Historias 31 octubre, 2024

NIS2, la directiva europea que ya obliga a las pymes a implementar medidas de ciberseguridad

La tecnológica vasca Cybertix ha desarrollado una herramienta automática y de fácil aplicación para cumplir con las exigencias de esta directiva

Asumir las áreas de mejora que el tejido empresarial vasco, especialmente las pymes, presenta en un ámbito como el de la ciberseguridad es asumir que por su estructura son las empresas más vulnerables a la hora de ser atacadas y es asumir que dado que sus recursos económicos no son infinitos, están poco dotadas para implementar en su día a día sistemas de seguridad. En este contexto, Europa está decidida a actuar y revertir esta situación, para lo que acaba de redactar una directiva europea de obligado cumplimiento que entrará en vigor en breve. ¿Con qué objetivo? Que todas las empresas introduzcan medidas en materia de ciberseguridad. Para dar respuesta a las cuestiones derivadas de esta nueva realidad, la tecnológica vasca Cybertix, presidida por Xabier Michelena y dirigida por Lorenzo Díaz de Apodaca, acaba de desarrollar una herramienta que ayuda y simplifica toda esta casuística a la que ahora mismo se enfrenta la pyme vasca.

El Grupo SPRI da la oportunidad a las empresas vascas de informar sobre su actividad en sus canales propios. Si tu proyecto está relacionado con nuestras temáticas (I+D+i, digitalización, internacionalización, emprendimiento, innovación…) puedes participar en la iniciativa Hablamos de ti.

¿Cuál es la última hora de esta normativa europea que va a obligar a todas las empresas a implementar protocolos de ciberseguridad?

La directiva europea se llama NIS2 y se publicó en diciembre de 2022 pero entró en vigor en enero de 2023 y la transposición, en este caso a la legislación española, estaba prevista para el pasado 17 de octubre, de modo que estamos en tiempo porque la implantación no va a ser inmediata y es un buen momento para que las empresas empiecen a tomar medidas.

¿A qué se expone una empresa que no la cumpla?

Pues como casi siempre que hay algo que cumplir, el castigo más evidente es el económico. Parece que si no nos tocan el bolsillo no reaccionamos, y en este caso estamos hablando de sanciones de hasta 10 millones de euros o el 2% de la facturación siempre y cuando la empresa pertenezca a un sector Crítico, o de 7 millones de euros ó el 1,4% si pertenece a uno Importante. Y al margen de la sanción económica estaríamos hablando de la reputación y, sobre todo, de la competitividad, que quedaría muy tocada. La directiva, insistimos, es de obligado cumplimiento, lo que significa que no va a ser cuestión de comprar, hablando de forma muy clara, un sello que nos permita salir al paso. Es una forma de hacer que va a marcar el presente y el futuro.

¿La medida afecta a todas las empresas en general o solo a las pymes?

Afecta a todas las empresas que pertenezcan a unos sectores críticos que están muy definidos. Y también depende de nuestra facturación o del número de empleados. Todas las empresas somos proveedores de terceros y formamos parte de una cadena de suministro, y como tal, puede darse el caso de que sea Europa o nuestro propio cliente el que nos va a demandar que cumplamos con la directiva para gestionar sus riesgos en la cadena de suministro.

Otro aspecto importante de esta norma es que tiene una afección directa en la Dirección de las empresas… ¿Esto qué quiere decir?

Que el responsable último de todo esto a nivel nominal es el directivo, con responsabilidades legales, económicas y de inhabilitación, de ahí que vaya a tener que disponer de una formación adecuada para poder gestionar la empresa a nivel de ciberseguridad.

Con este contexto encima de la mesa, ¿qué es lo que realmente pretende Europa desde este punto de vista de la ciberseguridad?

Mejorar el nivel de seguridad. Puede que haya algo de meternos miedo para poner remedio a un problema tremendo; o puede que se quiera obligar a que las empresas hagamos méritos no solo para proteger nuestros propios activos, sino también el de los propios clientes para los que trabajamos. La ciberseguridad es algo crítico en nuestras vidas, pues está presente absolutamente en todos los sectores económicos que nos afectan, hasta el más mínimo. Por eso lo que Europa pretende no es otra cosa que mejorar el nivel de ciberseguridad de sus empresas, proteger las infraestructuras críticas y, sobre todo, que tengamos una mejor capacidad y más ordenada capacidad de respuesta ante estos ataques que día a día recibimos. Además de todo lo anterior, se quiere fomentar la colaboración y la comunicación efectiva.

En el ámbito pyme es habitual escuchar ese mantra histórico del “¿A mí cómo me van a atacar, sino tengo nada de valor; qué me van a robar?”…

Pues eso se acabó y este tipo de excusas van a tender a desaparecer. Como no hemos sido capaces de acabar con la desidia digital por pura pereza, ahora lo vamos a tener que hacer por obligación y asumiendo responsabilidades. En abril de 2025 se publicará un listado de empresas a las que les aplica NIS2 para evitar cualquier tipo de duda. Además, a los que formamos parte de la cadena de suministro, nuestros clientes nos lo van a exigir.

Ataques diarios, acaba de decir…. ¿De verdad hablamos de eso y qué tipo de ataques?

Los ataques se producen segundo a segundo, con total recurrencia y con un coste de decenas de miles y millones de euros. Y respecto a los ataques, pues vamos aprendiendo, vamos tomando medidas y no todos, afortunadamente, son exitosos. Pero no podemos olvidar que el 60% de las pymes que reciben un ataque exitoso desaparece en los siguientes seis meses. Cesan su actividad. Así de duro.

¿Y qué tipo de ataques son?

Los más habituales son el típico correo electrónico que recibimos haciendo una suplantación de identidad que lo que pretende es hacerse con nuestras credenciales o el ransomware, que cifra nuestros datos para pedirnos después un rescate o extorsiones por nuestra información. Y también, claro, está el caso en que nuestro sistema se ve comprometido no para exigirnos nada sino como vía de acceso a un tercero. A veces no somos el fin si no el medio para llegar al objetivo.

Y una compañía como Cybertix , ¿qué aporta en todo este contexto?

En Cybertix tenemos un reto, que es tratar de ayudar a las pymes, siendo conocedores de que los recursos que tienen el día a día son para sacar su negocio adelante. Y estamos trabajando con una plataforma que lo que hace es simplificar y automatizar la seguridad de ese tipo de empresas. Es un modelo que hace que desde una plataforma única y sin tener un conocimiento muy elevado a nivel técnico, podamos cubrir el 95% de lo que hacen las herramientas habituales de seguridad en el resto de grandes compañías. Es decir, queremos que de forma sencilla y casi automática, con una única plataforma la pyme quede perfectamente cubierta y gestionada internamente por cualquiera que manifieste un poco de interés. Hacemos accesible y operable la ciberseguridad para todas las empresas.

¿A qué puerta pueden llamar las pymes interesadas?

Pueden solicitar las ayudas del programa SOCs (Security Operations Center) y Certificaciones en Ciber, que impulsa el Grupo SPRI y tiene como objetivo reforzar la ciberseguridad de las pymes mediante la financiación de proyectos relacionados con la implementación de servicios SOC y la obtención de certificaciones reconocidas en ciberseguridad. Las subvenciones cubren hasta el 75% de los gastos relacionados con estos servicios, con un límite máximo de 25.000 euros por pyme, lo que permite a las empresas mejorar su seguridad digital sin afrontar el coste completo del proyecto.

¿Y qué tipo de proyectos son susceptibles de ser financiados?

Hay dos tipos de líneas. Una que financia la contratación de servicios de Centros de Operaciones de Seguridad (SOC) para que las empresas reciban apoyo para monitorear y vigilar sus sistemas informáticos en tiempo real, dentro de la cual entra la solución que ofrecemos desde Cybertix para detectar incidentes de seguridad y ejecutar medidas de mitigación de manera proactiva. Y la segunda es para servicio de Pentesting y Certificaciones tipo ENS, ISO 27001 o la adecuación de la propia NIS2 donde también ofrecemos servicios a medida.

Noticias relacionadas

04/06/2026 Transformación Digital

EuskoData, 40 años acompañando a las empresas como su partner tecnológico de confianza

La compañía de San Sebastián, que empezó como un suministrador de software, facilita ahora todo tipo de soluciones tecnológicas

03/06/2026 I+D+i

Zuchetti ofrece software empresarial desde hace 35 años

La empresa, ubicada en el Parke de Bizkaia, dedica más del 15% de su facturación a la I+D

03/06/2026 Innovación

Loramendi y Aurrenak: más de medio siglo de innovación industrial con sello alavés y proyección global

Las cooperativas integradas en Mondragón exportan el 90% de su producción y se han consolidado como referentes mundiales en soluciones avanzadas para el sector de la fundición

03/06/2026 Innovación

Ansareo Technologies ofrece una gestión más eficiente y preventiva de las infraestructuras esenciales

La iniciativa del grupo vasco incorpora más digitalización, sensórica, análisis de datos y soluciones innovadoras a servicios que están muy vinculados al conocimiento técnico de campo.

02/06/2026 I+D+i

Garay Recubrimientos desarrolla nuevas soluciones de revestimiento de caucho

La compañía vizcaína está inmersa en varios proyectos para mejorar la durabilidad y sostenibilidad de instalaciones industriales.

01/06/2026 I+D+i

Bantec: “Nuestras áreas de especialización apuestan por aquellos sectores con mayor potencial de crecimiento”

La empresa guipuzcoana acompaña a las empresas a identificar correctamente el potencial innovador de sus iniciativas y a estructurarlo como un proyecto de I+D sólido, viable y alineado con los requisitos de cada programa.

28/05/2026 Innovación

Solumobel crea hogares más funcionales para personas mayores y con movilidad reducida

Especializada en cocinas, armarios y baños adaptados, la empresa tolosarra apuesta por la accesibilidad y la innovación para mejorar la autonomía y la calidad de vida.

28/05/2026 Innovación

Seavi, el principal hotel de empresas en Vitoria desde hace 30 años

La compañía, que ha recibido una ayuda del Grupo SPRI del programa de ciberseguridad, da servicio a más de 300 empresas nacionales e internacionales

28/05/2026 Sostenibilidad Ambiental

Acero, mar y megavatios: Haizea Wind, la fábrica vasca que mueve Europa

Referente europeo en la fabricación de grandes componentes para el sector eólico offshore, afronta el reto de la competencia china con una cartera de pedidos asegurada para los próximos dos años

28/05/2026 Política de clusters

Las energéticas vascas buscan hacerse fuertes en la carrera europea del hidrógeno verde

Una delegación de Euskadi ha participado en la World Hydrogen Summit de Rotterdam para reforzar alianzas y exhibir capacidades industriales vinculadas al hidrógeno verde, en un stand agrupado impulsado por Basquenery Cluster.

Ir al blog

Consentimiento de las cookies
Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clic aquí para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas en “ver preferencias”.

Técnicas Siempre activo

El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.

Preferencias

El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.

Estadísticas

El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos. El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.

Marketing

El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.

Leer más sobre estos propósitos

{title} {title}