Ciberseguridad con criterio jurídico-técnico.
Consultoria independiente de marketing, cumplimiento normativo (ISO, ENS, RGPD), digitalizacion y ventas B2B desde Aranda de Duero (Castilla y Leon) para toda Espana.
RGPD, NIS2, DORA, análisis de riesgos MAGERIT, plan director de seguridad, gestión de incidentes y delegado de protección de datos. Para empresas privadas, AAPP y proveedores de servicios esenciales.
Cumplimiento normativo sin papeleo inútil.
La normativa española y europea en ciberseguridad ha crecido enormemente: RGPD (2018), LOPDGDD (2018), Esquema Nacional de Seguridad (2010 + actualización 2022), NIS2 (transposición 2024-25), DORA (2025). Cada una con su ámbito subjetivo y sus exigencias específicas.
Mi trabajo: ayudarte a saber qué te aplica realmente, en qué orden afrontar el cumplimiento, qué controles son críticos y cuáles son cosméticos, y cómo demostrarlo cuando toque auditoría.
Artículos publicados sobre ciberseguridad.
RGPD para empresas · Cumplimiento y sanciones
RGPD para pymes · Cumplir en 10 pasos
Delegado de protección de datos · DPO obligatorio y funciones
Evaluación de impacto en protección de datos
Normativa ciberseguridad España · RGPD, ENS, NIS2, DORA
Plan director de seguridad · Estrategia ciberseguridad
Plan ciberseguridad pymes · 20 medidas esenciales
Auditoría de ciberseguridad · Evaluación completa
Consultoría ciberseguridad · Servicios y costes
Ransomware · Prevención, detección y recuperación
Seguridad correo · SPF, DKIM, DMARC anti-phishing
Seguridad en la nube · Protección datos cloud empresas
Resumen ejecutivo · TL;DR
La ciberseguridad para una pyme española en 2026 combina cumplimiento normativo (RGPD, ENS si AAPP, NIS2 si esencial/importante, DORA si financiero), controles técnicos (MFA, cifrado, backups, SIEM, EDR), plan director de seguridad multi-anual y formación continua al equipo. Coste medio para pyme 10-50 emp: 8.000-25.000 € de implantación inicial + 200-800 €/mes de mantenimiento. INCIBE y CCN-CERT son las autoridades de referencia.
Preguntas frecuentes en profundidad
¿Qué normativa de ciberseguridad obliga a una pyme española en 2026?
Cinco bloques. RGPD + LOPDGDD universal para tratamiento de datos personales. ENS si la pyme es proveedora del sector público (RD 311/2022, obligatorio desde 2024). NIS2 si la pyme es esencial o importante en sectores críticos (energía, agua, sanidad, alimentación, infraestructura digital). DORA si es entidad financiera o proveedor TIC crítico del sector financiero. EU AI Act si desarrolla o usa IA en categorías Anexo III. Las multas combinadas pueden alcanzar 20 M€ o 4 % facturación anual.
¿Por dónde empezar a montar la ciberseguridad de una pyme?
Orden recomendado. (1) Inventario de activos: servidores, datos sensibles, terceros con acceso. (2) Análisis de riesgos básico (criticidad × probabilidad). (3) Controles fundamentales: MFA obligatorio, cifrado de datos en reposo y tránsito, copias de seguridad cifradas con prueba de restauración mensual, control de acceso por roles. (4) Plan de respuesta a incidentes documentado y simulado. (5) Formación obligatoria al equipo (mínimo 8 horas) actualizada cada 12 meses.
¿Cuánto cuesta proteger ciberseguramente una pyme española?
Bandas realistas. Implantación inicial (10-30 empleados): 8.000-15.000 €. Mid-market (30-100 empleados): 15.000-35.000 €. Mantenimiento: 200-500 €/mes pyme · 500-1.500 €/mes mid-market. Auditoría externa (pentest, red team): 3.000-15.000 € por ejercicio según alcance. SIEM/EDR gestionado (MSSP): 8-25 €/usuario/mes.
¿Qué es el Plan Director de Seguridad y cómo se hace?
Hoja de ruta 24-36 meses que alinea ciberseguridad con negocio. Cinco entregables clave: política de seguridad de información, organización (roles + responsabilidades), análisis de riesgos consolidado, plan de tratamiento de riesgos priorizado, plan económico-financiero. Se revisa cada 6 meses. Coste típico para pyme: 4.000-9.000 € por elaboración + revisión semestral 1.000-2.500 €. Cobre los pilares NIS2 y DORA si aplican.
¿Qué pasa si una pyme sufre un ciberincidente sin estar preparada?
Tres niveles de impacto. Operativo: ransomware paraliza producción 1-15 días; coste medio paralización pyme española 2026: 35.000-180.000 € según sector. Reputacional: brecha pública = pérdida 15-30 % de clientes en sectores B2B sensibles. Sancionador: AEPD multas RGPD (5.000-300.000 € para pyme), incumplimiento NIS2 multas hasta 10 M€ o 2 % facturación. Notificación obligatoria en 72 h a AEPD y 24 h a CSIRT/CCN-CERT para entidades NIS2.
FAQ rápidas
Lo que más nos preguntan
¿Qué normativa de ciberseguridad obliga a una pyme española en 2026?
Cinco bloques. RGPD + LOPDGDD universal para tratamiento de datos personales. ENS si la pyme es proveedora del sector público (RD 311/2022, obligatorio desde 2024). NIS2 si la pyme es esencial o importante en sectores críticos (energía, agua, sanidad, alimentación, infraestructur
¿Por dónde empezar a montar la ciberseguridad de una pyme?
Orden recomendado. (1) Inventario de activos: servidores, datos sensibles, terceros con acceso. (2) Análisis de riesgos básico (criticidad × probabilidad). (3) Controles fundamentales: MFA obligatorio, cifrado de datos en reposo y tránsito, copias de seguridad cifradas con prueba
¿Cuánto cuesta proteger ciberseguramente una pyme española?
Bandas realistas. Implantación inicial (10-30 empleados): 8.000-15.000 €. Mid-market (30-100 empleados): 15.000-35.000 €. Mantenimiento: 200-500 €/mes pyme · 500-1.500 €/mes mid-market. Auditoría externa (pentest, red team): 3.000-15.000 € por ejercicio según alcance. SIEM/EDR ge
¿Qué es el Plan Director de Seguridad y cómo se hace?
Hoja de ruta 24-36 meses que alinea ciberseguridad con negocio. Cinco entregables clave: política de seguridad de información, organización (roles + responsabilidades), análisis de riesgos consolidado, plan de tratamiento de riesgos priorizado, plan económico-financiero. Se revis
¿Qué pasa si una pyme sufre un ciberincidente sin estar preparada?
Tres niveles de impacto. Operativo: ransomware paraliza producción 1-15 días; coste medio paralización pyme española 2026: 35.000-180.000 € según sector. Reputacional: brecha pública = pérdida 15-30 % de clientes en sectores B2B sensibles. Sancionador: AEPD multas RGPD (5.000-300
Artículos sobre Ciberseguridad
Auditoría de Ciberseguridad: Evaluación Completa
Una auditoría de ciberseguridad evalúa controles técnicos y organizativos mediante pentesting, OSINT y análisis de vulnerabilidades. Coste pyme: 3.000-15.000 €. Resumen ejecutivo…
CiberseguridadConsultoría Ciberseguridad Empresas: Servicios y Costes
La consultoría de ciberseguridad incluye auditoría, pentesting, plan director y CISO externo. Honorarios típicos: 4.000-25.000€ por proyecto. Resumen ejecutivo · TL;DR Una…
CiberseguridadPlan Director de Seguridad: Estrategia Ciberseguridad
El Plan Director de Seguridad define la estrategia de ciberseguridad a 24-36 meses, priorizando proyectos según análisis de riesgos y madurez actual.…
CiberseguridadRansomware: Prevención, Detección y Recuperación
El ransomware cifra datos y exige rescate. La defensa eficaz combina copias inmutables 3-2-1-1-0, EDR, segmentación, MFA y plan de respuesta. Resumen…
CiberseguridadSeguridad Email Empresarial: SPF, DKIM, DMARC
SPF autoriza servidores de envío, DKIM firma los mensajes y DMARC define la política ante fallos. Los tres protegen el dominio del…
CiberseguridadSeguridad en la Nube: Protección Datos Cloud Empresas
La seguridad en la nube aplica modelo de responsabilidad compartida: el proveedor protege la infraestructura y el cliente, identidades y datos. Resumen…
CiberseguridadPlan Ciberseguridad PYMEs: 20 Medidas Esenciales
Un plan de ciberseguridad PYME combina 20 medidas básicas: MFA, copias 3-2-1, EDR, formación, parches, control de accesos y respuesta a incidentes.…
CiberseguridadEIPD Evaluación de Impacto Protección Datos: Guía
La EIPD (Evaluación de Impacto en Protección de Datos) es obligatoria cuando el tratamiento implica alto riesgo para el interesado (art. 35…
CiberseguridadDPO Delegado Protección Datos: Obligatorio y Funciones
El DPO (Delegado de Protección de Datos) es obligatorio en organismos públicos y empresas con tratamiento masivo o sensible (art. 37 RGPD).…
CiberseguridadRGPD para PYMEs: Cumplimiento en 10 Pasos
Las PYMEs cumplen RGPD documentando registro de actividades, cláusulas informativas, contratos con encargados y medidas técnicas en 10 pasos clave. Si tú…
CiberseguridadNormativa Ciberseguridad España: RGPD, ENS, NIS2, DORA
La normativa española de ciberseguridad incluye RGPD, ENS (RD 311/2022), NIS2 (Directiva UE 2022/2555), DORA y la futura Ley de IA europea.…
CiberseguridadRGPD para Empresas: Guía Completa Cumplimiento 2026
El RGPD (Reglamento UE 2016/679) obliga a empresas españolas a proteger datos personales, con sanciones de hasta 20 M€ o 4% de…