Inicio/Blog/NIS2 para desarrolladores
Ingeniería de Cumplimiento de Ciberseguridad

NIS2 para desarrolladores: convertir regulación en requisitos backend

NIS2 exige a entidades esenciales e importantes gestionar riesgo, reportar incidentes significativos, proteger proveedores, mantener continuidad, manejar vulnerabilidades y dar a los órganos directivos responsabilidad real de aprobación y supervisión. Ingeniería convierte esos deberes en controles diarios.

Determine el alcance antes de los controles

NIS2 cubre 18 sectores críticos y distingue entidades esenciales e importantes. Sector, tipo, tamaño, criticidad, registro, autoridad, supervisión y reporting dependen de la transposición nacional. Mantenga un registro por jurisdicción validado con asesoría legal.

Entidad y jurisdicciónEntidad legal, países, establecimiento, sector, tamaño, ley, autoridad, CSIRT y registro.
Servicios críticosProductos, clientes, dependencias, SLA, outage tolerable, datos e impacto.
Redes y sistemasApps, APIs, identidades, cloud, endpoints, OT, repos, pipelines, datos, activos y owners.
Supply chainMSP/MSSP, cloud/SaaS, software, open source, contratistas, conectividad, concentración y cuartas partes.

La responsabilidad directiva cambia el delivery

El Artículo 20 exige que los órganos de dirección aprueben medidas, supervisen la implementación y reciban formación; la ley nacional puede responsabilizarlos. Riesgos, excepciones, retrasos, readiness, concentración, ejercicios y efectividad deben llegar a dirección.

Pipeline desde la obligación NIS2 al control
01 AlcanceMapee entidades y serviciosJurisdicción, estado, impacto, autoridad, sistemas, owners, proveedores y deadlines.
02 EvaluarModele riesgos all-hazardsAmenaza, vulnerabilidad, impacto, eventos físicos, dependencias, residual y aceptación.
03 EspecificarConvierta el Artículo 21Incidentes, continuidad, supply chain, secure development, vulnerabilidades, acceso, crypto, MFA y formación.
04 ImplementarUbique controlesIAM, CI/CD, cloud policy, inventario, endpoint/red, backups, observabilidad, secrets y vendors.
05 EvidenciarRecoja prueba automáticaConfig, scans, aprobaciones, tests, access review, restore, SBOM, tickets, logs y excepciones.
06 DetectarEncuentre incidentes tempranoImpacto, compromiso, movimiento lateral, pérdida, proveedor, near miss y confianza.
07 ReportarEjecute el reloj legalEarly warning, 72 horas, updates, informe final, hechos, incertidumbre e impacto transfronterizo.
08 MejorarCierre el feedbackCausa, corrección, proveedor, lecciones, políticas, tests y revisión directiva.

Convierta el Artículo 21 en criterios de aceptación

MedidaRequisito backend/plataformaEvidenciaSeñalGate
Riesgo y políticasCatálogo, dependencias, threat model, owner, clasificación, controles, residual y revisión.Riesgo aprobado y excepciones.Activo sin owner, exposición o review vencido.Servicio crítico exige owner/riesgo aceptado.
IncidentesDetección, caso, severidad, evidencia, comunicación, escalamiento, reloj y contactos.Ejercicios, traces y plantillas.MTTD, demora, logs ausentes, deadline.Launch exige respuesta probada.
Continuidad y crisisRTO/RPO, backups aislados, restore, failover, comunicación, fallback y roles.Pruebas y gaps.Backup, lag, capacidad o dependencia.Objetivos críticos deben pasar.
Supply chainRegistro, criticidad, due diligence, contratos, acceso, SBOM/BOM, procedencia, concentración y salida.Evaluaciones, contratos e inventario.Subprocesador, package comprometido, outage o EOL.Bloquear proveedor no aprobado.
Secure development y vulnerabilidadesSDLC, review, SAST/DAST/SCA, secrets, patch SLA, disclosure, triage, firma y emergencia.Pipeline, tickets, firmas y excepciones.Exploitability, antigüedad, exposición y explotación activa.Gate por riesgo con excepción responsable.
EfectividadTests, purple team, detección, restore, acceso y ejercicios de proveedor.Resultados, fallas, corrección y retest.Cobertura o control ineficaz.Freshness y threshold.
Higiene y formaciónFormación por rol, defaults y checklists.Finalización, competencia y ejercicios.Acciones riesgosas o cobertura faltante.Privilegios requieren formación vigente.
CriptografíaClasificación, algoritmos, KMS/HSM, claves, rotación, certificados y revocación.Política, inventario y logs.Expiración, protocolo débil o clave sin owner.Rechazar configuración no conforme.
RR. HH., acceso y activosJoiner/mover/leaver, least privilege, PAM, reviews, identities, ownership y lifecycle.Aprobaciones, reviews y revocaciones.Cuenta huérfana, exceso o activo desconocido.Acceso crítico exige owner, MFA y caducidad.
MFA y comunicacionesMFA resistente a phishing, conditional access, admin path, emergencia y break-glass.Cobertura, políticas y ejercicios.Bypass, login riesgoso o canal caído.Bloquear fuera del assurance aprobado.

Incorpore el reloj de 24 horas

El Artículo 23 prevé alerta temprana en 24 horas desde awareness, notificación en 72 horas, actualizaciones y reporte final dentro de un mes. La ley nacional define autoridad, formato y requisitos adicionales. Preserve el timestamp exacto y separe hechos, evaluación, incertidumbre y correcciones.

T+0 AwarenessEvento calificado; evidencia, owner, confianza, impacto y motivo del inicio.
Hasta 24 horasAlerta temprana: causa sospechada, impacto transfronterizo, servicios, mitigación y contacto.
Hasta 72 horasSeveridad, impacto, IOCs, hipótesis de causa, respuesta y cambios materiales.
Hasta un mesDescripción, causa probable, mitigación, impacto, correcciones, lecciones y updates.

La significancia necesita una decisión ejecutable

Cree reglas por jurisdicción/sector usando interrupción, usuarios, duración, geografía, daño, compromiso, impacto transfronterizo y criterios del reglamento. La regla recomienda; incident lead y legal/compliance autorizados deciden.

Preserve evidencia mientras restaura

Use relojes sincronizados, logs inmutables, snapshots, forense, chain of custody, timeline, decisiones, versiones y acceso. Fix, comunicación, reporte y RCA comparten incident ID.

Supply chain llega al build graph

Sepa qué servicio usa package, container, cloud, MSP, CI action, firmware, modelo y proveedor de datos. Registre versión, procedencia, soporte, privilegios, acceso, alcance, sustitución y concentración.

La vulnerabilidad es un lifecycle

Combine disclosure, scanners, advisories, KEV, exploitability, exposición, criticidad, compensación y patch. Controle descubrimiento, recepción, triage, owner, due date, excepción, rollout, retest y recurrencia.

Continuidad incluye proveedores y personas

Pruebe pérdida de IdP, DNS, región cloud, CI/CD comprometido, MSP caído, ransomware, oficina inaccesible y falla simultánea. Mantenga contactos offline, comunicación de emergencia, operación manual, clean-room y artefactos conocidos.

La evidencia sale de los sistemas

Recoja vía APIs/eventos protección de repos, reviews, firmas, cloud config, MFA/PAM, postura, vulnerabilidades, backup/restore, proveedores, ejercicios y formación. Cada evidencia tiene alcance, fuente, tiempo, collector, owner, resultado, vigencia, excepción y remediación.

Riesgo
IR
BCP
Supply
Vuln
Test
Train
Crypto
Acceso
MFA

El reglamento de ejecución detalla entidades digitales

El Reglamento 2024/2690 define requisitos y criterios para DNS, TLD, cloud, data centres, CDN, MSP/MSSP, marketplaces, buscadores, redes sociales y servicios de confianza. La guía ENISA 2025 aporta ejemplos y mappings.

La transposición nacional forma parte de la arquitectura

Los Estados debían transponer antes del 17 de octubre de 2024, pero el avance fue desigual. Mantenga módulos por país para alcance, registro, autoridad, canales, idioma, formato, sanciones, retención, sector y plazos.

Lo que construiría

Registro de entidad/jurisdicción; grafo de servicios/dependencias; catálogo riesgo-control; policy gates; inventario de suppliers/software; lifecycle de vulnerabilidades; collectors; pruebas de restore; caso y reloj legal; reglas de significancia; contactos CSIRT; generador versionado; comunicación de crisis; dashboard/aprobaciones; ejercicios y analítica de efectividad.

El principio

NIS2 se vuelve accionable cuando cada obligación tiene owner, control, señal, prueba, evidencia, plazo y decisión directiva. Los documentos deben ser outputs de un programa resiliente.

Nota legal: interpretación de ingeniería, no asesoría jurídica. Verifique transposición nacional, autoridad, sector y hechos.

Lecturas relacionadas

Artículo sobre NIS2, gobernanza, riesgo, incidentes, continuidad, supply chain, vulnerabilidades, acceso, evidencia y responsabilidad directiva.