NIS2 Artículo 21(2)(c): qué exigen realmente la copia de seguridad y la continuidad

Una banda de ransomware cifra el entorno de producción de un cliente un viernes por la noche. El lunes el cliente quiere saber dos cosas: cuándo volveremos a estar operativos y si podemos demostrar al regulador que hicimos todo bien. Si su plan de continuidad de negocio vive en una carpeta de SharePoint que nadie ha abierto desde 2023, ya conoce la respuesta a ambas preguntas.

El artículo 21(2)(c) de NIS2 es la medida que la mayoría de las organizaciones creen tener resuelta y que los auditores encuentran insuficiente con más frecuencia. «Continuidad de la actividad, como la gestión de copias de seguridad y la recuperación ante desastres, y gestión de crisis» suena a una casilla que se marca con un manual de recuperación existente. No lo es. El Reglamento de Ejecución (UE) 2024/2690 de la Comisión convirtió esa única subdisposición en más de veinte requisitos específicos y demostrables — y a partir del ciclo de auditoría de junio de 2026, ese reglamento es el patrón al que los auditores recurren primero.

Esto es lo que sus clientes realmente deben presentar, y dónde suelen estar las brechas.

El reglamento de ejecución es el estándar con el que medirán los auditores

NIS2 en sí es deliberadamente vago. Enumera diez medidas en el artículo 21(2) y deja el detalle a los Estados miembros y a la Comisión. Para un conjunto definido de entidades — proveedores de DNS, registros de dominios de primer nivel, proveedores de nube y centros de datos, proveedores de servicios gestionados y otra infraestructura digital — la Comisión rellenó ese detalle directamente con el CIR 2024/2690, aplicable desde el 18 de octubre de 2024.

Para todos los demás, el reglamento no es jurídicamente vinculante. Pero es la lectura más concreta del artículo 21 que existe, las autoridades nacionales están alineando sus listas de verificación de auditoría con él, y ENISA publicó orientaciones técnicas de implementación basadas en la misma estructura. Trátelo como el patrón de facto. Si un cliente cumple el CIR 2024/2690 en continuidad de negocio, ningún auditor de la UE va a sostener que incumplió el artículo 21(2)(c).

El reglamento desglosa la medida en tres cosas que deben existir de forma independiente: un plan de continuidad de negocio y recuperación ante desastres, la gestión de copias de seguridad, y la gestión de crisis. La mayoría de las organizaciones tienen una de las tres y dan por hecho que cubre las demás. No es así.

Artículo 21 — 10 Medidas de Ciberseguridad NIS2
🛡️
Artículo 21
10 Medidas de Ciberseguridad
📊
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad
🚨
Incidentes & Continuidad
2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres
🔗
Cadena de Suministro & Sistemas
4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información
🔐
Controles Técnicos
8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras
👥
Personas & Activos
7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

Un plan de continuidad sin análisis de impacto es una conjetura

El primer requisito es un plan documentado de continuidad y recuperación — pero el plan debe derivarse de un análisis de impacto en el negocio (BIA), no de la intuición del equipo de TI sobre lo que importa.

En el BIA se identifican los servicios críticos y los sistemas que los sustentan, y se asigna a cada uno un tiempo máximo de inactividad tolerable. De ahí se establece un Objetivo de Tiempo de Recuperación (RTO, con qué rapidez se restaura) y un Objetivo de Punto de Recuperación (RPO, cuántos datos se pueden perder). Esas dos cifras dirigen toda decisión posterior: con qué frecuencia se hacen copias, dónde se almacenan, cómo se diseña la conmutación por error.

Aquí está la brecha que los auditores encuentran constantemente. El cliente tiene valores de RTO y RPO anotados — cuatro horas, quince minutos, lo que sea — pero el calendario de copias y el diseño de recuperación no los cumplen. Un RPO de quince minutos con copias nocturnas no es un objetivo, es una ficción. El reglamento espera que los objetivos y la arquitectura coincidan, y exige que demuestre esa coincidencia con un resultado de prueba, no con una afirmación.

Para los consultores, el BIA es además el trabajo de mayor apalancamiento que pueden vender. Es independiente del marco, alimenta ISO 27001 y DORA a la vez, y casi ningún cliente pyme ha realizado uno correctamente.

Las copias de seguridad deben estar aisladas, ser inmutables y demostrar que se restauran

La gestión de copias de seguridad según el CIR 2024/2690 es donde la realidad del ransomware se encuentra con el cumplimiento. Tres cosas no son negociables.

Las copias deben estar separadas de la producción. Una copia en el mismo dominio, accesible con las mismas credenciales, se cifra junto con todo lo demás. El reglamento espera separación lógica e idealmente física.

Las copias deben estar protegidas contra alteraciones — inmutabilidad o controles equivalentes, de modo que un atacante con derechos de administrador no pueda eliminar ni sobrescribir los puntos de restauración. Este es el mayor cambio de arquitectura que la mayoría de los clientes todavía deben realizar.

Y las copias deben probarse restaurándolas de verdad. Un trabajo de copia que informa «éxito» cada noche le indica que la escritura funcionó. No dice nada sobre si los datos se restauran en un sistema operativo dentro de su RTO. El anexo 4.3 del reglamento exige específicamente pruebas de restauración con resultados documentados y acciones correctivas.

La llamada a la acción se escribe sola para cualquier MSP: la postura de copias de seguridad de sus clientes es la parte de NIS2 más rápida de evaluar y la más fácil de mejorar de forma demostrable. Nuestro escaneo rápido NIS2 gratuito le da una base de partida defendible para exactamente esa conversación.

La gestión de crisis es un equipo designado y una cadena de decisión ensayada, no una lista de teléfonos

El tercer pilar es el que las organizaciones olvidan hasta que lo necesitan. La gestión de crisis según NIS2 significa una estructura de liderazgo definida con funciones claras, autoridad para decidir y procedimientos de comunicación que funcionen bajo presión.

En la práctica eso significa un equipo de crisis designado, umbrales de escalado documentados, plantillas de comunicación predefinidas (incluidas para reguladores y clientes), y saber quién puede autorizar qué cuando los sistemas están caídos y los aprobadores habituales no están localizables. El reglamento trata las plantillas de comunicación de crisis como un elemento de prueba específico — los auditores las pedirán.

Esto se conecta directamente con el reloj de notificación de NIS2. El plan de crisis es lo que reúne a las personas adecuadas con la rapidez suficiente para cumplir los plazos de 24 horas (alerta temprana) y 72 horas (notificación) del artículo 23. Una copia que se restaura en cuatro horas no vale nada si nadie decidió declarar un incidente durante los primeros tres días.

Cronología de Notificación de Incidentes NIS2
24h
⚡
Alerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
Paso 1
72h
📋
Notificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
Paso 2
1mo
📊
Informe Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Paso 3
24h
⚡
Alerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
72h
📋
Notificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
1mo
📊
Informe Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.

Qué significa «prueba» en una auditoría de 2026

El cambio que pilla desprevenidas a las organizaciones en este ciclo de auditoría es probatorio. Los auditores ya no se conforman con que exista un plan. Quieren ver que se probó, que la prueba detectó problemas y que los problemas se corrigieron.

Para cada prueba de restauración, el reglamento espera un resultado documentado: la fecha y quién participó, el escenario utilizado, los problemas detectados con niveles de gravedad, las acciones correctivas con responsables nombrados y plazos, los resultados medidos frente a sus RTO y RPO declarados, y la aprobación de la dirección. Un plan sin registro de pruebas se trata como un plan que no funciona.

Construya el rastro de pruebas sobre la marcha, no la semana antes de la auditoría. Las organizaciones que tienen problemas en junio de 2026 son las que tratan la documentación como una ocurrencia tardía en lugar de como un subproducto de ejecutar realmente el proceso.

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
▼
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
▼
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal

La exposición a sanciones justifica el caso por sí sola. Las entidades esenciales se enfrentan a multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial, y un fallo de continuidad que convierte un incidente recuperable en una interrupción prolongada es exactamente el tipo de negligencia que los reguladores señalan que perseguirán. Pero el argumento más fuerte con los clientes es operativo, no regulatorio: una organización que puede demostrar que restaura los servicios críticos dentro de una ventana definida es simplemente una empresa mejor gestionada.

Por dónde empezar con un cliente este trimestre

Realice primero el análisis de impacto en el negocio — sin él, cualquier otra decisión es una conjetura. Luego compruebe tres cosas en orden: si las copias están aisladas y son inmutables, si ha habido una prueba real de restauración en los últimos doce meses, y si existe un equipo de crisis designado con plantillas listas para enviar. Esas tres comprobaciones separan a los clientes realmente preparados de los que tienen un documento.

Para una lectura rápida de dónde está una organización en las diez medidas del artículo 21, el escaneo rápido NIS2 convierte un vago «¿cumplimos?» en una lista concreta de brechas sobre la que actuar.

El artículo 21(2)(c) recompensa el trabajo aburrido: copias probadas, decisiones por escrito, respuestas ensayadas. Es también el trabajo que hace que un ataque de ransomware un viernes por la noche sea un mal fin de semana en lugar de un evento que acabe con el negocio.