Determine el alcance antes de los controles
NIS2 cubre 18 sectores críticos y distingue entidades esenciales e importantes. Sector, tipo, tamaño, criticidad, registro, autoridad, supervisión y reporting dependen de la transposición nacional. Mantenga un registro por jurisdicción validado con asesoría legal.
Entidad y jurisdicciónEntidad legal, países, establecimiento, sector, tamaño, ley, autoridad, CSIRT y registro.
Servicios críticosProductos, clientes, dependencias, SLA, outage tolerable, datos e impacto.
Redes y sistemasApps, APIs, identidades, cloud, endpoints, OT, repos, pipelines, datos, activos y owners.
Supply chainMSP/MSSP, cloud/SaaS, software, open source, contratistas, conectividad, concentración y cuartas partes.
La responsabilidad directiva cambia el delivery
El Artículo 20 exige que los órganos de dirección aprueben medidas, supervisen la implementación y reciban formación; la ley nacional puede responsabilizarlos. Riesgos, excepciones, retrasos, readiness, concentración, ejercicios y efectividad deben llegar a dirección.
Pipeline desde la obligación NIS2 al control01 AlcanceMapee entidades y serviciosJurisdicción, estado, impacto, autoridad, sistemas, owners, proveedores y deadlines.
02 EvaluarModele riesgos all-hazardsAmenaza, vulnerabilidad, impacto, eventos físicos, dependencias, residual y aceptación.
03 EspecificarConvierta el Artículo 21Incidentes, continuidad, supply chain, secure development, vulnerabilidades, acceso, crypto, MFA y formación.
04 ImplementarUbique controlesIAM, CI/CD, cloud policy, inventario, endpoint/red, backups, observabilidad, secrets y vendors.
05 EvidenciarRecoja prueba automáticaConfig, scans, aprobaciones, tests, access review, restore, SBOM, tickets, logs y excepciones.
06 DetectarEncuentre incidentes tempranoImpacto, compromiso, movimiento lateral, pérdida, proveedor, near miss y confianza.
07 ReportarEjecute el reloj legalEarly warning, 72 horas, updates, informe final, hechos, incertidumbre e impacto transfronterizo.
08 MejorarCierre el feedbackCausa, corrección, proveedor, lecciones, políticas, tests y revisión directiva.
Convierta el Artículo 21 en criterios de aceptación
| Medida | Requisito backend/plataforma | Evidencia | Señal | Gate |
|---|
| Riesgo y políticas | Catálogo, dependencias, threat model, owner, clasificación, controles, residual y revisión. | Riesgo aprobado y excepciones. | Activo sin owner, exposición o review vencido. | Servicio crítico exige owner/riesgo aceptado. |
| Incidentes | Detección, caso, severidad, evidencia, comunicación, escalamiento, reloj y contactos. | Ejercicios, traces y plantillas. | MTTD, demora, logs ausentes, deadline. | Launch exige respuesta probada. |
| Continuidad y crisis | RTO/RPO, backups aislados, restore, failover, comunicación, fallback y roles. | Pruebas y gaps. | Backup, lag, capacidad o dependencia. | Objetivos críticos deben pasar. |
| Supply chain | Registro, criticidad, due diligence, contratos, acceso, SBOM/BOM, procedencia, concentración y salida. | Evaluaciones, contratos e inventario. | Subprocesador, package comprometido, outage o EOL. | Bloquear proveedor no aprobado. |
| Secure development y vulnerabilidades | SDLC, review, SAST/DAST/SCA, secrets, patch SLA, disclosure, triage, firma y emergencia. | Pipeline, tickets, firmas y excepciones. | Exploitability, antigüedad, exposición y explotación activa. | Gate por riesgo con excepción responsable. |
| Efectividad | Tests, purple team, detección, restore, acceso y ejercicios de proveedor. | Resultados, fallas, corrección y retest. | Cobertura o control ineficaz. | Freshness y threshold. |
| Higiene y formación | Formación por rol, defaults y checklists. | Finalización, competencia y ejercicios. | Acciones riesgosas o cobertura faltante. | Privilegios requieren formación vigente. |
| Criptografía | Clasificación, algoritmos, KMS/HSM, claves, rotación, certificados y revocación. | Política, inventario y logs. | Expiración, protocolo débil o clave sin owner. | Rechazar configuración no conforme. |
| RR. HH., acceso y activos | Joiner/mover/leaver, least privilege, PAM, reviews, identities, ownership y lifecycle. | Aprobaciones, reviews y revocaciones. | Cuenta huérfana, exceso o activo desconocido. | Acceso crítico exige owner, MFA y caducidad. |
| MFA y comunicaciones | MFA resistente a phishing, conditional access, admin path, emergencia y break-glass. | Cobertura, políticas y ejercicios. | Bypass, login riesgoso o canal caído. | Bloquear fuera del assurance aprobado. |
Incorpore el reloj de 24 horas
El Artículo 23 prevé alerta temprana en 24 horas desde awareness, notificación en 72 horas, actualizaciones y reporte final dentro de un mes. La ley nacional define autoridad, formato y requisitos adicionales. Preserve el timestamp exacto y separe hechos, evaluación, incertidumbre y correcciones.
T+0 AwarenessEvento calificado; evidencia, owner, confianza, impacto y motivo del inicio.
Hasta 24 horasAlerta temprana: causa sospechada, impacto transfronterizo, servicios, mitigación y contacto.
Hasta 72 horasSeveridad, impacto, IOCs, hipótesis de causa, respuesta y cambios materiales.
Hasta un mesDescripción, causa probable, mitigación, impacto, correcciones, lecciones y updates.
La significancia necesita una decisión ejecutable
Cree reglas por jurisdicción/sector usando interrupción, usuarios, duración, geografía, daño, compromiso, impacto transfronterizo y criterios del reglamento. La regla recomienda; incident lead y legal/compliance autorizados deciden.
Preserve evidencia mientras restaura
Use relojes sincronizados, logs inmutables, snapshots, forense, chain of custody, timeline, decisiones, versiones y acceso. Fix, comunicación, reporte y RCA comparten incident ID.
Supply chain llega al build graph
Sepa qué servicio usa package, container, cloud, MSP, CI action, firmware, modelo y proveedor de datos. Registre versión, procedencia, soporte, privilegios, acceso, alcance, sustitución y concentración.
La vulnerabilidad es un lifecycle
Combine disclosure, scanners, advisories, KEV, exploitability, exposición, criticidad, compensación y patch. Controle descubrimiento, recepción, triage, owner, due date, excepción, rollout, retest y recurrencia.
Continuidad incluye proveedores y personas
Pruebe pérdida de IdP, DNS, región cloud, CI/CD comprometido, MSP caído, ransomware, oficina inaccesible y falla simultánea. Mantenga contactos offline, comunicación de emergencia, operación manual, clean-room y artefactos conocidos.
La evidencia sale de los sistemas
Recoja vía APIs/eventos protección de repos, reviews, firmas, cloud config, MFA/PAM, postura, vulnerabilidades, backup/restore, proveedores, ejercicios y formación. Cada evidencia tiene alcance, fuente, tiempo, collector, owner, resultado, vigencia, excepción y remediación.
Riesgo
IR
BCP
Supply
Vuln
Test
Train
Crypto
Acceso
MFA
El reglamento de ejecución detalla entidades digitales
El Reglamento 2024/2690 define requisitos y criterios para DNS, TLD, cloud, data centres, CDN, MSP/MSSP, marketplaces, buscadores, redes sociales y servicios de confianza. La guía ENISA 2025 aporta ejemplos y mappings.
La transposición nacional forma parte de la arquitectura
Los Estados debían transponer antes del 17 de octubre de 2024, pero el avance fue desigual. Mantenga módulos por país para alcance, registro, autoridad, canales, idioma, formato, sanciones, retención, sector y plazos.
Lo que construiría
Registro de entidad/jurisdicción; grafo de servicios/dependencias; catálogo riesgo-control; policy gates; inventario de suppliers/software; lifecycle de vulnerabilidades; collectors; pruebas de restore; caso y reloj legal; reglas de significancia; contactos CSIRT; generador versionado; comunicación de crisis; dashboard/aprobaciones; ejercicios y analítica de efectividad.
El principio
NIS2 se vuelve accionable cuando cada obligación tiene owner, control, señal, prueba, evidencia, plazo y decisión directiva. Los documentos deben ser outputs de un programa resiliente.
Nota legal: interpretación de ingeniería, no asesoría jurídica. Verifique transposición nacional, autoridad, sector y hechos.