{"id":14731,"date":"2025-11-18T13:17:27","date_gmt":"2025-11-18T13:17:27","guid":{"rendered":"https:\/\/olivia.es\/?p=14731"},"modified":"2025-11-18T13:17:28","modified_gmt":"2025-11-18T13:17:28","slug":"nis2-para-pymes-espanolas-lo-que-de-verdad-cambia-en-tu-erp-y-por-que-no-puedes-dejarlo-en-manos-solo-de-it","status":"publish","type":"post","link":"https:\/\/olivia.es\/ca\/nis2-para-pymes-espanolas-lo-que-de-verdad-cambia-en-tu-erp-y-por-que-no-puedes-dejarlo-en-manos-solo-de-it\/","title":{"rendered":"NIS2 para PYMEs espa\u00f1olas: lo que de verdad cambia en tu ERP (y por qu\u00e9 no puedes dejarlo en manos solo de IT)"},"content":{"rendered":"

Alrededor de 160.000 compa\u00f1\u00edas europeas<\/strong> tendr\u00e1n obligaciones directas bajo NIS2, diez veces m\u00e1s que con la normativa anterior. Para muchas PYMEs espa\u00f1olas que usan Dynamics 365 Business Central, esto no es una \u201cnorma m\u00e1s de ciberseguridad\u201d: es el punto en el que el regulador entra, de facto, hasta el coraz\u00f3n de tu ERP y te pide trazabilidad, gobernanza y capacidad real de respuesta cuando algo sale mal.<\/p>\n

Si eres director de operaciones, CFO o responsable de IT, NIS2 no te pregunta si te interesa; te pregunta cu\u00e1nto riesgo quieres asumir a partir de ahora, sabiendo que las multas pueden llegar a 10 millones de euros o el 2 % de la facturaci\u00f3n<\/strong> para entidades esenciales, y hasta 7 millones o el 1,4 %<\/strong> para las importantes.<\/p>\n

<\/h2>\n

1. NIS2: qui\u00e9n entra en el radar y por qu\u00e9 una PYME deber\u00eda preocuparse<\/h2>\n

NIS2 (Directiva (UE) 2022\/2555) es el nuevo marco europeo para elevar el nivel m\u00ednimo de ciberseguridad en 18 sectores cr\u00edticos: energ\u00eda, transporte, banca, salud, agua, infraestructuras digitales, servicios digitales, residuos, alimentaci\u00f3n, fabricaci\u00f3n de productos clave, entre otros. La l\u00f3gica es sencilla: si tu actividad o la de tus clientes es cr\u00edtica para la econom\u00eda, ya no vale con \u201ctener antivirus y copias de seguridad\u201d; te obligan a demostrar gesti\u00f3n de riesgo seria.<\/p>\n

En la pr\u00e1ctica, la directiva se aplica, como norma general, a empresas medianas y grandes<\/strong> (a partir de 50 empleados y 10 millones de euros de facturaci\u00f3n), aunque permite incluir empresas m\u00e1s peque\u00f1as si son especialmente cr\u00edticas o est\u00e1n en determinados eslabones de la cadena de suministro. Eso significa que muchas PYMEs espa\u00f1olas que usan Business Central entran de lleno como entidades \u201cimportantes\u201d, y otras, aunque no est\u00e9n directamente bajo NIS2, se ver\u00e1n presionadas por sus clientes regulados v\u00eda contratos, auditor\u00edas y requisitos de seguridad.<\/p>\n

En Espa\u00f1a, el anteproyecto de ley NIS2 ya est\u00e1 aprobado, el r\u00e9gimen de sanciones est\u00e1 definido y la transposici\u00f3n avanza, aunque con retraso respecto a la fecha l\u00edmite europea. Traducido: la discusi\u00f3n pol\u00edtica puede moverse, pero el sentido de fondo no va a cambiar. Si est\u00e1s esperando a que la ley est\u00e9 \u201ccerrada del todo\u201d para actuar, vas tarde.<\/p>\n

2. Del papel al ERP: por qu\u00e9 NIS2 se juega en Business Central<\/h2>\n

La directiva habla de medidas t\u00e9cnicas y organizativas \u201cadecuadas y proporcionadas\u201d<\/strong> para gestionar el riesgo de ciberseguridad: an\u00e1lisis de riesgo, gesti\u00f3n de incidentes, continuidad de negocio, seguridad de la cadena de suministro, pruebas y auditor\u00edas, criptograf\u00eda, formaci\u00f3n, control de accesos y uso de MFA, entre otras diez medidas m\u00ednimas.<\/p>\n

En una PYME, el sistema que concentra m\u00e1s riesgo operativo y regulatorio es casi siempre el ERP:<\/p>\n

Ah\u00ed se decide qui\u00e9n puede crear proveedores, cambiar cuentas bancarias o aprobar pagos.\u00a0 Se registra qu\u00e9 pedidos se han servido, qu\u00e9 lotes se han enviado y qu\u00e9 trazabilidad puedes demostrar a un auditor o a un regulador. Se cruzan usuarios internos, integraciones con otras aplicaciones, servicios en la nube y, muchas veces, terceros que acceden (consultores, outsourcers, etc.).<\/p>\n

Por eso, si quieres tomarte NIS2 en serio, Business Central deja de ser \u201csolo un sistema de gesti\u00f3n\u201d<\/strong> y pasa a ser un activo regulado: tienes que poder demostrar c\u00f3mo lo proteges, c\u00f3mo lo monitorizas y c\u00f3mo reaccionas ante incidentes que lo afecten.<\/p>\n

3. Gobernanza y roles: del \u201cusuario gen\u00e9rico\u201d a la responsabilidad personal<\/h2>\n

NIS2 introduce una idea que preocupa (y con raz\u00f3n) a cualquier comit\u00e9 de direcci\u00f3n: la responsabilidad de la alta direcci\u00f3n<\/strong> en materia de ciberseguridad. Los administradores pueden responder personalmente si no ponen los medios razonables para gestionar el riesgo.<\/p>\n

A nivel de ERP, esto exige dejar atr\u00e1s el modelo de \u201cIT decide los permisos y el resto conf\u00eda\u201d y pasar a un modelo con m\u00e1s responsabilidad de negocio:<\/p>\n

Por un lado, necesitas propietarios de proceso<\/strong>: el CFO es responsable de c\u00f3mo se usan los m\u00f3dulos financieros; el director de operaciones, de compras, producci\u00f3n o log\u00edstica; cada uno define qu\u00e9 se puede y qu\u00e9 no se puede hacer desde el ERP en su \u00e1rea. Por otro, hace falta una gobernanza de roles<\/strong> clara: al menos una vez al a\u00f1o (NIS2 te empuja a hacerlo con m\u00e1s frecuencia), revisas y apruebas formalmente qu\u00e9 puede hacer cada rol en Business Central, qui\u00e9n tiene permisos de administrador y qu\u00e9 accesos son \u201cde emergencia\u201d con controles adicionales.<\/p>\n

Y, en el centro de todo, la segregaci\u00f3n de funciones (SoD)<\/strong>: nadie deber\u00eda ser capaz de dise\u00f1ar el fraude perfecto desde un \u00fanico usuario. El mismo rol no deber\u00eda poder crear un proveedor, cambiarle el IBAN y autorizar el pago. Esto se resuelve combinando roles bien definidos, flujos de aprobaci\u00f3n y, cuando hace falta, extensiones espec\u00edficas.<\/p>\n

Si hoy sigues teniendo usuarios tipo \u201cCONTABILIDAD\u201d, compartidos entre tres personas, o \u201cALMACEN\u201d con acceso global, no est\u00e1s lejos de NIS2: est\u00e1s en las ant\u00edpodas.<\/p>\n

4. Aterrizando las medidas de NIS2 en Business Central<\/h2>\n

4.1. Segregaci\u00f3n de funciones y control de acceso<\/h3>\n

Una de las diez medidas m\u00ednimas de NIS2 agrupa seguridad de recursos humanos, control de accesos y gesti\u00f3n de activos<\/strong> como elementos obligatorios de la gesti\u00f3n de riesgo. En Business Central esto se traduce en tres decisiones operativas muy concretas.<\/p>\n

Primero, dise\u00f1ar una matriz de roles<\/strong> basada en tareas de negocio, no en personas. En lugar de \u201cusuario de administraci\u00f3n\u201d, deber\u00edas tener roles como \u201cAP \u2013 registro de facturas\u201d, \u201cTesorer\u00eda \u2013 ejecuci\u00f3n de pagos\u201d, \u201cCompras \u2013 altas de proveedores\u201d, cada uno con permisos m\u00ednimos necesarios (principio de m\u00ednimo privilegio).<\/p>\n

Segundo, reforzar la segregaci\u00f3n de funciones cr\u00edtica<\/strong>: por ejemplo, que la persona que da de alta un proveedor no sea quien modifica sus datos bancarios ni quien ejecuta el pago. Estas restricciones se configuran combinando permisos, flujos de aprobaci\u00f3n y, cuando hace falta, reglas adicionales v\u00eda extensiones o soluciones de terceros si el est\u00e1ndar no te llega.<\/p>\n

Tercero, gestionar los superusuarios<\/strong> como un riesgo en s\u00ed mismo. NIS2 no proh\u00edbe los administradores, pero espera que su uso sea excepcional, trazado y revisado. En Business Central conviene limitar el rol de \u201cSUPER\u201d a muy pocas cuentas, con accesos revisados y uso restringido a tareas claramente definidas (parametrizaci\u00f3n, emergencia, etc.).<\/p>\n

4.2. MFA y autenticaci\u00f3n reforzada: puerta de entrada bajo control<\/h3>\n

Otra de las medidas expl\u00edcitas en NIS2 es el uso de autenticaci\u00f3n multifactor<\/strong> o mecanismos equivalentes. No es opcional ni \u201crecomendable\u201d: es baseline.<\/p>\n

Con Business Central online, el camino es muy claro: el ERP se integra con Microsoft Entra ID<\/strong> (antes Azure AD), donde puedes exigir MFA para todos los usuarios o, como m\u00ednimo, para roles sensibles, mediante pol\u00edticas de acceso condicional. T\u00e9cnicamente es sencillo, pero a nivel de negocio implica varias decisiones que suelen bloquear proyectos.<\/p>\n

En primer lugar, implica eliminar usuarios compartidos<\/strong>: cada usuario debe ser nominal, con su propio factor adicional (app de autenticaci\u00f3n, SMS, llamada, llave f\u00edsica\u2026). En segundo lugar, te obliga a formalizar un procedimiento para altas, bajas y cambios<\/strong>: cuando alguien entra, se mueve de puesto o se va, sus credenciales y factores deben activarse, adaptarse o revocarse de forma controlada y documentada. Por \u00faltimo, obliga a gestionar los accesos externos<\/strong> (consultores, partners, BPO) con su propia identidad, nunca con usuarios internos \u201cprestados\u201d.<\/p>\n

Desde la perspectiva de un CFO o COO, la pregunta inc\u00f3moda pero honesta es: \u201c\u00bfHoy podr\u00eda un ex empleado seguir entrando a nuestro Business Central desde su casa sin que nadie se d\u00e9 cuenta?\u201d. Si la respuesta no es un \u201cno\u201d rotundo, tienes un incumplimiento material de las exigencias de NIS2.<\/p>\n

4.3. Auditor\u00edas y logs: menos ruido, m\u00e1s evidencia \u00fatil<\/h3>\n

NIS2 insiste en la necesidad de registros que permitan detectar incidentes y reconstruir lo sucedido<\/strong>, as\u00ed como en la evaluaci\u00f3n peri\u00f3dica de la eficacia de las medidas de seguridad. En Business Central, el reto no es solo activar logs, sino dise\u00f1arlos para que realmente sirvan.<\/p>\n

Operativamente, tiene sentido separar tres capas de registro:<\/p>\n

Por un lado, un change log funcional<\/strong>: qu\u00e9 cambios se han hecho en tablas relevantes (por ejemplo, datos maestros de clientes, proveedores, productos, cuentas bancarias, usuarios). Aqu\u00ed es donde demuestras qui\u00e9n cambi\u00f3 el IBAN de un proveedor antes de un fraude.<\/p>\n

Por otro, la telemetr\u00eda t\u00e9cnica<\/strong>: eventos de sesi\u00f3n, errores, ejecuciones an\u00f3malas, integraciones que fallan\u2026 Business Central puede enviar telemetr\u00eda a servicios de monitorizaci\u00f3n o a un SIEM corporativo, donde se cruzan se\u00f1ales de ERP con otros sistemas para detectar comportamientos sospechosos.<\/p>\n

Finalmente, las trazas de administraci\u00f3n<\/strong>: qui\u00e9n crea usuarios, qui\u00e9n asigna permisos, qui\u00e9n restaura copias, qui\u00e9n cambia par\u00e1metros clave. Esta capa es cr\u00edtica para demostrar que no hay uso abusivo de privilegios.<\/p>\n

El error t\u00edpico es activar el change log \u201ca lo bruto\u201d y acabar con millones de entradas imposibles de revisar. El enfoque alineado con NIS2 es definir qu\u00e9 procesos son cr\u00edticos<\/strong> y registrar solo aquello que soporta tus casos de detecci\u00f3n y auditor\u00eda, con pol\u00edticas claras de retenci\u00f3n y revisi\u00f3n peri\u00f3dica.<\/p>\n

4.4. Copias de seguridad e inmutabilidad: dise\u00f1ar para el ransomware<\/h3>\n

El regulador asume que el ransomware y otros incidentes graves no son una posibilidad remota, sino un escenario a gestionar. NIS2 exige medidas de continuidad de negocio, incluidas copias de seguridad robustas y recuperables.<\/p>\n

Aqu\u00ed conviene recordar una verdad inc\u00f3moda: en entornos Microsoft 365, Microsoft garantiza la disponibilidad del servicio<\/strong>, pero no sustituye la responsabilidad de tus copias de seguridad, y la recomendaci\u00f3n de buenas pr\u00e1cticas es externalizar backups y dotarlos de inmutabilidad.<\/p>\n

En Business Central, el m\u00ednimo razonable en clave NIS2 para una PYME ser\u00eda algo como esto: si est\u00e1s en Business Central SaaS<\/strong>, complementar las capacidades nativas de Microsoft con una soluci\u00f3n de backup externa que exporte datos y, cuando proceda, snapshots a almacenamiento inmutable (por ejemplo, blob con bloqueo de escritura) en otra suscripci\u00f3n o incluso otro proveedor cloud. Si est\u00e1s en Business Central on-prem<\/strong>, aplicar una estrategia 3-2-1 (tres copias, dos soportes, una off-site), automatizada y probada, con al menos un repositorio inmutable o aislado l\u00f3gicamente del dominio de Windows.<\/p>\n

En ambos casos necesitas documentar y probar un RTO\/RPO realista<\/strong> para el ERP: cu\u00e1nto tiempo puedes estar sin Business Central y cu\u00e1ntos datos puedes permitirte perder. Si el negocio no ha asumido estos tiempos por escrito, el d\u00eda del incidente la discusi\u00f3n ser\u00e1 ca\u00f3tica. Desde la \u00f3ptica de NIS2, no se trata solo de \u201ctener copias\u201d, sino de poder demostrar que las copias no son vulnerables al mismo ataque y que tienes procedimientos de restauraci\u00f3n ensayados.<\/p>\n

4.5. Gesti\u00f3n de vulnerabilidades y parches: m\u00e1s que \u201cinstalar actualizaciones cuando haya tiempo\u201d<\/h3>\n

Otra de las \u00e1reas clave listadas en el art\u00edculo 21 de NIS2 es la gesti\u00f3n de vulnerabilidades<\/strong>, lo que incluye adquisici\u00f3n, desarrollo y mantenimiento seguro de sistemas, as\u00ed como pruebas y auditor\u00edas peri\u00f3dicas.<\/p>\n

En Business Central esto tiene dos realidades muy distintas. En BC online<\/strong>, Microsoft se encarga de parches de plataforma, sistema operativo y base de datos. Pero t\u00fa sigues siendo responsable de tus extensiones, integraciones y configuraci\u00f3n de seguridad<\/strong>, y de validar en entornos de pruebas que las actualizaciones no rompen tu modelo de control. En BC on-prem<\/strong>, el problema es m\u00e1s cl\u00e1sico y m\u00e1s duro: parches de sistema, base de datos, aplicaci\u00f3n, antivirus, hardening del servidor\u2026 todo recae en tu equipo o en tu proveedor.<\/p>\n

En ambos casos, alinearse con NIS2 implica pasar de \u201cactualizamos cuando hay un problema\u201d a tener un calendario de parches<\/strong> definido (mensual o trimestral) y priorizado por criticidad, un inventario de activos ERP<\/strong> (servidores, bases de datos, add-ons, integraciones) ligado a un ciclo de evaluaci\u00f3n de vulnerabilidades, al menos para los componentes expuestos a internet, y pruebas de regresi\u00f3n b\u00e1sicas en un entorno sandbox antes de subir parches al entorno productivo, especialmente cuando afectan a m\u00f3dulos cr\u00edticos (finanzas, almac\u00e9n, producci\u00f3n).<\/p>\n

La pregunta pragm\u00e1tica es sencilla: si ma\u00f1ana se publica una vulnerabilidad cr\u00edtica en un componente que afecta a tu ERP, \u00bftu organizaci\u00f3n sabe qui\u00e9n decide cu\u00e1ndo y c\u00f3mo parchear, y en qu\u00e9 orden? Si la respuesta es \u201cdepende de si el proveedor tiene hueco\u201d, est\u00e1s lejos del est\u00e1ndar de NIS2.<\/p>\n

4.6. Planes de respuesta a incidentes con foco en ERP<\/h3>\n

NIS2 endurece las obligaciones de notificaci\u00f3n de incidentes<\/strong>: aviso inicial en 24 horas, informe detallado en 72 horas y evaluaci\u00f3n final en un plazo aproximado de 30 d\u00edas para entidades esenciales, con esquemas similares para las importantes. Eso solo es posible si tienes un plan realista, no un PDF olvidado.<\/p>\n

A nivel de ERP, un plan de respuesta m\u00ednimamente serio deber\u00eda contemplar, como m\u00ednimo, tres escenarios: compromiso de credenciales de un usuario con permisos elevados en Business Central (por phishing, malware, etc.), corrupci\u00f3n o borrado masivo de datos (intencionado o accidental) que afecte a contabilidad, inventario, pedidos o producci\u00f3n, e impacto de ransomware o incidente mayor en la infraestructura donde vive BC (si eres on-prem o IaaS), que deja el ERP no disponible o cuestiona la integridad de los datos.<\/p>\n

Para cada escenario, necesitas definir qui\u00e9n declara el incidente, qui\u00e9n decide parar procesos (por ejemplo, pagos o expediciones), c\u00f3mo se \u201ccongela\u201d la evidencia (logs, copias, trazas) y c\u00f3mo se coordina la comunicaci\u00f3n con autoridades y clientes afectados. Si hoy tu organizaci\u00f3n no puede responder con nombres y tiempos a estas preguntas alrededor del ERP, NIS2 te est\u00e1 se\u00f1alando un \u00e1rea de debilidad clara.<\/p>\n

5. Sectores t\u00edpicos y casos reales en PYMEs espa\u00f1olas<\/h2>\n

En el contexto espa\u00f1ol, hay varios tipos de PYMEs usuarias de Business Central que se cruzan de lleno con NIS2. Por ejemplo, fabricantes industriales<\/strong> que forman parte de la cadena de suministro de sectores cr\u00edticos (energ\u00eda, transporte, salud, alimentaci\u00f3n, agua, residuos), muchos de ellos clasificados como entidades importantes por tama\u00f1o y actividad. Tambi\u00e9n encontramos operadores log\u00edsticos<\/strong> que prestan servicios a empresas reguladas (por ejemplo, distribuci\u00f3n farmac\u00e9utica, transporte alimentario) y proveedores de servicios digitales<\/strong> (SaaS verticales, hosting sectorial, MSPs) que gestionan infraestructuras o datos de entidades esenciales o importantes, quedando directa o indirectamente en el \u00e1mbito de NIS2.<\/p>\n

Pongamos un caso sencillo: fabricante de componentes para el sector energ\u00e9tico, 80 empleados, 20 millones de euros de facturaci\u00f3n, Business Central como ERP centralizado. Cumple el umbral de tama\u00f1o, opera en una cadena de suministro cr\u00edtica y sus clientes energ\u00e9ticos empiezan a exigir garant\u00edas de seguridad y cl\u00e1usulas de ciberresponsabilidad. Aqu\u00ed NIS2 deja de ser una abstracci\u00f3n jur\u00eddica: si un atacante manipula las \u00f3rdenes de producci\u00f3n o los datos de calidad en el ERP y eso impacta en el suministro del cliente, el incidente y las responsabilidades se rastrean hasta tu sistema. Y lo que mirar\u00e1n ser\u00e1 si tus controles de acceso, respaldos, logs y planes de respuesta estaban a la altura.<\/p>\n

6. Checklist pr\u00e1ctica para arrancar en tu ERP<\/h2>\n

Si quieres empezar a moverte en serio, esta es una plantilla de checklist m\u00ednima<\/strong>, pensada para que la completes junto con IT y los responsables de proceso. No es exhaustiva, pero si aqu\u00ed salen demasiados \u201cno\u201d o \u201cno lo s\u00e9\u201d, ya tienes tu hoja de ruta.<\/p>\n

Gobernanza y roles<\/h3>\n
    \n
  • \u00bfTenemos identificados, por escrito, los propietarios de cada \u00e1rea funcional del ERP (finanzas, compras, ventas, log\u00edstica, producci\u00f3n)?<\/li>\n
  • \u00bfExiste una matriz de roles de Business Central aprobada por negocio, no solo por IT?<\/li>\n
  • \u00bfRevisamos al menos una vez al a\u00f1o los permisos efectivos de los usuarios y roles cr\u00edticos?<\/li>\n<\/ul>\n

    Segregaci\u00f3n de funciones y acceso<\/h3>\n
      \n
    • \u00bfHay usuarios compartidos o gen\u00e9ricos en el ERP?<\/li>\n
    • \u00bfPuede una sola persona crear un proveedor, cambiarle el IBAN y autorizar pagos desde su usuario normal?<\/li>\n
    • \u00bfTenemos flujos de aprobaci\u00f3n configurados para operaciones sensibles (altas de maestro, pagos, descuentos fuera de pol\u00edtica)?<\/li>\n<\/ul>\n

      Autenticaci\u00f3n y MFA<\/h3>\n
        \n
      • \u00bfTodo acceso remoto a Business Central utiliza identidades nominales con MFA obligatorio para usuarios internos y externos?<\/li>\n
      • \u00bfHay un procedimiento formal para altas, bajas y cambios de usuarios, con revocaci\u00f3n de accesos en tiempo razonable cuando alguien se va?<\/li>\n<\/ul>\n

        Logs y auditor\u00eda<\/h3>\n
          \n
        • \u00bfTenemos activado el change log en tablas cr\u00edticas (proveedores, clientes, cuentas bancarias, usuarios, par\u00e1metros clave)?<\/li>\n
        • \u00bfSabemos qui\u00e9n revisa esos logs y con qu\u00e9 frecuencia?<\/li>\n
        • \u00bfLa telemetr\u00eda del ERP se integra en alg\u00fan sistema centralizado de monitorizaci\u00f3n o SIEM?<\/li>\n<\/ul>\n

          Copias de seguridad y recuperaci\u00f3n<\/h3>\n
            \n
          • \u00bfDisponemos de copias de seguridad externas y, al menos una, en almacenamiento inmutable o segregado?<\/li>\n
          • \u00bfHemos probado en los \u00faltimos 12 meses una restauraci\u00f3n completa de Business Central en un entorno de prueba, midiendo tiempos y validando datos?<\/li>\n<\/ul>\n

            Vulnerabilidades y parches<\/h3>\n
              \n
            • \u00bfExiste un inventario actualizado de componentes del ecosistema ERP (servidores, BBDD, add-ons, integraciones)?<\/li>\n
            • \u00bfTenemos un calendario de actualizaci\u00f3n y parches acordado entre IT y negocio?<\/li>\n<\/ul>\n

              Respuesta a incidentes<\/h3>\n
                \n
              • \u00bfHay un plan de respuesta a incidentes que contemple espec\u00edficamente escenarios que afecten al ERP?<\/li>\n
              • \u00bfAl menos una vez al a\u00f1o simulamos un incidente relevante (por ejemplo, compromiso de un usuario financiero o ca\u00edda prolongada del ERP) para ver si los tiempos y decisiones son realistas?<\/li>\n<\/ul>\n

                7. Y ahora qu\u00e9: NIS2 como coste hundido o como palanca de control<\/h2>\n

                NIS2 no va a desaparecer, y tampoco se va a relajar con el tiempo. El regulador ha decidido que la ciberseguridad, y, por extensi\u00f3n, el control sobre sistemas como tu ERP, deje de ser un tema interno y pase a ser cuesti\u00f3n de cumplimiento, responsabilidad y, llegado el caso, sanci\u00f3n<\/strong>.<\/p>\n

                Puedes abordarlo como un coste hundido<\/strong> (\u201ccumplamos lo justo para no tener problemas\u201d) o aprovechar el golpe de realidad para hacer algo que llevas a\u00f1os posponiendo: ordenar roles, limpiar accesos hist\u00f3ricos, profesionalizar backups, documentar escenarios de crisis y, en definitiva, elevar el nivel de control real que tienes sobre Business Central.<\/p>\n

                Si quieres que NIS2 juegue a tu favor, el primer paso no es escribir una pol\u00edtica m\u00e1s, sino reservar tiempo de direcci\u00f3n<\/strong>. Pon en la agenda de este mes una sesi\u00f3n conjunta CFO\u2013COO\u2013IT con el checklist delante y responde, sin maquillaje, a cada punto. Todo aquello que hoy no puedas explicar en cinco minutos a un auditor razonablemente exigente es, en la pr\u00e1ctica, tu backlog prioritario de proyecto sobre el ERP. Y cuanto antes lo ataques, menos caro, y menos doloroso, ser\u00e1 cuando el pr\u00f3ximo incidente deje de ser una hip\u00f3tesis y se convierta en la llamada que nadie quiere recibir.<\/p>\n","protected":false},"excerpt":{"rendered":"

                Alrededor de 160.000 compa\u00f1\u00edas europeas tendr\u00e1n obligaciones directas bajo NIS2, diez veces m\u00e1s que con la normativa anterior. Para muchas PYMEs espa\u00f1olas que usan Dynamics 365 Business Central, esto no es una \u201cnorma m\u00e1s de ciberseguridad\u201d: es el punto en el que el regulador entra, de facto, hasta el coraz\u00f3n de tu ERP y te […]<\/p>\n","protected":false},"author":6,"featured_media":14732,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[133],"tags":[],"class_list":["post-14731","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sin-categoria"],"acf":[],"_links":{"self":[{"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/posts\/14731","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/comments?post=14731"}],"version-history":[{"count":2,"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/posts\/14731\/revisions"}],"predecessor-version":[{"id":14734,"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/posts\/14731\/revisions\/14734"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/media\/14732"}],"wp:attachment":[{"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/media?parent=14731"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/categories?post=14731"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/olivia.es\/ca\/wp-json\/wp\/v2\/tags?post=14731"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}