Cumplimiento de NIS2, demostrable
La prueba, no la estimación.
NIS2 no le pide tener medidas de ciberseguridad. Le pide demostrar que funcionan —el artículo 21 lo llama, literalmente, evaluar la eficacia—. Y si su organización es una entidad esencial, la autoridad puede supervisarle sin necesidad de indicio previo de incumplimiento (artículo 32).
Deflank es la capa de gobernanza que convierte esa exigencia en evidencia auditable.
El problema que resolvemos
Las herramientas habituales dejan un hueco en el sitio equivocado:
- La consultoría entrega una foto fija: un informe que era cierto el día que se firmó y que envejece con cada cambio en sus sistemas.
- Los paneles de GRC registran lo que usted dice que hace. Documentan la intención, no la realidad.
- Los pentest y las auditorías por muestreo entregan una estimación: «no conseguimos entrar esta vez».
Ninguna de las tres responde a la única pregunta que importa cuando llega el supervisor: ¿puede demostrar que sus controles hacen lo que dice que hacen?
Qué obtiene
- Mapa de obligaciones: qué le aplica exactamente de NIS2 —anexo, tipo de entidad, esencial o importante— y qué le falta.
- Evidencia demostrable de las medidas del artículo 21: análisis de riesgos, gestión de incidentes, continuidad, cadena de suministro, ciberhigiene y criptografía. No un checklist marcado: una prueba reproducible.
- Procedimiento de notificación de 24 horas operativo: alerta temprana, notificación a las 72 h e informe final. Preparado antes del incidente, no durante.
- Control de la cadena de suministro: la medida del artículo 21 que más expuestas deja a las organizaciones, y la que sus clientes ya le están exigiendo por contrato.
- Informe para el órgano de dirección: porque el artículo 20 le hace responder personalmente del incumplimiento.
Cómo funciona
Deflank compila los requisitos aplicables —los de NIS2, y los de las demás normas que le afecten— y, mediante una metodología de verificación propia, produce una prueba demostrable, reproducible y auditable de conformidad, en lugar de una estimación probabilística.
El resultado es evidencia que su equipo puede presentar con confianza y que un tercero puede volver a verificar.
(El detalle de la metodología lo compartimos con clientes y evaluadores bajo el marco adecuado.)
Despliegue soberano
Deflank es autohospedable. Se despliega on-premise o en su nube privada, incluso en entornos aislados de la red. Sus sistemas, sus datos y sus pruebas no salen de su perímetro — que para una entidad esencial de infraestructura crítica, banca o administración pública no es una preferencia: es un requisito.
Un solo marco para varias normas
Si NIS2 le aplica, es probable que no venga sola. Deflank aborda en un único marco de control:
- NIS2 — ciberseguridad de entidades esenciales e importantes.
- DORA — resiliencia operativa digital, si opera en el sector financiero (donde además prevalece sobre NIS2).
- EU AI Act — si utiliza sistemas de IA, con las obligaciones de alto riesgo desde agosto de 2026.
Abordarlas por separado multiplica el trabajo. Abordarlas juntas lo divide.
Lo que está en juego
| Entidades esenciales | Entidades importantes | |
|---|---|---|
| Multa | 10 M€ o 2 % de la facturación mundial | 7 M€ o 1,4 % |
| Supervisión | Proactiva (sin indicio previo) | Reactiva (tras indicios) |
| Consejo | Responde personalmente del incumplimiento (art. 20) | Responde personalmente (art. 20) |
Frente a esa exposición, una suscripción de decenas de miles de euros es una póliza barata.
Para quién
- Entidades esenciales de energía, transporte, banca, sanidad, agua, infraestructura digital y administración pública.
- Proveedores de servicios TIC (incluidos los B2B del anexo I) que están dentro del ámbito — o a quienes sus clientes obligados ya les exigen garantías.
- Grupos multinacionales que deben responder ante varias jurisdicciones (artículo 26).
Empiece por saber dónde está
Diagnóstico de conformidad NIS2. Le decimos qué le aplica, qué le falta y qué puede demostrar hoy. Sin compromiso.
Preguntas frecuentes
¿Deflank sustituye a mi consultora de ciberseguridad? No necesariamente. La consultora define qué hacer; Deflank demuestra que se está haciendo, de forma continua y auditable. Son capas distintas.
¿Puedo desplegarlo on-premise? Sí. Deflank es autohospedable y funciona en entornos aislados de la red. Los datos no salen de su perímetro.
¿Sirve también para DORA y el AI Act? Sí. Es el mismo núcleo de verificación aplicado a distintas normas, en un único marco de control.
¿Y si España aún no ha transpuesto NIS2? La obligación europea ya existe y no se prevé un periodo transitorio largo. Además, sus clientes obligados ya le exigen garantías por la vía de la cadena de suministro. (Ver: [estado de la transposición en España].)
¿Cuánto se tarda? Empezamos por el diagnóstico, que sitúa su punto de partida. El plazo de implantación depende del alcance y de si es entidad esencial o importante.
Enlaces internos: [NIS2: qué es, a quién aplica y qué exige (guía)] · [transposición de NIS2 en España] · [certificación NIS2] · [Reglamento DORA] · [EU AI Act].
Fuente normativa: Directiva (UE) 2022/2555, artículos 20, 21, 23, 32 y 34.