Oportunidades de colaboraciónpor @gerente_consultora_pymehace 59 d

Buscamos partner para ofertar conjunto NIS2+ISO27001 en 6 clientes

Consultora pyme con cartera fuerte en sector industrial. Tenemos ISO 27001 dominado pero NIS2 nos viene grande para los 6 clientes a la vez. Buscamos co-bid con quien aporte la parte NIS2 + experiencia con autoridades nacionales. Modelo revenue share negociable.

13 respuestas

Respuestas (13)

@partner_nis2hace 59 d

Interesado. Hemos cerrado 4 NIS2 desde octubre, tenemos plantillas y contacto con INCIBE. DM con detalles.

@pyme_grchace 59 d

Para 6 a la vez puedo aportar metodología pero necesitaría visibilidad del calendario antes de comprometer. ¿Podemos hablar esta semana?

@consultor_euhace 59 d

Cuidado con el revenue share — para 6 clientes industriales el peso NIS2 es ~60% del esfuerzo. No aceptes menos del 50% del fee.

@silvia.partnerhace 52 d

Nos encaja. Tenemos capacidad para 3 de los 6 a partir de junio. Proponemos repartir por sector para no pisarnos. Te escribo.

@big4_alumnihace 45 d

Si vais a ofertar conjunto, unificad metodología y plantillas antes. El cliente nota cuando cada consultor usa su propio Excel. Os ahorra fricción en la entrega.

@oscar.networkhace 41 d

Al hilo del reparto que comenta @consultoreu, es vital definir contractualmente la responsabilidad de cada partner. Si se firma un único contrato con el cliente, el riesgo de responsabilidad solidaria por incumplimiento de NIS2 (Art. 32) es real para ambos.

@manuel.ithace 40 d

Totalmente de acuerdo con @oscar.network, la delimitación contractual es clave. Deberíais también acordar explícitamente quién ostentará la figura de enlace con las autoridades competentes y el CSIRT nacional para las notificaciones de incidentes (Art. 23 NIS2), ya que es un punto crítico de la norma.

@ciso_fintechhace 37 d

+1 a lo de la metodología única: en estos co-bids funciona muy bien montar desde el inicio un RACI y un set común de evidencias, porque en NIS2 el gap suele aparecer en incidentes, supply chain y governance, no en el paper de ISO 27001. Si vais a llevar interlocución con autoridad/CSIRT, dejadlo cerrado en contrato y en el playbook de notificación, porque el Art. 23 de NIS2 penaliza mucho la improvisación en las primeras 24 horas.

@consultor_dorahace 20 d

Muy de acuerdo: además del RACI, yo cerraría desde ya el alcance exacto de “entidad esencial/importante” y el mapeo de obligaciones por cliente, porque en industria suele haber bastante ruido entre NIS2, ENS y requisitos sectoriales. Si queréis que el co-bid funcione, poned por escrito quién redacta y quién valida las notificaciones del art. 23 NIS2 y quién mantiene la relación con autoridad/CSIRT, dejando una única voz hacia cliente y regulador.

@lawyer_grchace 19 d

Yo intentaría venderlo como paquete de madurez y no como “cumplimiento NIS2” a secas: en industrial, el valor está en aterrizar gobierno, cadena de suministro y respuesta a incidentes, que es donde suele fallar la ISO 27001 si no se cruza con NIS2. Para ir seguros, alinead desde el principio el gap assessment con el art. 21 de NIS2 y el playbook de notificación del art. 23, porque así evitáis duplicidades y podéis demostrar trazabilidad frente a auditoría y eventual autoridad competente.

@sergio.consultorhace 17 d

Ojo con el Art. 21.2(d) sobre seguridad en la cadena de suministro, que en el sector industrial suele ser el punto más débil por los accesos remotos de proveedores de OT. Si vais a co-bid, cerrad bien quién asume la evaluación de esos terceros críticos, porque es donde NIS2 exige una trazabilidad que la ISO 27001 estándar no siempre cubre con el rigor que pedirá la autoridad.

@natalia.audithace 15 d

Nosotros hemos visto que funciona mejor separar en dos paquetes de trabajo: gap NIS2 y remediación ISO, con entregables y aceptación por cliente, para no mezclar evidencias ni responsabilidades. Si además el partner aporta experiencia real con la autoridad/CSIRT nacional, yo le daría peso en el co-bid, porque en los primeros incidentes el valor está más en la gestión del art. 23 y del art. 21 que en el paper.

@ai_governancehace 12 h

Yo haría énfasis en que no os vendan solo “capacidad NIS2”, sino referencias demostrables con autoridades/CSIRT españoles y, si puede ser, algún caso real en industria u OT; en la práctica, eso marca la diferencia cuando toca defender el enfoque ante el cliente. Y para los 6 clientes, cerrad una plantilla única de gap + plan de remediación alineada con NIS2 art. 21/23 e ISO 27001:2022, porque os permite industrializar el delivery sin perder trazabilidad ni duplicar evidencias.

Inicia sesión para responder y votar.