La Directiva NIS2 lleva meses en boca de muchas empresas en España, pero la pregunta real que recibimos en Expacom es siempre la misma: "¿Nos afecta a nosotros?". La respuesta corta es que afecta a más empresas de las que creen, incluyendo a proveedores de servicios IT y tecnológicos que dan soporte a sectores considerados críticos. Y la pregunta que viene justo después también es predecible: "¿Lo que tenemos en Microsoft 365 nos sirve de algo?". Aquí sí hay una buena noticia: una parte importante del camino hacia el cumplimiento NIS2 ya pymes Microsoft 365 lo tienen dentro de su licencia. La parte menos cómoda es que no es suficiente por sí solo.
Qué exige NIS2 en la práctica
NIS2 no es una normativa de papel. Establece obligaciones concretas en cinco ámbitos que las autoridades competentes pueden auditar: gobernanza y políticas de seguridad, gestión de riesgos y vulnerabilidades, detección y respuesta a incidentes, continuidad del negocio, y seguridad de la cadena de suministro. Las empresas afectadas deben poder demostrar que tienen controles activos en cada uno de estos bloques — no solo políticas escritas, sino evidencias técnicas de que funcionan.
El plazo de notificación de incidentes graves es otro dato que suele sorprender: la normativa exige una notificación inicial a la autoridad competente en 24 horas desde que se detecta el incidente. Eso no es posible sin herramientas de monitorización activa. No basta con enterarse de un ataque días después revisando logs a mano.
NIS2 exige notificar incidentes graves a las autoridades en un plazo máximo de 24 horas tras su detección, con un informe final completo a los 30 días. Sin monitorización centralizada, este plazo es prácticamente imposible de cumplir.
Lo que Microsoft 365 ya cubre
Si tu empresa utiliza Microsoft 365 — incluso en su plan Business Premium — tienes acceso a un conjunto de herramientas que cubre directamente varios de los requisitos técnicos de NIS2. La clave es saber cuáles están activados y cuáles no, porque la licencia los incluye pero la configuración predeterminada rara vez es suficiente.
Autenticación y control de accesos
Microsoft Entra ID (antes Azure AD) permite implementar autenticación multifactor (MFA) y políticas de Conditional Access que controlan quién accede, desde dónde y en qué condiciones. NIS2 exige explícitamente medidas de autenticación robusta para proteger el acceso a sistemas críticos. Si tienes licencias de Microsoft 365 Business Premium o superior, esta capacidad está incluida. El problema habitual no es la falta de herramienta, sino que MFA no está activado para todos los usuarios — especialmente para cuentas de proveedores externos con acceso a Teams o SharePoint.
Protección de datos y clasificación de información
Microsoft Purview, disponible en varios planes de Microsoft 365, permite clasificar documentos automáticamente, aplicar cifrado y configurar políticas DLP (prevención de pérdida de datos) que bloquean el envío de información sensible fuera de la organización. Esto cubre el requisito de NIS2 sobre confidencialidad e integridad de la información. Purview Compliance Manager, además, incluye una plantilla de evaluación específica para NIS2 que permite auditar el estado actual de los controles internos frente a la normativa.
Lo que Microsoft 365 no cubre
Aquí está el punto que más pymes pasan por alto: NIS2 no es solo tecnología. Y la parte que no es tecnología es responsabilidad exclusiva de la organización.
"Microsoft puede darte las herramientas, pero no puede poner a tu dirección a gestionar activamente la ciberseguridad. Eso es tuyo."
— Requisito de gobernanza NIS2, artículo 20La directiva exige que la alta dirección esté implicada activamente en la supervisión de la ciberseguridad — no como firmante de políticas, sino como responsable con conocimiento real del estado de los controles. Eso no lo cubre ninguna herramienta de Microsoft. Tampoco la formación continua del personal, los simulacros periódicos de incidente, ni los protocolos internos para saber quién llama a la autoridad cuando hay un problema grave y qué información debe facilitar.
La gestión de la cadena de suministro es otro punto ciego habitual. NIS2 obliga a auditar la postura de seguridad de tus proveedores críticos, no solo a controlar cómo acceden a tu entorno Microsoft. Si contratas servicios de un proveedor externo con acceso a datos sensibles, debes poder demostrar que tienes evidencias de sus medidas de seguridad — no solo que le has puesto Conditional Access.
Cómo plantear el gap de cumplimiento en tu empresa
El punto de partida más práctico para una pyme que quiere saber exactamente dónde está respecto a NIS2 es un Microsoft Security Solutions Assessment. Esta evaluación analiza el entorno Microsoft 365 y Azure de la empresa, detecta configuraciones inseguras, brechas de gobernanza y controles técnicos ausentes, y genera un informe con hallazgos priorizados. El resultado es una foto clara del estado actual y un plan de remediación concreto — no una lista genérica de recomendaciones.
Lo que ese Assessment no hace — y conviene tenerlo claro desde el principio — es resolver los bloques organizativos: la gobernanza interna, los planes de continuidad formal, los acuerdos con proveedores o los procedimientos de notificación a autoridades. Esos bloques requieren trabajo interno, y suelen ser los que más tiempo necesitan porque implican a personas, procesos y, en ocasiones, a la dirección general.
Si gestionas IT en una pyme española y NIS2 está en tu radar, el camino más eficiente es empezar por el diagnóstico técnico — aprovechando lo que ya tienes en Microsoft 365 — y usar los hallazgos para justificar ante la dirección los pasos organizativos que quedan pendientes. Ninguna herramienta resuelve el cumplimiento sola, pero sí puede darte los argumentos y las evidencias para avanzar con criterio. Contáctanos si quieres saber dónde está exactamente tu empresa.