Cumple NIS2 con Fortinet en 30 días

Probablemente sí si cumples dos condiciones: (1) perteneces a uno de los sectores listados como "esenciales" (energía, transporte, banca, sanidad, agua, infraestructura digital, admón. pública, espacio) o "importantes" (servicios postales, residuos, química, alimentación, fabricación, proveedores digitales, investigación), Y (2) eres mediana o gran empresa según definición europea: 50+ empleados o 10M€+ de facturación anual. Hay excepciones para entidades pequeñas con impacto crítico. La primera pregunta de la auditoría es determinar si estás obligada y en qué categoría; si no lo estás, te ahorramos el resto.

La Directiva NIS2 (UE 2022/2555) ya está en vigor en el derecho comunitario desde enero de 2023. Los Estados miembros debían transponerla antes del 17 de octubre de 2024. En España la transposición se está completando a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad, pero las obligaciones sustantivas ya son exigibles para las entidades afectadas. El mensaje práctico: no esperes a que publiquen el texto español final — las entidades esenciales ya pueden ser inspeccionadas.

Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación anual mundial (la cifra más alta). Entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación. Además, y esto es lo que más preocupa a muchos CEOs, el Art. 20 establece responsabilidad personal de los órganos de administración: la dirección puede ser personalmente sancionada y suspendida temporalmente de funciones directivas por incumplimientos graves. Estamos hablando de riesgo patrimonial y profesional, no solo corporativo.

Depende del punto de partida, pero nuestra experiencia dice: 30 días para tener un plan accionable y empezar ejecución, 3-6 meses para estar sustancialmente alineado con los requisitos técnicos, y 6-12 meses para cerrar medidas organizativas (formación, procedimientos, simulacros, cadena de suministro). La clave es que NIS2 no exige perfección, exige "medidas técnicas y organizativas apropiadas al riesgo" documentadas y en ejecución. Con un plan serio, empezado, documentado y en seguimiento, tienes una defensa razonable aunque aún no hayas terminado todo.

El núcleo mínimo técnico: (1) FortiGate con bundle ATP o Enterprise Protection (cubre Art. 21.2.a gestión de riesgos, 21.2.e seguridad de redes, 21.2.h cifrado); (2) FortiAnalyzer para el logging auditable obligatorio (Art. 21.2.b detección y notificación de incidentes); (3) FortiAuthenticator con MFA (Art. 21.2.i control de acceso). Para entidades esenciales o con OT se añaden FortiSIEM (correlación avanzada), FortiEDR (endpoint) y FortiSandbox (sandbox zero-day). El mapeo exacto depende del análisis de riesgos de tu entidad, que hacemos en la auditoría.

Es obligatoria (Art. 23) y es realista si tienes la infraestructura adecuada. El plazo concreto: alerta temprana en 24h, notificación de incidente en 72h, informe final en 1 mes. Para cumplirlo necesitas: (1) capacidad de detectar que estás sufriendo un incidente (aquí entra FortiAnalyzer + FortiSIEM); (2) un procedimiento de escalado definido y ensayado; (3) canales de notificación a la autoridad competente (INCIBE-CERT en la mayoría de casos) preparados de antemano. Lo último no es técnico, es procedimental — se define en la auditoría y se deja documentado.

No. El plan cubre las 10 áreas del Art. 21 de NIS2 independientemente del fabricante que uses finalmente para implementarlas. Si ya tienes infraestructura Cisco, Palo Alto o Check Point que cubre algún punto, lo reconocemos y no te obligamos a cambiar. Lo que sí hacemos es señalar los gaps reales y proponer cómo cerrarlos del modo más eficiente; muchas veces Fortinet es la opción más barata para añadir lo que falta, pero no es la única.