NIS2 Compliance Checklist — 10 Mandatory Measures for EU Businesses

¿Qué es la Directiva NIS2?

La Directiva NIS2(Directiva (UE) 2022/2555) es la legislación integral de ciberseguridad de la Unión Europea, que sustituye a la Directiva original sobre seguridad de las redes y sistemas de información de 2016. Adoptada el 14 de diciembre de 2022, NIS2 amplía considerablemente el ámbito de las organizaciones afectadas, introduce requisitos de seguridad específicos y establece sanciones sustanciales por incumplimiento.

NIS2 afecta a unas 160.000 entidades en toda la UE, frente a aproximadamente 10.000 en el marco de la Directiva NIS original. Cubre 18 sectores clasificados como entidades «esenciales» (Anexo I) o «importantes» (Anexo II):

• Entidades esenciales (Anexo I): Energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, gestión de servicios TIC, administración pública, espacio
• Entidades importantes (Anexo II): Servicios postales y de mensajería, gestión de residuos, química, alimentación, industria manufacturera, proveedores digitales (mercados en línea, motores de búsqueda, redes sociales), organizaciones de investigación

Key Timeline

Las 10 medidas de seguridad del Artículo 21

El Artículo 21 de NIS2 obliga a las entidades esenciales e importantes a aplicar «medidas técnicas, operativas y organizativas apropiadas y proporcionadas» para gestionar los riesgos de ciberseguridad. Estas medidas deben basarse en un enfoque de todos los riesgos y cubrir como mínimo los siguientes diez ámbitos:

1. Políticas de análisis de riesgos y seguridad de los sistemas de información

Requisito:Establecer y mantener políticas integrales de ciberseguridad que cubran metodologías de evaluación de riesgos, clasificación de activos y uso aceptable. Las políticas deben ser aprobadas por la dirección y revisadas al menos anualmente.

Pasos de implementación:Realice una evaluación de riesgos según ISO 27005 o NIST SP 800-30. Documente una política de seguridad de la información alineada con ISO 27001. Clasifique todos los activos de información por criticidad. Defina criterios de aceptación de riesgos y planes de tratamiento. Asigne responsabilidades y calendarios de revisión.

Evidencia requerida:Política de seguridad escrita aprobada por la dirección, informe de evaluación de riesgos, inventario de activos, plan de tratamiento de riesgos, registros de revisión anual.

2. Gestión de incidentes

Requisito:Implementar procedimientos para prevenir, detectar, analizar, contener y responder a incidentes de ciberseguridad. NIS2 introduce plazos específicos de notificación: alerta temprana en 24 horas, notificación completa en 72 horas e informe final en un mes al CSIRT designado.

Pasos de implementación:Elabore un plan de respuesta a incidentes con roles definidos (matriz RACI). Establezca una capacidad de detección 24/7 o contrate un servicio de detección y respuesta gestionada (MDR). Defina criterios de clasificación y procedimientos de escalamiento. Pruebe el plan mediante ejercicios de simulación regulares.

Evidencia requerida:Plan de respuesta a incidentes, datos de contacto del CSIRT y plantillas de notificación, registro de incidentes, informes de ejercicios de simulación, documentación de lecciones aprendidas.

3. Continuidad de negocio y gestión de crisis

Requisito:Garantizar la continuidad de negocio mediante gestión de copias de seguridad, recuperación ante desastres y procedimientos de gestión de crisis.

Pasos de implementación:Realice un análisis de impacto en el negocio (BIA). Implemente sistemas de copia de seguridad automatizados con procedimientos de restauración probados. Desarrolle un plan de recuperación con RTO y RPO definidos. Establezca un plan de comunicación de crisis.

Evidencia requerida:Análisis de impacto, política de copias de seguridad y registros de pruebas, plan de recuperación, procedimientos de gestión de crisis, resultados anuales de las pruebas.

4. Seguridad de la cadena de suministro

Requisito:Abordar los riesgos de seguridad en las relaciones con proveedores directos y prestadores de servicios, incluyendo evaluación de productos y prácticas de ciberseguridad de los proveedores.

Pasos de implementación:Cree un inventario de proveedores con clasificación por criticidad. Defina requisitos mínimos de seguridad para proveedores. Realice evaluaciones de seguridad de proveedores críticos anualmente. Supervise la postura de seguridad de los proveedores. Incluya requisitos de notificación de incidentes en los contratos.

Evidencia requerida:Inventario y clasificación de riesgos de proveedores, cláusulas de seguridad en contratos, informes de evaluación, plan de respuesta a incidentes de la cadena de suministro.

5. Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información

Requisito:Integrar la seguridad en todo el ciclo de vida de las redes y sistemas de información. Esto incluye la gestión y divulgación de vulnerabilidades.

Pasos de implementación:Implemente un SSDLC. Realice pruebas de seguridad (SAST, DAST, SCA) en las pipelines CI/CD. Establezca un programa de gestión de vulnerabilidades con plazos basados en SLA. Defina una política de divulgación de vulnerabilidades.

Evidencia requerida:Documentación SSDLC, informes de pruebas de seguridad, política de gestión de vulnerabilidades, registros de parches, política de divulgación.

6. Políticas y procedimientos para evaluar la eficacia de la gestión de riesgos

Requisito:Establecer políticas y procedimientos para evaluar si las medidas de gestión de riesgos de ciberseguridad implementadas son eficaces.

Pasos de implementación:Defina métricas y KPI de seguridad. Programe auditorías internas y pruebas de penetración regulares. Implemente herramientas de monitorización continua. Realice revisiones de dirección trimestrales. Considere auditorías externas o certificaciones.

Evidencia requerida:Dashboard de métricas, informes de auditoría interna, informes de pruebas de penetración, actas de revisión de dirección, registros de certificación.

7. Prácticas básicas de ciberhigiene y formación

Requisito:Implementar prácticas básicas de ciberhigiene y proporcionar formación regular en ciberseguridad a todos los empleados, incluida la dirección.

Pasos de implementación:Despliegue un programa de concienciación en ciberseguridad. Proporcione formación especializada para la dirección. Implemente campañas de simulación de phishing. Aplique políticas de contraseñas, cifrado de dispositivos y teletrabajo seguro.

Evidencia requerida:Materiales de formación y registros de asistencia, resultados de simulaciones de phishing, política de ciberhigiene, certificados de formación de la dirección.

8. Políticas y procedimientos relativos a la criptografía y el cifrado

Requisito:Establecer políticas sobre el uso de criptografía y, en su caso, cifrado para proteger la confidencialidad, autenticidad e integridad de los datos.

Pasos de implementación:Defina una política de criptografía. Implemente TLS 1.2+. Cifre datos sensibles en reposo con AES-256. Establezca procedimientos de gestión de claves. Documente inventarios criptográficos.

Evidencia requerida:Política de criptografía, registros de configuración TLS, documentación de cifrado, procedimientos de gestión de claves, inventario criptográfico.

9. Seguridad de recursos humanos, control de acceso y gestión de activos

Requisito:Implementar medidas de seguridad de RRHH, políticas de control de acceso (privilegio mínimo, RBAC) y gestión de activos.

Pasos de implementación:Implemente RBAC con privilegio mínimo. Establezca listas de verificación de incorporación y baja. Mantenga un inventario completo de activos. Realice revisiones de acceso periódicas. Implemente MFA para todos los accesos administrativos y remotos.

Evidencia requerida:Política de control de acceso, matriz RBAC, listas de verificación, inventario de activos, registros de revisión de accesos, documentación MFA.

10. Autenticación multifactor, comunicaciones seguras y sistemas de comunicación de emergencia

Requisito:Utilizar autenticación multifactor, comunicaciones seguras de voz, vídeo y texto, y sistemas de comunicación de emergencia seguros.

Pasos de implementación:Despliegue MFA para todas las cuentas con acceso a sistemas críticos. Implemente canales de comunicación cifrados de extremo a extremo. Establezca procedimientos de comunicación de emergencia fuera de banda. Pruebe regularmente los sistemas de emergencia.

Evidencia requerida:Registros de despliegue MFA, documentación de la plataforma de comunicación segura, plan y resultados de pruebas de comunicación de emergencia, estadísticas de inscripción, documentación de excepciones.

Penalties for Non-Compliance

NIS2 introduces a tiered penalty structure that makes cybersecurity a board-level concern:

Beyond financial penalties, NIS2 introduces personal liability for management. Article 20 states that management bodies of essential and important entities must approve and oversee cybersecurity risk management measures and can be held personally liable for infringements. Supervisory authorities can impose temporary bans on individuals exercising management functions if they fail to comply.

Responsabilidad de la dirección en NIS2

NIS2 aborda explícitamente la idea errónea de que «la ciberseguridad es un problema de TI». El Artículo 20 exige que:

• Los órganos de dirección aprueben las medidas de gestión de riesgos de ciberseguridad
• Los órganos de dirección supervisen la aplicación de dichas medidas
• Los miembros de la dirección reciban formación para adquirir conocimientos y competencias suficientes para identificar riesgos y evaluar las prácticas de ciberseguridad
• Todos los empleados reciban formación periódica

Esto significa que el CEO, el CFO y los miembros del consejo de administración pueden ser considerados personalmente responsables de las deficiencias en ciberseguridad. Se trata de un cambio significativo respecto a la legislación europea anterior en ciberseguridad y se alinea con las disposiciones de responsabilidad personal existentes en la regulación financiera.

Requisitos de notificación de incidentes

NIS2 establece un proceso de notificación de incidentes estructurado en tres fases para los incidentes significativos:

1. Alerta temprana (24 horas):En las 24 horas siguientes al conocimiento de un incidente significativo, la entidad debe presentar una alerta temprana al CSIRT o autoridad competente, indicando si se sospecha que el incidente es consecuencia de actos ilícitos o malintencionados y si podría tener un impacto transfronterizo.
2. Notificación de incidente (72 horas):En las 72 horas, debe presentarse una notificación completa que incluya una evaluación inicial del incidente (gravedad, impacto), indicadores de compromiso y las medidas de respuesta de la entidad.
3. Informe final (1 mes):En el mes siguiente a la notificación, debe presentarse un informe final con una descripción detallada del incidente, análisis de causas raíz, medidas de remediación aplicadas e impacto transfronterizo si procede.

Primeros pasos en el cumplimiento de NIS2

El camino hacia el cumplimiento de NIS2 comienza por comprender su postura de seguridad actual. Un análisis de brechas respecto a las 10 medidas del Artículo 21 revela dónde se encuentra y qué queda por hacer. Para la mayoría de las organizaciones, las áreas prioritarias son:

1. Evaluación de riesgos y políticas (Medida 1):Es la base sobre la que se construye todo lo demás. Sin comprender sus riesgos, no puede asignar recursos eficazmente.
2. Gestión de incidentes (Medida 2):El requisito de notificación en 24 horas significa que las capacidades de detección y los procedimientos de respuesta deben estar en marcha antes de que ocurra un incidente.
3. Seguridad de la cadena de suministro (Medida 4):A menudo la medida que más tiempo requiere, ya que implica interactuar con terceros. Comience pronto.
4. Medidas técnicas (Medidas 5, 8, 10):Las herramientas de escaneo automatizado pueden identificar rápidamente las lagunas en su postura de seguridad técnica: gestión de vulnerabilidades, cifrado y autenticación.