¿NIS2 me obliga a hacer esta auditoría?

NIS2 aplica desde octubre de 2024 a empresas medianas (50+ empleados o 10M€ de facturación) en sectores esenciales e importantes. Aunque no exige específicamente CIS, sí exige un marco de gestión de riesgo demostrable. CIS Controls v8.1 IG1+IG2 cubre los requisitos del artículo 21 de NIS2 con evidencias documentadas.

¿Cuánto tarda la auditoría?

18 días naturales para la versión Estándar. 25 días para la Extendida con pentesting. Solo requerimos 3-4 horas distribuidas de personal clave de tu empresa.

Auditoría de ciberseguridad CIS Controls v8.1 IG1+IG2 para pequeñas y medianas empresas (PYMEs) en España. Diagnóstico Essential Cyber Hygiene del Center for Internet Security ampliado con salvaguardas IG2 para empresas industriales, tecnológicas, retail, ecommerce, distribución, servicios B2B y construcción. Cumplimiento RGPD, NIS2, ENS y exigencias de aseguradoras de ciberriesgo. Solo 6 auditorías mensuales. Auditoría ciberseguridad PYMEs. Consultora ciberseguridad pequeñas empresas. NIS2 pyme. Auditoría seguridad informática empresa. Hardening servidores PYME. Pentesting PYME. Compliance NIS2 España.

Auditoría CIS Controls v8.1 · IG1+IG2

Auditoría de ciberseguridad para pequeñas y medianas empresas.

Diagnóstico completo bajo el marco internacional CIS Controls v8.1 IG1+IG2 — 130 salvaguardas evaluadas que tu aseguradora de ciberriesgo, tus clientes corporativos y las nuevas exigencias de NIS2 esperan ver documentadas.

Ver planes y precios → Solicitar propuesta

Lo que está en juego para una PYME

43%

de los ciberataques se dirigen específicamente a PYMEs (Verizon DBIR)

€87K

coste medio de un incidente en PYME mediana española

60%

de las pymes atacadas cierran en los 6 meses siguientes

✓ Marco oficial Center for Internet Security

✓ Cumple art. 21 NIS2 con evidencias

✓ Aceptado por aseguradoras de ciberriesgo

✓ Compatible con RGPD · ENS · ISO 27001

✓ Entregables en 18 días

Para quién

Diseñada para PYMEs entre 10 y 249 empleados.

Si tu empresa factura entre 1M y 50M€ al año y tienes infraestructura digital crítica para el negocio, la auditoría CIS IG1+IG2 es el siguiente paso lógico antes de que un incidente te lo imponga.

🏭

Industriales y fábricas

Sistemas IT/OT, ERPs, control de producción, propiedad industrial.

💻

Tecnológicas y SaaS

Código fuente, datos de cliente, infraestructura cloud, APIs.

🛒

Retail y e-commerce

Pasarelas de pago, datos de cliente, plataformas de venta online.

🚚

Distribución y logística

ERPs, sistemas de almacén, tracking, integraciones B2B.

🤝

Servicios B2B

Empresas que manejan datos sensibles de organizaciones cliente.

🏗️

Construcción e inmobiliarias

Proyectos, datos de clientes, documentación contractual sensible.

🔒 ACCESO LIMITADO

Solo 6 auditorías al mes. Por una buena razón.

No vendemos auditorías express. Cada diagnóstico CIS IG1+IG2 implica entre 50 y 80 horas de trabajo experto: entrevistas con responsables, inventario completo de activos, análisis técnico, revisión documental y un plan de remediación priorizado que tu aseguradora aceptará como evidencia válida.

Para mantener esa profundidad en 130 salvaguardas, aceptamos un máximo de 6 clientes nuevos cada mes. Cuando se cubren, abrimos lista de espera priorizada con precio bloqueado.

Reservar plaza disponible →

Disponibilidad — mes en curso

Capacidad mensual: 6 plazas

Reservada

Libre

2 de 6 plazas restantes

Alcance de la auditoría

Los 18 controles CIS — 130 salvaguardas IG1+IG2.

Cada salvaguarda se evalúa con evidencias documentales y técnicas. No con un cuestionario que rellena el cliente y nadie verifica.

Inventario de activos hardware

Equipos, servidores, IoT, BYOD. Qué tienes y qué no debería estar conectado.

Inventario de software

Aplicaciones autorizadas vs. shadow IT en endpoints y servidores.

Protección de datos

Cifrado, clasificación y control de acceso a datos críticos del negocio.

Configuración segura

Hardening de equipos, servidores, móviles, cloud y aplicaciones.

Gestión de cuentas

Identidades, roles, altas y bajas, cuentas privilegiadas y de servicio.

Control de accesos

MFA, privilegios mínimos, accesos remotos seguros y revisión periódica.

Gestión de vulnerabilidades

Escaneo continuo, parcheo y priorización por riesgo real.

Logs y auditoría

Qué se registra, dónde se guarda, retención y revisión periódica.

Email y navegación

Antiphishing, DMARC/SPF/DKIM, filtrado web y políticas de uso.

Defensa frente a malware

EDR moderno, antivirus de nueva generación y respuesta automatizada.

Recuperación de datos

Backups, regla 3-2-1, copias offline y pruebas periódicas de restauración.

Infraestructura de red

Segmentación, firewalls, WiFi corporativo y de invitados, VPN.

Monitorización de red

Detección de anomalías, tráfico sospechoso y comportamientos atípicos.

Concienciación del personal

Formación obligatoria, simulacros de phishing y métricas de mejora.

Gestión de proveedores

Riesgo de terceros, contratos, encargados de tratamiento, supply chain.

Seguridad en aplicaciones

Web corporativa, áreas de cliente, aplicaciones internas, APIs.

Respuesta a incidentes

Plan documentado, roles, comunicación interna, notificaciones NIS2/AEPD.

Tests de penetración

Validación técnica real de la exposición (incluido en plan Extendido).

Planes

Dos versiones. Precio cerrado, sin sorpresas.

Empieza con la auditoría completa IG1+IG2. Si necesitas validación técnica con pruebas de explotación, sube al plan Extendido.

Estándar

Auditoría CIS IG1+IG2

Diagnóstico completo de los 18 controles y las 130 salvaguardas IG1+IG2. Plan de remediación accionable y entregables aptos para aseguradora y cumplimiento NIS2.

3.950 €

+ IVA · pago al firmar el NDA

Auditoría completa de los 18 controles CIS v8.1
Evaluación de las 130 salvaguardas IG1+IG2
Inventario completo de activos hardware y software
Revisión de configuración segura y gestión de accesos
Análisis de exposición externa pasiva (sin pruebas activas)
Análisis de cumplimiento NIS2 art. 21 y RGPD
Informe ejecutivo + informe técnico + plan de remediación priorizado
Sesión de devolución de 90 min con dirección e IT
Evidencias documentales aptas para aseguradora ciberriesgo
Soporte por email durante 45 días

Reservar plan Estándar →

Extendida · recomendada

Auditoría CIS IG1+IG2 + Pentesting

Todo lo del plan Estándar y, además, pruebas técnicas controladas para validar qué vulnerabilidades son realmente explotables en tu perímetro.

5.950 €

+ IVA · flexibilidad de pago

Todo lo incluido en el plan Estándar
Pentesting perimetral externo (servicios expuestos a internet)
Pentesting interno básico (segmentación y privilegios)
Validación técnica real de las vulnerabilidades del informe
Sesión de devolución técnica adicional con tu IT/CISO
Soporte por email durante 90 días
Documentación de evidencias para auditoría externa, cliente final o NIS2

Reservar plan Extendido →

💡 Importante: el pentesting incluido en el plan Extendido cubre exposición externa estándar de PYME y red interna a nivel de segmentación. Si tu empresa requiere pentesting profundo de aplicaciones, OT/SCADA o red de planta industrial, lo cotizamos aparte.

Proceso

18 días desde la firma hasta el informe final.

Solo necesitamos 3-4 horas distribuidas de tu equipo (dirección, IT, responsable de protección de datos). El trabajo pesado lo hacemos nosotros.

Firma de NDA

Acuerdo de confidencialidad reforzado. Cubre datos comerciales, propiedad industrial y datos personales.

Día 1

Kick-off remoto

Sesión de 60-90 min con dirección, IT y DPO. Mapeo de sistemas críticos, prioridades y restricciones operativas.

Día 2 – 3

Trabajo de campo

Análisis técnico de los 18 controles, revisión documental, entrevistas y validación. (Pentesting si plan Extendido).

Día 4 – 14

Entrega y devolución

Informes ejecutivo y técnico, plan de remediación priorizado y reunión de cierre con dirección.

Día 18

Preguntas frecuentes

Lo que nos preguntan antes de firmar.

¿Por qué solo 6 auditorías al mes?

Porque cada auditoría CIS IG1+IG2 honesta requiere 50-80 horas de trabajo experto. Si aceptáramos 15 al mes con la misma calidad, necesitaríamos un equipo del doble de tamaño que ninguna consultora mantiene sin diluir el nivel. Preferimos cerrar plazas y mantener la calidad de los entregables.

¿Cuál es la diferencia entre IG1 e IG2?

IG1 (Essential Cyber Hygiene) son las 56 salvaguardas mínimas que toda organización debería implementar. IG2 añade 74 salvaguardas adicionales para empresas con datos sensibles o mayor complejidad operativa. La combinación IG1+IG2 — 130 salvaguardas — es el nivel adecuado para PYMEs medianas, empresas con exposición regulatoria (NIS2, sectores esenciales) o pymes pequeñas con clientes corporativos exigentes.

¿NIS2 me obliga a hacer esto?

NIS2 aplica desde octubre de 2024 a empresas medianas (50+ empleados o 10M€ de facturación) y a algunas pequeñas en sectores esenciales e importantes (energía, transporte, banca, salud, agua, infraestructura digital, fabricantes, alimentación, química, etc.). Aunque NIS2 no exige específicamente CIS Controls, sí exige un marco de gestión de riesgo demostrable. CIS Controls v8.1 IG1+IG2 cubre los requisitos del artículo 21 de NIS2 con evidencias documentadas y trazables.

¿Qué diferencia real hay entre el plan Estándar y el Extendido?

El Estándar te dice qué problemas tienes según el marco CIS y cómo solucionarlos. El Extendido lo demuestra técnicamente: hacemos pruebas controladas de explotación sobre tu perímetro externo y red interna básica, para que sepas qué vulnerabilidades son realmente explotables y cuáles son teóricas. La diferencia se nota especialmente al renovar póliza de ciberriesgo.

¿Vale la auditoría como evidencia para mi póliza de ciberriesgo?

Sí. CIS Controls es uno de los marcos más reconocidos por aseguradoras (junto con ISO 27001 y NIST CSF). Los entregables están preparados para presentarse como evidencia en cuestionarios de suscripción y renovación. En la práctica, las pymes que pasan una auditoría CIS IG1+IG2 documentada suelen mejorar las condiciones de prima entre un 15% y un 30%.

¿Tendremos que parar la operativa de la empresa?

No. Solo necesitamos 3-4 horas distribuidas de personal clave (dirección, responsable IT, responsable de protección de datos). El resto del trabajo se hace en remoto sin interferir con la operativa diaria de tu PYME. Si contratas el plan Extendido, el pentesting se ejecuta en ventanas acordadas previamente.

¿Es subvencionable?

Determinados componentes pueden encajar en programas como Kit Digital (segmento Ciberseguridad), ayudas INCIBE para PYME o líneas autonómicas. No gestionamos la subvención directamente, pero te entregamos toda la documentación técnica y económica para que la presente tu gestor o nuestro partner.

¿Y si el cupo del mes está lleno?

Te incluimos en lista de espera priorizada con precio bloqueado. Si alguien cancela, te avisamos al instante. Si no, confirmamos plaza para el mes siguiente sin cambio de precio.

Reserva una de las plazas disponibles este mes.

Cuéntanos en 30 segundos qué tipo de PYME diriges y te enviamos propuesta concreta en 24h laborables con el plan que mejor encaja con tu situación.

Solicitar propuesta personalizada →

Sin compromiso · Respuesta en 24h laborables · Si el cupo está cerrado te avisamos al instante