La Directiva NIS2 ha generado un volumen creciente de preguntas entre integradores, instaladores y pymes técnicas que trabajan en seguridad electrónica, networking, comunicaciones IP y soluciones de infraestructura IT. No es extraño. Se habla de NIS2 en prensa, se menciona en presentaciones institucionales, aparece como referencia en eventos de ciberseguridad, pero en el punto de obra — donde se planifican cámaras, switches PoE, servidores NVR, control de accesos y soluciones de conectividad — todavía existe una sensación de “esto es algo de grandes operadores, no va con nosotros”. Esta percepción es errónea. En 2025, incluso sin transposición final publicada en BOE — el impacto indirecto de NIS2 ya se está notando en la forma en que se redactan pliegos, condiciones de mantenimiento, responsabilidad contractual y homologación de proveedores.
Es decir: aunque una pyme integradora no sea “entidad esencial” ni “entidad importante” según la clasificación formal NIS2, sí puede quedar obligada a cumplir exigencias derivadas a través de un cliente que sí lo sea. Y esa cadena de responsabilidad es la que obliga a profesionalizar la entrega documental y la ciberhigiene técnica incluso en empresas pequeñas.
Qué cambia realmente con NIS2
NIS2 no es un manual técnico. No es una receta. Es un marco de obligaciones mínimas en seguridad para sectores considerados relevantes para el funcionamiento del Estado y la sociedad. Lo relevante para una pyme no es memorizar el articulado, es entender el principio operativo de NIS2: ya no basta con ofrecer disponibilidad técnica de servicio, se exige que la cadena de suministro incorpore seguridad verificable y rastreable. NIS2 introduce explícitamente responsabilidad de la dirección, gestión de riesgos de proveedores y atención a configuraciones seguras. Esto traslada el foco desde “instalar” hacia “implantar con seguridad”.
Para un integrador, esto tiene un efecto directo: determinados clientes pasarán a exigir documentación previa al proveedor, controles básicos de configuración, procedimientos de gestión de credenciales, y en algunos casos, evidencias de cumplimiento mínimo en hardening.
Qué sectores arrastran obligaciones hacia los proveedores técnicos
No todos los sectores activan exigencias sobre sus proveedores de forma inmediata, pero algunos ya las arrastran en 2025 de forma operativa. Los sectores que previsiblemente generarán más fricción y solicitud de evidencias a pymes integradoras son:
– salud
– administración pública
– agua y residuos
– energía
– transporte y logística
– banca / financiero
– grandes operadores de telecomunicaciones
– tratamiento de datos críticos / centros de datos
Una pyme que instala cámaras y switches en una comunidad de vecinos probablemente no note nada. Pero una pyme que instala NVRs y switches en un hospital comarcal, en un ayuntamiento, o en un operador logístico — sí puede ver aparecer de forma inmediata plantillas de “security baseline” o “standard hardening checklist” asociadas a NIS2.
Qué tipo de documentación mínima se puede empezar a preparar ya
Aunque la transposición final de NIS2 se adapte a la estructura jurídica española, la realidad operativa es que hay cuatro grandes bloques documentales que todo integrador serio debería empezar a estandarizar:
1. Gestión de credenciales y acceso
Registrar quién entrega credenciales, qué credenciales se entregan y durante cuánto tiempo el proveedor mantiene acceso temporal.
2. Diseño de red y segmentación mínima razonable
Documentar, aunque sea esquemáticamente, la separación lógica entre red de CCTV y la red de producción del cliente. Esto no implica necesidad de VLANs complejas en todos los casos, pero sí implica evidencia de que se ha considerado segmentación básica.
3. Hardening de dispositivos expuestos o accesibles remotamente
No es lo mismo entregar un NVR expuesto con P2P sin restricciones que entregar un NVR con acceso VPN o TLS. Un instalador profesional debería poder justificar por qué adopta una u otra medida técnica.
4. Registro de versiones y actualizaciones de firmware
No hace falta convertirse en auditor CIS, pero sí conviene dejar constancia de versiones de firmware en entrega, de modo que si un cliente exige actualización posteriormente, esa necesidad quede identificada como parte concreta de un nuevo servicio, no como obligación implícita retroactiva.
Este tipo de documentación no solo prepara para NIS2; genera una percepción de proveedor maduro.
Qué preguntas de presupuesto van a aparecer en 2025
En pliego o en RFP (Request for Proposal) se empezarán a ver con más frecuencia preguntas como:
– ¿Cómo gestiona la pyme el acceso remoto?
– ¿Qué controles básicos de cifrado utiliza?
– ¿Se verifica integridad del firmware antes de puesta en marcha?
– ¿Se garantiza borrado seguro tras sustitución de disco en un NVR o servidor?
– ¿Existe procedimiento de entrega segura de credenciales al responsable final?
Estas preguntas no son teoría. Ya están apareciendo en consultas de precontratación en ámbitos municipales y sanitario.
Por qué NIS2 favorece al integrador profesional frente al instalador “bajo coste”
Cuando una administración o un operador logístico incorpora criterios de riesgo y responsabilidad, el coste ya no es la variable principal. Lo importante es que la instalación sea defendible. Lo importante es poder demostrar que se pensó, se configuró y se documentó con criterio. Y eso cambia el mercado. La pyme barata basada en maqueta de “instalo cámaras por menos dinero” no puede competir contra alguien que entrega:
– esquema de red
– fichas de firmware
– criterios de retención
– lista de credenciales entregadas
– identificación de responsable del tratamiento
Cuando la conversación se desplaza del precio al riesgo, gana quien demuestra madurez operativa. NIS2 es, en ese sentido, una oportunidad competitiva para quien quiera posicionarse como integrador.
Cómo preparar proyectos para no quedar excluido de licitaciones
El motivo por el que muchas pequeñas integradoras quedan fuera de proyectos públicos no es tecnológico, es documental. El estándar mínimo para no quedar fuera es:
– entregar siempre credenciales en sobre cerrado o vía segura
– documentar topología y retención
– justificar por qué se usa el acceso remoto que se usa
– registrar versiones de firmware
Esto no requiere inversión económica. Requiere método. Una pyme puede incorporar este método en una sola página de plantilla que se imprime en cada entrega.
Qué no es NIS2
NIS2 no es una tabla de endurecimiento homogénea. No es un manual de cableado. No es un recetario único para todas las arquitecturas. Es un marco de responsabilidad. La clave operativa está en que el proveedor debe poder explicar por qué eligió una configuración, y debe poder evidenciar que esa elección responde a necesidad, proporcionalidad y seguridad razonable.
Conclusión
NIS2 no es un problema para las pymes técnicas; es un filtro de madurez. A partir de 2025, los integradores que sepan convertir su entrega técnica en entrega defendible serán los que tengan más visibilidad en proyectos donde hay riesgo reputacional o supervisión pública. No es necesario esperar a la transposición para prepararse. Basta con empezar a documentar de forma sistemática lo que ya se hace: topología, credenciales, firmware y justificación de retención. La competitividad futura no se juega en el precio de la caja, sino en la capacidad de demostrar trazabilidad técnica. NIS2 no es un obstáculo. Es una ventaja para quien trabaja con método.