Casos difíciles resueltospor @alvaro.cisohace 79 d

Cliente cree que NIS2 no le aplica y sí le aplica. ¿Cómo lo argumentáis?

Logística mediana, ~300 empleados, ofrece servicios postales B2B. El CEO insiste que NIS2 es "para infraestructura crítica". Anexo I incluye servicios postales sin umbral mínimo si es "important entity". ¿Cómo le hacéis ver el riesgo sin asustarle? La sanción de hasta 7M€ no es teórica.

17 respuestas

Respuestas (17)

@irene.legalhace 78 d

Empieza por el self-assessment de la autoridad nacional. España publicó la guía y los criterios objetivos. Si los reúne (>50 empleados o turnover >10M€ + sector listado) la conversación cambia.

@pablo.devopshace 76 d

Yo lo enfoco con el coste del incident reporting: 24h early warning + 72h notification + 1 mes final report. Si no tienen IR capability eso son al menos 4-6 meses de runway operativo, no algo que se improvise.

@alvaro.cisohace 70 d

Buenísimo lo de "runway operativo". Le voy a presentar también las sanciones personales del Art. 20 — los directores reaccionan diferente cuando se habla de su responsabilidad.

@natalia.audithace 64 d

Si te sirve, tengo un one-pager para C-level con el mapping Art. 21 → controles operativos. Puedo compartirlo si me pides por privado.

@alvaro.cisohace 59 d

Ya cerré la propuesta. Acabaron contratando el assessment NIS2 + roadmap a 9 meses. Gracias a todos.

@partner_nis2hace 57 d

El argumento que mejor me funciona: les enseño el Anexo I/II y el criterio de tamaño. Si son medianos en un sector esencial o importante, aplica aunque no presten el servicio "directamente". La cadena de suministro arrastra.

@cyber_lawyerhace 52 d

Yo añado el factor responsabilidad de la dirección (art. 20). Cuando el CEO entiende que responde personalmente, deja de discutir si aplica o no.

@alvaro.cisohace 47 d

El art. 20 es el botón rojo, confirmado. Lo metí en la primera diapo y se acabó el debate.

@partner_nis2hace 41 d

Acabo de usar el argumento del art. 20 en un comité de dirección esta mañana. Funciona igual de bien que comentabais. Gracias al hilo.

@patricia.dpohace 31 d

Yo suelo llevarlo a negocio: no es “infraestructura crítica”, es cumplimiento por tipo de entidad y tamaño, y en postales B2B el encaje en Anexo I/criterio de mediana empresa les deja bastante expuestos. Para no meter miedo, les enseño dos escenarios: coste de adecuación razonable vs. sanción, interrupción operativa y, sobre todo, el riesgo de dirección del art. 20; suele bastar para que entiendan que el problema no es si les gusta NIS2, sino si quieren llegar tarde.

@pablo.devopshace 28 d

Yo suelo rematarlo con una frase muy simple: NIS2 no va de si eres “infraestructura crítica”, va de si encajas en sector + tamaño + prestación del servicio, y en postales B2B el encaje suele ser bastante defendible. Si quieren una referencia práctica, les enseño el artículo 2 y el anexo correspondiente, y les propongo una mini gap analysis de 2 semanas; cuando ven que el riesgo es gobernable y que el coste de no hacer nada puede incluir sanción y parón operativo, baja mucho la resistencia.

@cesar.sgsihace 26 d

Yo lo explico como “no es una cuestión de etiqueta, es de encaje normativo”: si prestáis servicios postales B2B y sois mediana empresa, el Anexo I os mete de lleno aunque el CEO no os vea como infraestructura crítica. Para bajar la tensión, suelo plantear un pre-check de aplicabilidad de 1-2 páginas con artículo 2, anexo y autoridad competente; así conviertes una discusión abstracta en una decisión de cumplimiento con riesgo acotado y calendario.

@compliance_leadhace 23 d

Yo lo suelo cerrar con una nota muy concreta: si encaja en Anexo I, la discusión no es “si somos críticos”, sino “si estamos dentro del perímetro y quién asume la responsabilidad”. En comité funciona mucho enseñar el art. 20 para dirección y el art. 21 para medidas: les haces ver que no es un susto teórico, sino gobernanza, diligencia y evidencia de control; con un precheck de aplicabilidad y un plan de 90 días suele bajar la fricción sin entrar en catastrofismo.

@silvia.partnerhace 16 d

Yo suelo decirlo así: no es un debate de “infraestructura crítica”, sino de encaje legal por actividad y tamaño; si prestan servicios postales B2B y son mediana empresa, el perímetro de NIS2 se defiende bastante bien con el art. 2 y el Anexo I. Para no asustar al CEO, le pondría delante dos hojas: riesgo de no hacer nada (sanción, art. 20 y posible impacto operativo) versus un gap assessment corto y un plan de remediación de 60-90 días; normalmente ahí se entiende que el coste de cumplir es mucho más controlable que el de discutirlo tarde.

@olga.bancahace 14 d

Yo lo suelo bajar a evidencia: les enseño que la discusión no es semántica, sino de encaje en art. 2 y Anexo I, y que en entidades “important” la supervisión y el régimen sancionador siguen siendo muy reales. Si además lo conectas con continuidad de servicio y con un gap assessment muy acotado, el CEO entiende rápido que no se trata de “ser infraestructura crítica”, sino de no llegar con una inspección o un incidente sin deberes hechos.

@irene.legalhace 10 d

Yo lo suelo plantear como una cuestión de exposición regulatoria, no de etiqueta: si sois mediana empresa y encajáis en servicios postales B2B, el debate no es si sois “críticos”, sino si estáis dentro del perímetro del art. 2 y el Anexo I de NIS2. Para que no suene a amenaza, les llevo un one-pager con 3 escenarios: aplicabilidad, obligaciones mínimas y coste de inacción; cuando ven que además el órgano de dirección responde por la supervisión (art. 20) y que la multa máxima no es humo, suelen pedir ellos mismos el precheck.

@legal_ai_acthace 7 d

Yo lo he resuelto más de una vez con el enfoque de “no discutimos si somos críticos, sino si estamos en el Anexo y por tanto tenemos deberes”. En comité funciona muy bien poner el riesgo en términos de continuidad operativa y responsabilidad de órgano de dirección, citando art. 2, Anexo I y art. 20, y rematando con un gap assessment de bajo coste: así ve el CEO que ignorarlo no es una postura conservadora, sino una apuesta innecesaria frente a una exposición sancionadora real.

Inicia sesión para responder y votar.