Ir al contenido principal
NIS2Certify
Volver al resumen

Las 10 medidas de ciberseguridad NIS2 explicadas: guía práctica del artículo 21

Por NIS2Certify
nis2articulo-21medidas-ciberseguridadcumplimientogestion-riesgos

El artículo 21 es el corazón de la Directiva NIS2. Define las diez medidas de gestión de riesgos de ciberseguridad que toda entidad esencial e importante debe implementar — como obligaciones legales.

Vista general

Artículo 21 — 10 Medidas de Ciberseguridad NIS2
Artículo 21
10 Medidas de Ciberseguridad
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad
Incidentes & Continuidad
2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres
Cadena de Suministro & Sistemas
4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información
Controles Técnicos
8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras
Personas & Activos
7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

Error común: Tener un plan pero nunca probarlo.

3. Continuidad de negocio y gestión de crisis

BIA, BCP, DRP con RTO/RPO, estrategia de backup (regla 3-2-1), pruebas de restauración, procedimientos de crisis y coordinación CSIRT. Error común: Hacer copias pero nunca probar la restauración.

4. Seguridad de la cadena de suministro

Inventario de proveedores, requisitos contractuales, evaluaciones de riesgos, monitorización continua y planes de contingencia. Error común: Evaluar proveedores solo al inicio.

5. Adquisición, desarrollo y mantenimiento seguros

Requisitos de seguridad en compras, desarrollo seguro (OWASP), pruebas de seguridad, gestión de parches con SLA, divulgación de vulnerabilidades y gestión de cambios. Error común: Sin proceso para parches críticos.

6. Evaluación de la eficacia

Auditorías internas, pruebas de penetración, métricas y KPI, revisiones de dirección, assessments y seguimiento de hallazgos. Error común: Medir solo lo fácil de contar.

7. Ciberhigiene y formación

Formación para todos, simulaciones de phishing, estándares de ciberhigiene, formación por rol, formación del consejo (artículo 20) y registros de formación. Error común: Tratar la formación como un checkbox anual.

8. Criptografía y cifrado

Política de criptografía, cifrado en reposo y en tránsito, gestión de claves y certificados, sin algoritmos obsoletos. Error común: Cifrar datos pero guardar las claves junto a ellos.

9. Seguridad de RRHH, control de acceso y gestión de activos

Verificación previa, onboarding/offboarding (¡revocación el mismo día!), mínimo privilegio, revisiones de acceso, inventario de activos con propietarios y política MDM. Error común: Exempleados con acceso durante semanas.

10. MFA, comunicaciones seguras y comunicaciones de emergencia

MFA en todos los sistemas críticos y cuentas privilegiadas, comunicaciones internas cifradas, canal de emergencia fuera de banda y política de autenticación. Error común: MFA en cuentas de usuario pero no en cuentas admin.

Las 10 medidas explicadas

Medida 1: Análisis de riesgos y políticas de seguridad de la información

Qué significa: Las organizaciones deben establecer una metodología sistemática para identificar y evaluar los riesgos de ciberseguridad. Esto incluye documentar activos, amenazas y vulnerabilidades, y determinar la probabilidad e impacto de los incidentes. Los resultados fundamentan una política formal de seguridad de la información que recoge los compromisos de la dirección y los principios de protección.

En la práctica: Comience mapeando sus activos críticos: sistemas, datos y procesos. Realice un análisis de riesgos estructurado al menos anualmente y ante cambios significativos. Documente sus decisiones de tratamiento de riesgos (aceptar, mitigar, transferir, evitar). Publique una política de seguridad firmada por la alta dirección y revísela regularmente. Asigne responsables claros para cada riesgo, asegurando que las acciones de mitigación se ejecuten.

Medida 2: Gestión de incidentes

Qué significa: Las organizaciones deben contar con procedimientos documentados para detectar, clasificar, responder y notificar incidentes de ciberseguridad. NIS2 establece plazos estrictos: alerta temprana al CSIRT nacional o autoridad competente en 24 horas, notificación completa en 72 horas e informe final en un mes.

En la práctica: Elabore un plan de respuesta a incidentes que defina qué constituye un incidente significativo, quién es responsable de cada paso y cómo se preservan las evidencias. Establezca una cadena de escalado 24/7. Integre alertas de SIEM, EDR y otras herramientas de monitorización. Realice ejercicios de simulación al menos una vez al año para probar el plan en condiciones realistas. Registre todos los incidentes, incluidos los casi-fallos, para incorporar lecciones aprendidas al proceso de gestión de riesgos.

Diagram laden...

Medida 3: Continuidad del negocio y gestión de crisis

Qué significa: Las organizaciones deben garantizar la prestación de servicios esenciales durante y tras un incidente grave. Esto abarca estrategias de copia de seguridad, planes de recuperación ante desastres y mecanismos de gestión de crisis que involucren a la alta dirección.

En la práctica: Defina RTO y RPO para todos los sistemas críticos. Implemente copias de seguridad automatizadas y cifradas en ubicación geográficamente separada y pruebe regularmente las restauraciones. Desarrolle un runbook de recuperación ante desastres con procedimientos paso a paso. Realice ejercicios de gestión de crisis con el equipo directivo para que conozcan sus roles antes de una emergencia real.

Medida 4: Seguridad en la cadena de suministro

Qué significa: La postura de seguridad de sus proveedores afecta directamente a su propio riesgo. NIS2 exige evaluar las prácticas de ciberseguridad de los proveedores directos, establecer obligaciones contractuales de seguridad y gestionar los riesgos de terceros durante toda la relación.

En la práctica: Mantenga un registro de todos los terceros con acceso a sus sistemas o datos. Realice diligencia debida basada en riesgos antes de incorporar nuevos proveedores. Incluya requisitos mínimos de seguridad en los contratos: obligaciones de notificación de incidentes, cláusulas de auditoría y estándares de tratamiento de datos. Revise los proveedores críticos anualmente.

Medida 5: Seguridad en redes y sistemas de información

Qué significa: Los controles de seguridad técnicos deben aplicarse a lo largo de todo el ciclo de vida de redes y sistemas de información. Esto abarca configuraciones seguras por defecto, gestión de vulnerabilidades y parcheo oportuno.

En la práctica: Aplique una línea base de bastionado a todos los servidores, endpoints y dispositivos de red. Mantenga un inventario de activos actualizado. Establezca SLA para parcheo: vulnerabilidades críticas en 72 horas, altas en 30 días. Use segmentación de red para limitar el movimiento lateral. Aplique prácticas de desarrollo seguro para el software que construye o personaliza.

Medida 6: Evaluación de la eficacia de las medidas de ciberseguridad

Qué significa: Las organizaciones deben poder demostrar que sus controles de seguridad funcionan. Esto incluye pruebas regulares, auditorías independientes y el uso de métricas para mejorar continuamente el rendimiento de la seguridad.

En la práctica: Establezca KPI y KRI para su programa de seguridad. Encargue pruebas de penetración al menos anualmente. Realice auditorías internas frente a sus políticas y los requisitos de NIS2. Presente los resultados a la dirección con plazos de remediación claros y utilícelos para actualizar el análisis de riesgos.

Medida 7: Higiene cibernética básica y formación en ciberseguridad

Qué significa: El comportamiento humano sigue siendo uno de los principales vectores de ataque. NIS2 exige implementar prácticas básicas de higiene cibernética y ofrecer formación adaptada al rol. La higiene abarca gestión de contraseñas, actualizaciones de software y concienciación sobre phishing.

En la práctica: Implante formación obligatoria de concienciación en seguridad para todo el personal en la incorporación y al menos anualmente. Ofrezca módulos avanzados para administradores de TI, desarrolladores y directivos. Realice campañas de phishing simulado. Publique directrices claras sobre uso aceptable, política de escritorio limpio y seguridad en teletrabajo.

Medida 8: Políticas de criptografía y cifrado

Qué significa: Las organizaciones deben definir y aplicar políticas que regulen el uso de controles criptográficos para proteger la confidencialidad, integridad y autenticidad de la información, especificando algoritmos aprobados y procedimientos de gestión de claves.

En la práctica: Publique una política de criptografía que obligue al uso de algoritmos actuales reconocidos por la industria (AES-256 para datos en reposo, TLS 1.2/1.3 para datos en tránsito). Establezca un procedimiento de gestión de claves que cubra generación, almacenamiento, rotación y destrucción. Cifre los datos sensibles de extremo a extremo, incluidas las copias de seguridad. Revise los estándares criptográficos al menos cada dos años.

Medida 9: Seguridad de RRHH, control de acceso y gestión de activos

Qué significa: Los riesgos de seguridad se presentan a lo largo de todo el ciclo de vida del empleado. NIS2 exige controles de seguridad de personal adecuados, un marco de control de acceso basado en el principio de mínimo privilegio y un inventario completo de activos.

En la práctica: Defina requisitos de comprobación para puestos con acceso elevado. Implemente un proceso formal de incorporación-cambio-baja: aprovisione accesos el primer día, ajústelos en cambios de rol y revóquelos inmediatamente al salir. Aplique RBAC y revise los derechos de acceso trimestralmente. Mantenga un inventario actualizado de todos los activos con propietario y nivel de clasificación.

Medida 10: Autenticación multifactor y comunicaciones seguras

Qué significa: Las contraseñas por sí solas son insuficientes para proteger el acceso a sistemas sensibles. NIS2 exige el uso de autenticación multifactor (MFA) y canales de comunicación cifrados, especialmente para el acceso administrativo, la conectividad remota y las comunicaciones que involucren información crítica.

En la práctica: Imponga MFA en todos los sistemas accesibles externamente: VPN, correo web, portales en la nube y escritorio remoto. Extienda la MFA a todas las cuentas privilegiadas y sistemas internos sensibles. Use métodos MFA resistentes al phishing (FIDO2/tokens hardware) para los accesos más críticos. Garantice que todas las comunicaciones administrativas usen canales cifrados. Mantenga procedimientos de acceso de emergencia seguros y fiables.

Priorización

FaseMedidasPor qué primero
Fase 11 (Riesgos), 9 (Acceso), 10 (MFA)Fundación + victorias rápidas
Fase 22 (Incidentes), 3 (Continuidad)Resiliencia
Fase 37 (Formación), 8 (Criptografía)Personas + datos
Fase 44 (Cadena), 5 (Desarrollo), 6 (Eficacia)Madurez + verificación

Empieza con un quickscan gratuito

Nuestro quickscan NIS2 gratuito evalúa tu organización en las 10 categorías del artículo 21.

Lee también

Hacer el quickscan gratuito →

    Las 10 medidas de ciberseguridad NIS2 explicadas: guía práctica del artículo 21 — NIS2Certify