Cómo realizar un análisis de brechas NIS2: guía paso a paso para su organización

Una responsable de cumplimiento en una empresa de logística holandesa abre una hoja de cálculo. En la parte superior: las diez medidas de ciberseguridad del Artículo 21 de NIS2. En el lateral: cada departamento, sistema y proceso que gestiona la empresa. La mayoría de las celdas están vacías. Ahora sabe exactamente dónde están los problemas — y, lo que es más importante, dónde invertir primero el presupuesto.

Esa hoja de cálculo es un análisis de brechas NIS2. Es el paso más útil que cualquier organización puede dar ahora mismo, antes de que lleguen los plazos de aplicación y los reguladores empiecen a hacer preguntas.

Si su organización está sujeta a NIS2 — o sospecha que podría estarlo — así es cómo realizarlo correctamente.

Qué es realmente un análisis de brechas NIS2

Un análisis de brechas compara lo que su organización hace hoy con lo que NIS2 exige. Nada más, nada menos.

NIS2 no es una certificación. Es una obligación legal en virtud de la Directiva UE 2022/2555 que exige a las organizaciones de los sectores cubiertos implementar medidas específicas de ciberseguridad, notificar incidentes dentro de plazos estrictos y garantizar la supervisión de la seguridad a nivel de consejo de administración.

Un análisis de brechas mapea su postura de seguridad actual frente a estos requisitos y produce una lista clara de lo que falta, lo que está parcialmente implantado y lo que ya cumple. El resultado es un plan de acción priorizado — no un veredicto de aprobado o suspenso.

Si su organización ya cuenta con la certificación ISO 27001, lleva ventaja. Pero NIS2 e ISO 27001 no son lo mismo — la directiva incluye obligaciones específicas en materia de plazos de notificación de incidentes, seguridad de la cadena de suministro y responsabilidad del consejo que ISO 27001 no cubre.

Paso 1: Confirme que está en el ámbito de aplicación

Antes de invertir tiempo en un análisis de brechas completo, verifique que NIS2 se aplica realmente a su organización. Las reglas de ámbito son sencillas:

• Su organización opera en uno de los sectores esenciales o importantes definidos por la directiva
• Tiene 50 o más empleados, o una facturación anual superior a 10 millones de euros
• Algunas entidades — proveedores de DNS, prestadores de servicios de confianza, registros de TLD — están siempre en el ámbito independientemente de su tamaño

No pase por alto el ángulo de la cadena de suministro. Aunque su organización esté por debajo de los umbrales, sus principales clientes pueden ser entidades NIS2. En virtud del Artículo 21(2)(d), están obligados a gestionar los riesgos de seguridad en la cadena de suministro — lo que significa que comenzarán a exigir evidencias de su postura de seguridad.

¿Se aplica la NIS2 a su organización?
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼
No▼
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗
La NIS2 no se aplica directamente a su organización.
Sí▼
No▼
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →
✗
La NIS2 no se aplica directamente a su organización.
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplica
Posiblemente aplica
No se aplica

Paso 2: Mapee las 10 medidas del Artículo 21

El Artículo 21 es la columna vertebral del cumplimiento de NIS2. Prescribe diez medidas mínimas de gestión de riesgos de ciberseguridad que todas las entidades en el ámbito deben implementar. Su análisis de brechas debe evaluar cada una individualmente.

Artículo 21 — 10 Medidas de Ciberseguridad NIS2
🛡️
Artículo 21
10 Medidas de Ciberseguridad
📊
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad
🚨
Incidentes & Continuidad
2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres
🔗
Cadena de Suministro & Sistemas
4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información
🔐
Controles Técnicos
8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras
👥
Personas & Activos
7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

Para cada medida, documente tres aspectos:

1. Estado actual — ¿qué existe hoy? Políticas, herramientas, procesos, evidencias
2. Brecha — ¿qué falta o está incompleto en comparación con el requisito de NIS2?
3. Prioridad — ¿qué tan crítica es esta brecha en función del riesgo y la probabilidad de aplicación?

A continuación se explica cómo abordar la evaluación de las medidas en las que las organizaciones incumplen con más frecuencia.

Análisis de riesgos y políticas de seguridad de la información

¿Dispone de una política de seguridad de la información documentada y aprobada por el consejo? No un documento de hace cinco años guardado en SharePoint — una política actualizada que refleje su panorama de riesgos real y que haya sido aprobada formalmente por la dirección, tal como exige el Artículo 20.

Qué verificar: Fecha de la última aprobación por el consejo, si la política cubre todos los sistemas relevantes para NIS2, si ha sido comunicada a los empleados.

Gestión de incidentes

¿Puede su organización detectar, clasificar y notificar un incidente de ciberseguridad en 24 horas? Los plazos de notificación de NIS2 — 24 horas para la alerta temprana, 72 horas para la notificación completa, un mes para el informe final — requieren procesos que la mayoría de las organizaciones medianas no tienen. En España, el CCN-CERT actúa como CSIRT de referencia para las administraciones públicas y las entidades esenciales, mientras que el INCIBE-CERT es el punto de contacto para empresas e industria.

Cronología de Notificación de Incidentes NIS2
24h
⚡
Alerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
Paso 1
72h
📋
Notificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
Paso 2
1mo
📊
Informe Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Paso 3
24h
⚡
Alerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
72h
📋
Notificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
1mo
📊
Informe Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.

Qué verificar: Procedimientos de escalado definidos, datos de contacto del CSIRT nacional (CCN-CERT o INCIBE-CERT según corresponda), plantillas de notificación, herramientas de monitorización que permitan la detección dentro del plazo requerido.

Seguridad de la cadena de suministro

Esta es la medida que más organizaciones subestiman. El Artículo 21(2)(d) exige evaluar y gestionar los riesgos de seguridad en su cadena de suministro — incluidos sus proveedores de servicios TI, proveedores en la nube y suministradores de software.

Qué verificar: Contratos con cláusulas de seguridad, evaluaciones de riesgos de proveedores, cláusulas de derecho de auditoría, requisitos de notificación de incidentes para proveedores.

Evaluación de la eficacia

Contar con medidas de seguridad no es suficiente. El Artículo 21 exige evaluar si esas medidas funcionan realmente. Esto implica pruebas, auditorías y revisiones — de forma regular, no una sola vez.

Qué verificar: Informes de pruebas de penetración, calendario de auditorías internas, métricas para medir la eficacia de los controles de seguridad, seguimiento de hallazgos anteriores.

Paso 3: Puntúe sus brechas

Utilice un sistema de puntuación de tres niveles para cada una de las diez medidas:

Puntuación	Significado	Acción requerida
Verde	La medida está implantada, documentada y revisada regularmente	Mantener y documentar
Ámbar	Parcialmente implantada o la documentación está desactualizada	Remediar en 3-6 meses
Rojo	No implantada o con carencias fundamentales	Priorizar de inmediato

Sea honesto. El análisis de brechas es una herramienta interna — inflar las puntuaciones desvirtúa el propósito. Cuando un regulador solicite evidencias de su programa de cumplimiento NIS2, un análisis de brechas genuino con un cronograma de remediación claro demuestra mucha más madurez que un documento impecable que no refleja la realidad.

Paso 4: Priorice por riesgo y enfoque regulatorio

No todas las brechas tienen el mismo peso. Priorice en función de dos factores:

Exposición al riesgo — ¿qué brechas, si se explotan, causarían mayor daño a su organización? Un proceso de gestión de vulnerabilidades sin parchear (medida 5) combinado con una gestión de incidentes débil (medida 2) crea un escenario en el que una brecha pasa desapercibida y sin notificar — generando tanto daño operativo como sanciones regulatorias.

Enfoque regulatorio — las autoridades nacionales de la UE han indicado que la aplicación inicial se concentrará en:

• Cumplimiento del registro (¿está registrado?)
• Capacidades de notificación de incidentes (¿puede cumplir los plazos de 24/72 horas?)
• Gobernanza a nivel de consejo (¿ha aprobado su dirección las medidas de ciberseguridad?)
• Diligencia debida en la cadena de suministro (¿ha evaluado a sus proveedores?)

En España, el marco del ENS (Esquema Nacional de Seguridad) proporciona una base sólida para las entidades del sector público, pero NIS2 añade obligaciones adicionales que van más allá del ENS. Estas cuatro áreas deben encabezar su lista de remediación independientemente de su evaluación interna de riesgos.

Paso 5: Construya su hoja de ruta de remediación

Transforme su análisis de brechas en un plan de acción concreto con responsables, plazos y estimaciones presupuestarias.

Victorias rápidas (1-3 meses):

• Formalizar la aprobación del consejo de las políticas de seguridad existentes
• Programar formación en ciberseguridad para la dirección (requisito del Artículo 20)
• Registrarse ante la autoridad nacional si el portal está habilitado
• Establecer una cadena de contacto para la respuesta a incidentes

Acciones a medio plazo (3-6 meses):

• Implementar o mejorar las capacidades de monitorización y detección
• Realizar evaluaciones de seguridad de proveedores para los vendedores críticos
• Desplegar autenticación multifactor en todos los sistemas críticos
• Desarrollar y probar plantillas de notificación de incidentes

Iniciativas a largo plazo (6-12 meses):

• Construir un programa de evaluación continua de la eficacia
• Integrar los requisitos de seguridad de la cadena de suministro en los procesos de adquisición
• Establecer un ciclo regular de auditoría y revisión
• Alinear los planes de continuidad del negocio con los requisitos de NIS2

Errores comunes en los análisis de brechas NIS2

Tratarlo como un ejercicio puntual. El cumplimiento de NIS2 es continuo. Su análisis de brechas debe ser un documento vivo que revise trimestralmente — como mínimo tras cualquier cambio significativo en su entorno TI, estructura organizativa o panorama de amenazas.

Ignorar la cadena de suministro. Las organizaciones tienden a mirar hacia adentro. Pero el Artículo 21(2)(d) exige explícitamente mirar hacia fuera — hacia sus proveedores, prestadores de servicios y dependencias. Un análisis de brechas que se detiene en su propio perímetro está incompleto.

Saltarse el consejo. El Artículo 20 hace a los órganos de dirección personalmente responsables. Si su consejo no ha sido informado de los resultados del análisis de brechas y no ha aprobado formalmente el plan de remediación, tiene una brecha de gobernanza que los reguladores detectarán.

Sobrecomplicar el proceso. No necesita un compromiso de consultoría de seis meses para realizar un análisis de brechas. Una autoevaluación estructurada frente a las diez medidas del Artículo 21, realizada con honestidad y debidamente documentada, le lleva el 80% del camino.

Comience con una evaluación rápida

Realizar un análisis de brechas NIS2 completo requiere tiempo y coordinación interna. Pero puede obtener una imagen inicial clara en minutos.

Realice el NIS2 Quick Scan gratuito — mapea su organización frente a los requisitos del Artículo 21 y le muestra exactamente dónde están sus mayores brechas. Es la forma más rápida de entender su preparación para NIS2 antes de comprometerse con un programa de remediación completo.

Las organizaciones que inicien su análisis de brechas ahora — mientras la aplicación se intensifica en toda Europa — tendrán tiempo para cerrar las brechas de forma metódica, sin la presión y los costes adicionales que conlleva una carrera de última hora hacia el cumplimiento.