Requisitos de MFA de NIS2: por qué «ya tenemos MFA» ya no supera una auditoría

Un cliente le dice que la autenticación está cubierta. Todos tienen Microsoft Authenticator, la aprobación por push está impuesta, listo. Entonces un auditor abre la guía técnica de ENISA y hace una sola pregunta: ¿la MFA de sus cuentas con privilegios es resistente al phishing? Y de repente la respuesta es no.

Esta es la brecha que la mayoría de las organizaciones no ve venir. NIS2 nombra directamente la autenticación multifactor, pero el consenso de los supervisores ya ha superado la MFA básica. Si asesora a entidades europeas sobre el cumplimiento de NIS2, la conversación sobre MFA que tuvo hace dieciocho meses está desfasada.

El artículo 21(2)(j) nombra la MFA — pero no define «suficientemente buena»

El artículo 21(2)(j) de NIS2 exige «el uso de soluciones de autenticación multifactor o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicación de emergencia dentro de la entidad, cuando proceda.»

Dos expresiones de esa frase confunden a la gente. La primera es «cuando proceda.» No es opcionalidad. Significa que la entidad debe tomar una decisión documentada y basada en el riesgo sobre dónde se aplica la MFA. Un auditor que encuentre cuentas con privilegios sin MFA y sin una evaluación de riesgos que explique la omisión lo tratará como un hallazgo, no como un criterio.

El segundo problema es lo que la directiva no dice. El artículo 21 nombra la MFA pero nunca define qué factores cualifican. Ese detalle figura en el Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, que establece los requisitos técnicos y metodológicos de las medidas de gestión de riesgos. La Directiva le dice que necesita MFA. El Reglamento de Ejecución, y la guía que se apoya en él, le dice de qué tipo.

ENISA ya ha situado el listón en la resistencia al phishing

En junio de 2025, ENISA publicó la versión 1.0 de su Technical Implementation Guidance sobre el Reglamento de Ejecución 2024/2690. Es el documento en el que se apoyan los supervisores cuando evalúan si sus medidas alcanzan realmente la norma.

La guía es explícita: elija un método de autenticación cuyo nivel de garantía corresponda a la clasificación de los datos y sistemas que protege, y use opciones resistentes al phishing «siempre que sea posible.» Nombra las llaves de seguridad FIDO2 y las passkeys, basadas en los estándares FIDO y W3C WebAuthn, como el método más fuerte disponible — por delante de las contraseñas, los códigos SMS y las contraseñas de un solo uso basadas en aplicación.

El razonamiento es técnico, no una moda. Las notificaciones push, los códigos OTP y los SMS se basan todos en un secreto compartido o en una aprobación que se le puede sonsacar al usuario. Los atacantes los superan a diario con avisos de fatiga MFA, proxies adversary-in-the-middle e intercambios de SIM. Las passkeys y las llaves FIDO2 están ligadas al dominio por diseño: la credencial simplemente no se libera ante un dominio falsificado. No hay código que phishear ni aviso con el que fatigar.

Para una entidad esencial, esto importa tanto en lo financiero como en lo técnico. El incumplimiento expone a las entidades esenciales a multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial. «Teníamos MFA» es una defensa débil cuando la propia agencia del supervisor ha documentado que la MFA que implantó era la versión débil.

Artículo 21 — 10 Medidas de Ciberseguridad NIS2
🛡️
Artículo 21
10 Medidas de Ciberseguridad
📊
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información
6Evaluación de la eficacia de las medidas de seguridad
🚨
Incidentes & Continuidad
2Gestión de incidentes & notificación
3Continuidad del negocio & recuperación ante desastres
🔗
Cadena de Suministro & Sistemas
4Seguridad de la cadena de suministro
5Seguridad en el desarrollo de sistemas de redes e información
🔐
Controles Técnicos
8Criptografía & cifrado
10Autenticación multifactor & comunicaciones seguras
👥
Personas & Activos
7Ciberhigiene & formación
9Seguridad de RRHH & control de acceso

No todas las cuentas necesitan el mismo factor

El error práctico en el sentido contrario es tratar la MFA resistente al phishing como un despliegue de todo o nada y atascarse porque las llaves de hardware para 4.000 empleados parecen caras. La guía está escalonada por riesgo, y su asesoramiento también debería estarlo.

El acceso privilegiado y de alto impacto es donde la MFA resistente al phishing es de hecho innegociable: administradores de dominio, administradores de tenant en la nube, acceso a consolas de hipervisor y de copias de seguridad, y cualquier cuenta capaz de desactivar las medidas de seguridad. Si una de ellas se ve comprometida, el incidente termina antes de empezar. Despliegue aquí primero llaves FIDO2 o passkeys de plataforma.

El acceso remoto y las identidades expuestas al exterior vienen a continuación — VPN, puertas de enlace RDP y cualquier sistema accesible desde Internet. Es la puerta principal a la que realmente llaman los atacantes, así que el nivel de garantía debe ser alto.

Las cuentas estándar de los empleados pueden pasar a la MFA resistente al phishing en un calendario planificado, pero la dirección debe quedar clara en su documentación. Un auditor quiere ver que sabe dónde sigue la MFA débil y que tiene un plan fechado para retirarla, no que lo ha resuelto todo de la noche a la mañana.

Este escalonamiento es también cómo se mantienen cuerdas las conversaciones de presupuesto. Un consultor que entra exigiendo 200.000 euros en llaves de hardware pierde a la sala. Un consultor que dice «treinta llaves FIDO2 para sus quince administradores con privilegios este trimestre, passkeys para el resto el siguiente» consigue una firma.

Cómo hacerlo auditable, no solo desplegado

El despliegue es la mitad del trabajo. La mitad que sobrevive a una auditoría es el papeleo que demuestra que el despliegue fue una decisión deliberada y basada en el riesgo conforme al artículo 21.

Tres artefactos cargan con la mayor parte del peso. Primero, una clasificación de accesos que asocie tipos de cuenta a niveles de garantía requeridos — este es el documento que operacionaliza «cuando proceda.» Segundo, evidencia de la aplicación, es decir, políticas de acceso condicional o equivalentes que realmente bloqueen los inicios de sesión no conformes en lugar de limitarse a recomendar la MFA. Una política en modo «report-only» no es una medida. Tercero, un registro de excepciones: cada cuenta que aún no puede usar MFA resistente al phishing, por qué, la medida compensatoria y la fecha de subsanación.

Acierte en esos tres y la sección de MFA de una auditoría se vuelve breve. Sáltelos y hasta un despliegue técnicamente sólido parece suerte en lugar de gobernanza.

¿Se aplica la NIS2 a su organización?
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼
No▼
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗
La NIS2 no se aplica directamente a su organización.
Sí▼
No▼
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →
✗
La NIS2 no se aplica directamente a su organización.
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplica
Posiblemente aplica
No se aplica

Qué significa esto para los MSP que gestionan varios tenants

Si gestiona la identidad de varios clientes, el paso a la resistencia al phishing es un programa operativo, no un arreglo cliente a cliente. Los clientes que lo pasarán mal son los que siguen con MFA heredada en todos los frentes, y suelen ser sus encargos más pequeños, donde la resistencia presupuestaria es mayor.

Estandarice ahora. Elija un método resistente al phishing que pueda desplegar y dar soporte a escala — passkeys de plataforma más una alternativa de llave de hardware para administradores es una base defendible — y conviértalo en su línea base para cada tenant. Construya la clasificación de accesos una vez como plantilla y adáptela por cliente en lugar de reinventarla en cada encargo. Y meta el registro de excepciones en su cadencia de informes habitual para que las fechas de subsanación no se cuelen calladamente más allá de una fecha límite de auditoría.

El coste de hacerlo mal no se reparte por igual. Cuando una brecha cae sobre un cliente gestionado y la causa raíz es una MFA phishable en una cuenta de administrador, las disposiciones de cadena de suministro de NIS2 llevan la conversación hacia su contrato, no solo el de ellos.

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
▼
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
▼
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal

El movimiento que hacer este trimestre

Deje de tratar la MFA como una casilla ya marcada. La pregunta que importa bajo NIS2 ya no es «¿tenemos MFA?» sino «¿es nuestra MFA resistente al phishing donde cuenta, y podemos probar que la decisión fue deliberada?»

Empiece por las cuentas privilegiadas, documente los niveles de riesgo, aplique en modo bloqueo y mantenga un registro de excepciones honesto. Esa es la diferencia entre un hallazgo de autenticación limpio y uno caro.

Si no está seguro de dónde está realmente la MFA de sus clientes frente a la guía de ENISA, una evaluación de preparación estructurada sacará a la luz las carencias antes de que lo haga un auditor. Realice un quick scan NIS2 gratuito para ver dónde están hoy la autenticación y el resto de las medidas del artículo 21.

Para el panorama más amplio de lo que exige el artículo 21, consulte nuestro desglose de las diez medidas del artículo 21. Para poner a prueba su postura general, recorra nuestra guía paso a paso de análisis de carencias.