Microsoft Cloud · Compliance
La ley alemana de aplicación de NIS2 (NIS2UmsuCG) está en vigor desde el 6 de diciembre de 2025. Aproximadamente 29 500 empresas alemanas quedan sujetas a las obligaciones por primera vez. Llevamos a empresas medianas y compañías KRITIS a un marco de compliance sólido — sobre Microsoft Purview, Microsoft Entra ID y Microsoft Defender. Pragmático, sin sobredimensionar.
Fecha: 18 de mayo de 2026
NIS2 ya está aquí
La Ley de Aplicación de NIS2 y de Refuerzo de la Ciberseguridad (NIS2UmsuCG) es la transposición alemana de la Directiva UE 2022/2555. Entró en vigor el 6 de diciembre de 2025 y amplía drásticamente el conjunto de empresas sujetas. Aproximadamente 29 500 empresas alemanas caen por primera vez bajo NIS2 — muchas de ellas, fabricantes de maquinaria, productores de alimentos, proveedores de servicios TI y suministradores energéticos regionales del mid-market.
La novedad central frente a la primera directiva NIS: NIS2 ya no cubre solo los sectores KRITIS clásicos, sino también de forma amplia los sectores esenciales e importantes — desde la producción de alimentos pasando por los fabricantes de determinadas máquinas hasta los proveedores de servicios TI gestionados. Cualquier empresa mediana a partir de 50 empleados y 10 millones € de facturación en uno de los 18 sectores NIS2 está, con alta probabilidad, afectada.
Tres consecuencias son especialmente relevantes: primero, una obligación de notificación de incidentes en un plazo de 24 horas a la BSI (Oficina Federal Alemana de Seguridad de la Información). Segundo, un sistema documentado de gestión de riesgos con medidas técnicas y organizativas claras. Tercero — a menudo pasado por alto — la responsabilidad personal directa de la dirección. Quien delegue el tema y, demostrablemente, no supervise, tiene un problema personal bajo NIS2.
Cuatro pilares de compliance
En los últimos tres años Microsoft ha construido un stack de compliance coherente. Cuatro herramientas forman la base — se entrelazan entre sí, pero cada una es su propia cuestión de licenciamiento y configuración.
Assessment, gap analysis, hoja de ruta. Revisamos su posicionamiento actual frente a los requisitos NIS2, identificamos las mayores brechas y priorizamos las medidas por riesgo y esfuerzo. Resultado: un programa de implementación formulado con claridad que dirección y TI asumen conjuntamente.
Clasificación de datos, Data Loss Prevention (DLP), insider-risk management, auditoría. Microsoft Purview responde a la pregunta: cuál es nuestro dato crítico, quién lo ve y quién puede hacer qué con él. Central tanto para RGPD como para NIS2.
Gestión de identidad y acceso. Multi-factor authentication, Conditional Access, Privileged Identity Management, Identity Protection. Para llegar a compliance NIS2 hay que controlar primero las identidades — la mayor palanca con el menor riesgo.
Endpoint security, email security, cloud security, identity security. Microsoft Defender XDR unifica los productos Defender individuales en una plataforma de telemetría. La obligación de notificación de incidentes de NIS2 se vuelve operativamente cumplible — siempre que el stack esté configurado limpiamente y el equipo sepa usarlo.
Nuestro enfoque
NIS2 no es un proyecto de 4 semanas. Pero tampoco un programa de 24 meses. Trabajamos con nuestros clientes en cuatro fases claramente separadas — cada fase entrega un resultado independiente que tiene valor incluso si la siguiente se pospone.
Cuatro semanas. Revisamos su aplicabilidad (sector, tamaño, clasificación KRITIS), inventariamos los activos críticos y capturamos el estado actual en Microsoft 365, Entra ID y Defender. Resultado: una imagen clara del punto de partida, sin endulzar.
Tres a cuatro semanas. Por requisito NIS2 y por herramienta Microsoft, un rating de brecha. Qué se cumple hoy, qué parcialmente, qué nada en absoluto. Por brecha, una medida, un esfuerzo, una contribución al riesgo. Resultado: un catálogo de medidas priorizadas.
4 a 9 meses. Implementación de las medidas priorizadas — primero las quick wins (MFA, Conditional Access, reglas base de DLP) y después los temas estructurales (insider risk, SIEM, incident response). En oleadas, con hitos claros.
Permanente. NIS2 no es un estado final de proyecto, sino una disciplina continua. Compliance review trimestral, auditoría anual, tuning continuo de las reglas de Defender. Opcionalmente como parte de nuestros contratos de Application Care.
Coste de implementación — la cifra honesta
Nos preguntan a menudo: "¿Qué nos cuesta NIS2?". Una respuesta honesta necesita dos partes. Por el lado de consultoría e implementación presupuestamos, para empresas medianas de 50 a 500 empleados, un programa cuyo coste acotamos juntos en la conversación inicial. Esta horquilla cubre assessment, gap analysis, despliegue de las quick wins, configuración de Microsoft Purview/Entra ID/Defender y construcción de los procesos de incident response.
Por el lado de licencias, se suman las actualizaciones de licencias Microsoft — típicamente, de Microsoft 365 E3 a E5 o paquetes adicionales de Defender y Purview. Esto lo calculamos de forma transparente a través de nuestro License Cost Calculator. Por empleado, esto supone un coste mensual adicional de entre 8 € y 25 € — la horquilla depende fuertemente del punto de partida.
Lo que no incluyen los costes: refresh de hardware (p. ej., para endpoint hardening), auditorías externas por auditores certificados, apoyo jurídico para la declaración de conformidad. Opcionalmente incluimos estas partidas en un presupuesto global, pero normalmente derivamos a partners especializados.
Delimitación honesta
Hacemos compliance NIS2 sobre el stack Microsoft. Tres áreas en las que de forma deliberada incorporamos partners:
OT security (operational technology). Controladores de máquinas, sistemas SCADA, sensores industriales — esta es una disciplina propia con herramientas propias (Claroty, Nozomi, Microsoft Defender for IoT como puente). Para clientes industriales incorporamos partners OT especializados.
Seguridad física. Control de accesos, SAI, protección contra incendios, sedes redundantes — NIS2 lo exige, nosotros no lo entregamos. Aquí derivamos a partners de facility management.
Auditorías de conformidad. El sello jurídico sobre la declaración de conformidad lo pone un organismo de evaluación certificado, no nosotros. Preparamos la auditoría, documentamos las medidas y le acompañamos durante el assessment — el sello lo pone un tercero.
FAQ
NIS2 (Directiva UE 2022/2555) es la segunda iteración de la Directiva sobre seguridad de las redes y sistemas de información. En Alemania se transpuso mediante la Ley de Aplicación de NIS2 y de Refuerzo de la Ciberseguridad (NIS2UmsuCG), que entró en vigor el 6 de diciembre de 2025. Aproximadamente 29 500 empresas alemanas quedan sujetas a las obligaciones por primera vez.
Tres criterios activan la obligación: sector (18 sectores NIS2 como energía, transporte, banca, salud, servicios de TI, fabricantes de determinados productos), tamaño (empresas medianas desde 50 empleados y 10 millones € de facturación) y criticidad (clasificación KRITIS). Verificamos la aplicabilidad en la primera hora de la conversación inicial.
NIS2 prevé sanciones para entidades especialmente importantes de hasta 10 millones de euros o el 2 % de la facturación anual mundial. Para entidades importantes hasta 7 millones de euros o el 1,4 % de la facturación. Más una responsabilidad personal directa de la dirección — el órgano de gobierno responde personalmente, no solo TI.
Para empresas medianas presupuestamos de forma realista una implementación entre 50 000 € y 150 000 €. Esto cubre assessment, gap analysis, configuración de las herramientas Microsoft (Purview, Entra ID, Defender), formación y construcción de las obligaciones de notificación. Los costes recurrentes se suman vía licencias y monitorización continua.
Para la mayoría de los requisitos, sí. Microsoft Purview, Microsoft Entra ID, Microsoft Defender y Microsoft Sentinel cubren la mayor parte de los requisitos NIS2. Quedan brechas en OT security (operational technology, control de máquinas), requisitos específicos de sector y protección física. Esas brechas las cubrimos con partners.
De forma realista, 6 a 12 meses para empresas medianas — desde el assessment inicial hasta la operación productiva de las herramientas de compliance. Las quick wins (autenticación multifactor, Conditional Access, reglas básicas de DLP) pueden implementarse en 4 a 8 semanas. La madurez completa, incluidos los procesos de incident response, lleva más tiempo.
El RGPD protege los datos personales. NIS2 protege la disponibilidad e integridad de los servicios críticos — es decir, ciberseguridad en sentido amplio, con obligaciones claras de gestión de riesgos, notificación de incidentes (plazo de 24 horas) y responsabilidad de la dirección. Ambas regulaciones se entrelazan pero cubren bienes jurídicos distintos.
30 min · primera conversación o 45 min · arquitectura
Revisamos aplicabilidad, nivel de madurez y mayores brechas en una primera conversación. Para setups complejos con varias sedes, componentes OT o estructuras de grupo, vaya directamente a nuestra arquitectura de 45 min.
