¿Puedes responder a estas 10 preguntas sobre NIS2? La mayoría de las organizaciones no pueden
Has leído los artículos. Conoces la fecha límite. Quizá incluso hayas iniciado un inventario interno.
Pero ¿realmente puedes responder a estas 10 preguntas?
Provienen de nuestra evaluación de cumplimiento NIS2 de 50 preguntas, y cada una apunta a un punto ciego específico que las organizaciones subestiman de forma sistemática. No son preguntas con trampa: son las preguntas que harán los reguladores cuando comience la aplicación.
Sé honesto contigo mismo. Si dudas en más de tres, tienes brechas que requieren atención.
Cómo funciona esto
Cada pregunta a continuación corresponde a una de las 10 categorías de medidas de gestión de riesgos del Artículo 21 de la Directiva NIS2. Juntas, estas categorías definen cómo es en la práctica una «ciberseguridad adecuada y proporcionada».
Hemos elegido la pregunta más difícil de cada categoría: la que distingue a las organizaciones que se han preparado de verdad de las que solo han leído el resumen.
Las 10 preguntas
1. Análisis de riesgos y seguridad de los sistemas de información
¿Puedes mostrar una evaluación de riesgos documentada y aprobada por la dirección que cubra todos los activos, amenazas y vulnerabilidades relevantes para NIS2, actualizada en los últimos 12 meses?
La mayoría de las organizaciones tienen algún tipo de registro de riesgos. Pocas tienen uno que sea exhaustivo, actual y aprobado por su órgano de dirección como exige el Artículo 20 de NIS2. Una evaluación de riesgos de 2022 que cubra IT pero ignore OT, dependencias de la cadena de suministro o servicios en la nube no convencerá a un regulador.
2. Gestión de incidentes
¿Tienes un proceso probado para detectar, clasificar y notificar un incidente significativo a tu autoridad nacional en un plazo de 24 horas?
NIS2 exige un aviso temprano en 24 horas, una notificación completa en 72 horas y un informe final en un mes. La palabra clave es «probado». Un procedimiento documentado que nunca se ha ensayado es un fracaso documentado a la espera de ocurrir.
3. Continuidad de negocio y gestión de crisis
¿Cuándo probaste por última vez de extremo a extremo tu restauración de copias de seguridad y tu plan de recuperación ante desastres, y puedes demostrarlo?
Tener copias de seguridad no es lo mismo que tener continuidad de negocio. NIS2 requiere que puedas restaurar realmente las operaciones tras un incidente. Si tu última prueba de restauración fue «comprobamos que el trabajo de copia se ejecutó con éxito», eso no es una prueba: es esperanza.
4. Seguridad de la cadena de suministro
¿Puedes demostrar que evalúas y supervisas las prácticas de ciberseguridad de tus proveedores críticos, con criterios documentados y revisiones periódicas?
La seguridad de la cadena de suministro es donde la mayoría de las organizaciones presentan la mayor brecha. El Artículo 21(3) de NIS2 exige explícitamente que abordes los riesgos de seguridad derivados de tus relaciones con proveedores directos y prestadores de servicios. Un cuestionario estándar enviado una vez al inicio de la relación no cumple este umbral.
5. Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información
¿Incluyen tus procesos de compras y desarrollo requisitos de ciberseguridad desde el diseño hasta el despliegue, incluida la gestión y divulgación de vulnerabilidades?
Esto no se limita a aplicar parches. NIS2 espera que la seguridad esté integrada en la forma en que adquieres, construyes y mantienes los sistemas. Si tu proceso de compras evalúa coste, funcionalidades y plazo de entrega pero no la seguridad, tienes una brecha estructural.
6. Políticas y procedimientos para evaluar la eficacia de las medidas de ciberseguridad
¿Cómo mides si tus medidas de ciberseguridad realmente funcionan, y cuándo lo hiciste por última vez?
Esta es la pregunta que paraliza a la mayoría de las organizaciones. Tener medidas implantadas es el primer paso. Demostrar que son eficaces es el segundo, y es el paso que NIS2 exige explícitamente. Si tu respuesta es «no nos han atacado», eso no es una medición.
7. Prácticas básicas de ciberhigiene y formación en ciberseguridad
¿Puedes demostrar que todo el personal, incluida la dirección, ha recibido formación de concienciación en ciberseguridad adecuada a su función en los últimos 12 meses?
El Artículo 20(2) exige específicamente que los órganos de dirección reciban formación. No es opcional. No es «cuando convenga». Y «todo el personal» significa todos, incluidos contratistas y trabajadores temporales con acceso a tus sistemas. Una única simulación anual de phishing no es formación.
8. Políticas y procedimientos sobre el uso de la criptografía y el cifrado
¿Tienes una política documentada sobre cuándo y cómo se aplica el cifrado a los datos en reposo y en tránsito, con estándares definidos y procedimientos de gestión de claves?
Muchas organizaciones cifran los datos en tránsito (HTTPS, VPN) pero no tienen política para los datos en reposo. NIS2 exige políticas y procedimientos documentados, no prácticas improvisadas. Si tu enfoque de la criptografía es «usamos lo que el proveedor trae por defecto», eso no es una política.
9. Seguridad de los recursos humanos, control de acceso y gestión de activos
¿Existe un proceso documentado para conceder, revisar y revocar derechos de acceso, incluso cuando alguien cambia de función o abandona la organización?
Las cuentas huérfanas son uno de los vectores de ataque más comunes. NIS2 espera que gestiones los derechos de acceso como un proceso continuo, no como una configuración única. Si revocar por completo el acceso de un empleado que se va lleva más de 24 horas, tu proceso tiene brechas.
10. Autenticación multifactor y comunicaciones seguras
¿Está la MFA impuesta para todos los accesos privilegiados, conexiones remotas y administración de sistemas críticos, con excepciones documentadas y un plan para cerrar las brechas?
NIS2 no prescribe tecnologías concretas, pero sí exige el uso «cuando proceda» de autenticación multifactor. En la práctica, cualquier organización que no imponga MFA para accesos de administración y teletrabajo tendrá dificultades para argumentar que sus medidas son «adecuadas».
Lo que dice tu puntuación
Cuenta las preguntas que puedes responder con un «sí» seguro y documentado:
| Tu puntuación | Lo que significa |
|---|---|
| 8–10 «sí» con seguridad | Base sólida. Estás por delante de la mayoría. Concéntrate en la documentación y la mejora continua. |
| 5–7 «sí» con seguridad | Brechas significativas. Conoces lo básico pero te falta la profundidad que exige NIS2. Prioriza las áreas en las que dudaste. |
| Menos de 5 | Acción urgente. Tu organización tiene brechas materiales de cumplimiento que pueden exponerte a medidas de ejecución más allá de las multas. |
Recuerda: los reguladores no preguntarán si lo intentaste. Preguntarán si puedes demostrar que tus medidas son adecuadas y proporcionadas. La documentación no es burocracia: es tu prueba.
Estas son solo 10 de 50
Estas preguntas son una muestra de nuestra evaluación completa de cumplimiento NIS2 de 50 preguntas, que cubre en profundidad las 10 categorías de medidas del Artículo 21.
La quickscan gratuita te da una visión estructurada de tu situación. La evaluación completa produce un informe PDF detallado, el tipo que puedes poner delante de tu consejo y decir: «aquí está exactamente dónde estamos y aquí está lo que tenemos que hacer».
Tanto si eres un consultor de TI evaluando clientes, un responsable de cumplimiento que reporta al consejo o un CISO construyendo un business case, la evaluación te da el punto de partida estructurado y basado en evidencias que NIS2 exige.