Inscribimos la entidad en el registro, fijamos los roles de contacto y el modelo de responsabilidad de la dirección. Se obtiene un paquete de registro.
Fase 2 — SGSI y gestión de riesgos
Desarrollamos el Sistema de Gestión de Seguridad de la Información, la metodología de riesgo y un conjunto de políticas de seguridad.
Fase 3 — cadena de suministro
Evaluamos a los proveedores, realizamos la diligencia debida y preparamos a la organización para el escenario HRV. Se obtiene un paquete de seguridad de la cadena de suministro.
Fase 4 — procedimientos de incidentes
Diseñamos el proceso de notificación y escalado para incidentes significativos — el resultado es un procedimiento de notificación de incidentes.
Fase 5 — estructuras cíber
Creamos funciones internas o elegimos un modelo de outsourcing SOC/CSIRT. Se obtiene una carta de gobernanza cíber.
Fase 6 — formación
Creamos programas para el órgano de dirección y los equipos junto con un registro de formación. Se obtiene una matriz de formación.
Fase 7 — auditoría
Preparamos a la organización para la auditoría periódica y para el régimen de auditoría requerida. El resultado es un paquete de preparación para auditoría.
Fase 8 — integración normativa
Conectamos la KSC con DORA, RGPD, AI Act y el resto de normativas en una única matriz regulatoria.
Fase 9 — monitorización continua
Implantamos un mecanismo de revisión, gestión de cambios y preparación para una orden cautelar. Se obtiene un plan de mantenimiento continuo del cumplimiento.
Fase 10 — auditoría interna y ventaja competitiva
Revisamos periódicamente el cumplimiento, optimizamos los costes y lo utilizamos como ventaja de mercado. Se obtiene un informe de revisión anual.
incidentes: regla 24h / 72h / 1 mes
La preparación procedimental es clave. En la práctica, los mayores riesgos son una notificación tardía y una comunicación inconsistente con el CSIRT y con los clientes.
24 horas
Alerta temprana tras la detección de un incidente significativo.
72 horas
Notificación del incidente con la actualización de la evaluación de impacto y de los indicadores de compromiso.
1 mes
Informe final o informe de progreso si la gestión del incidente continúa.
Integramos el proceso con las obligaciones del RGPD para evitar mensajes contradictorios en los incidentes que afecten a datos personales.
cadena de suministro TIC y HRV
El cambio de proveedores y tecnologías suele ser el ámbito más costoso. Por eso planificamos los riesgos contractuales, operativos y de migración antes de tener que tomar decisiones en crisis.
Evaluación de los riesgos de los proveedores
Evaluamos a los proveedores críticos, las dependencias técnicas y el riesgo de concentración.
Cláusulas contractuales
Implantamos cláusulas de SLA, auditoría, notificación y plan de salida del proveedor.
Plan de migración HRV
Diseñamos el escenario de migración para las decisiones sobre proveedores de alto riesgo (HRV).
integración de NIS2/KSC con otras normativas
Implantamos un único modelo de cumplimiento para cíber, datos y operaciones, en lugar de silos paralelos.
NIS2/KSC + DORA
Delimitación de las obligaciones de TI para las entidades financieras y sus proveedores.
NIS2/KSC + RGPD
Gestión coherente de incidentes y comunicación uniforme a los reguladores y usuarios.
NIS2/KSC + AI Act
Ciberseguridad de los sistemas de IA y gobernanza del uso de modelos.
NIS2/KSC + CER
Arquitectura común de resiliencia para las entidades críticas.
NIS2/KSC + MiCA
Modelo de ciberseguridad para los CASP y los servicios de criptoactivos.
NIS2/KSC + eIDAS
Coordinación de los requisitos para los servicios de confianza y la infraestructura digital.
paquetes de servicios NIS2/KSC
Adaptamos el alcance de la implantación a la madurez de la organización y al nivel de riesgo regulatorio.
Diagnóstico de preparación para NIS2/KSC
Evaluación rápida del estatus, las carencias y las prioridades de actuación.
Taller: responsabilidad del órgano de dirección en materia cíber
Taller para el órgano de dirección: responsabilidad personal y modelo de decisión.
Implantación completa de NIS2/KSC
Implantación completa de NIS2/KSC: documentación, procedimientos, formación y modelo de mantenimiento del cumplimiento.
Procedimiento de respuesta a incidentes
Modelo de notificación y gestión de incidentes con plantillas listas para usar.
Seguridad de la cadena de suministro (HRV)
Evaluación de proveedores y plan de migración en escenarios HRV.
Soporte continuo de cumplimiento NIS2
Mantenimiento continuo del cumplimiento, monitorización de cambios y apoyo en materia de supervisión.
experto responsable del área NIS2/KSC
En los proyectos NIS2 combinamos la perspectiva jurídica y la operativa para reducir el riesgo de gestión y mantener la continuidad de los servicios.
Apoyo del experto desde la fase de clasificación
- Clasificación de la entidad y mapa de obligaciones
- Diseño práctico del SGSI y de la gestión de incidentes
- Apoyo al órgano de dirección y a los equipos técnicos
Podcasts | Legal Geek
- Experiencia en la confluencia de varias normativas: DORA, RGPD, AI Act, MiCA
- Apoyo en inspecciones y procedimientos
- Modelo de implantación adaptado al tamaño de la organización
Contacto sobre NIS2/KSC
Tomasz Klecor
Socio Director
Navegador FinTech. Jurista.
Durante 15 años ha ayudado a los mayores fintechs polacos e internacionales a crecer de forma segura y global. Comenzó como abogado y hoy combina derecho, estrategia y tecnología, asesorando a fundadores y juntas directivas en decisiones clave: cómo escalar el negocio en cumplimiento con la normativa, cómo implementar correctamente DORA, MiCA o AML y prepararse para PSD3/PSR, y cómo evitar los killers regulatorios que pueden frenar el crecimiento.
LinkedIn
Preguntas frecuentes sobre NIS2/KSC
Las preguntas más habituales de órganos de dirección, compliance y departamentos de TI en las implantaciones de NIS2.
No. La clasificación depende del sector de actividad y de los umbrales de tamaño, mientras que algunas entidades quedan sujetas con independencia de su escala debido a la naturaleza de sus servicios.
Primero determinamos el sector (anexo 1/2), después los umbrales de tamaño y las excepciones independientes de la escala. La condición de entidad esencial suele implicar un nivel más alto de supervisión y auditoría.
Es la notificación de incidentes en varias fases: alerta temprana, notificación más completa e informe final o periódico al CSIRT competente.
Sí. La dirección responde de la implantación y supervisión del sistema de seguridad, por lo que el modelo de gobernanza y la evidencia del cumplimiento de las obligaciones deben estar bien organizados.
No. En el sector financiero hay que separar e integrar correctamente las obligaciones de ambos regímenes para evitar lagunas o duplicidades.
Hace falta un plan de migración, una vía de decisión del órgano de dirección y una protección contractual de la continuidad de los servicios antes de que aparezca la presión operativa.
Las entidades esenciales se someten a una auditoría periódica, mientras que las entidades importantes pueden ser auditadas a requerimiento de la autoridad, tras un incidente o al constatarse infracciones.
Por la clasificación del estatus y el mapa de carencias. Esto marca el orden de las fases 0-10, el alcance de la documentación y las prioridades de implantación.
directrices ITSec DORA/NIS2 listas para implantar
Es un material para organizaciones que quieren ordenar rápidamente sus acciones cíber y las responsabilidades de los equipos. Descarga el PDF y trabaja sobre puntos de control listos para usar.
- Más de 1250 directrices que cubren el ciclo completo: gobernanza, incidentes, continuidad, proveedores.
- 26 categorías que se pueden mapear con las obligaciones de NIS2/KSC y DORA.
- Formato práctico para los equipos de seguridad, compliance y consejo de administración.
- Material para el trabajo conjunto con los proveedores ICT en la cadena de suministro.
contacta con nosotros sobre NIS2/KSC
En la primera conversación clasificamos la fase del proyecto: diagnóstico, implantación o mantenimiento del cumplimiento tras la puesta en marcha del sistema.
Describe la fase del proyecto
Indícanos si necesitas un diagnóstico de la entidad, una implantación completa de NIS2/KSC o un modelo de mantenimiento del cumplimiento y auditoría.