¿Cuántas medidas de ciberseguridad exige el artículo 21 de NIS2?

El artículo 21 de NIS2 establece 10 categorías de medidas obligatorias: análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, desarrollo seguro, evaluación de eficacia, formación, criptografía, control de accesos y autenticación multifactor.

¿Es obligatorio el MFA (autenticación multifactor) bajo NIS2?

Sí. El artículo 21 de NIS2 exige MFA para acceso a sistemas críticos, acceso remoto (VPN, escritorio remoto), correo corporativo y sistemas de administración. Incumplir este requisito es directamente sancionable.

¿Qué plazo de notificación de incidentes exige NIS2?

NIS2 exige tres plazos: alerta temprana en 24 horas desde que se conoce el incidente, notificación formal en 72 horas con evaluación del impacto, e informe final en 1 mes con análisis completo y medidas adoptadas.

¿NIS2 obliga a hacer copias de seguridad?

Sí. La medida de continuidad de negocio (artículo 21) exige backups regulares, offline o en nube separada, y verificados mediante restauraciones de prueba periódicas. También exige un plan de recuperación ante desastres con objetivos de RTO y RPO definidos.

¿Los directivos tienen que formarse en ciberseguridad bajo NIS2?

Sí. NIS2 exige formación periódica en ciberseguridad para todos los empleados y específicamente para los miembros del órgano de dirección. Un directivo que no pueda demostrar formación puede ser considerado negligente en caso de incidente.

NIS2: las 10 medidas del artículo 21 explicadas

El artículo 21 de NIS2 es el corazón técnico de la directiva. Define las 10 categorías de medidas que toda entidad obligada debe implementar. No son recomendaciones: son obligaciones legales cuyo incumplimiento puede suponer multas de millones y responsabilidad personal de la dirección.

¿Cuál es el principio base del artículo 21 de NIS2?

NIS2 aplica un enfoque de proporcionalidad: las medidas deben adaptarse al riesgo real, teniendo en cuenta el tamaño de la organización, su exposición a amenazas y la gravedad de las posibles consecuencias. Proporcionalidad no significa que las medianas empresas puedan ignorarlo: significa que las medidas deben ser razonables para su contexto, pero deben existir y estar documentadas.

¿Qué establece la medida 1 sobre análisis de riesgos?

Esta es la medida fundacional. Necesitas un proceso documentado y sistemático para identificar, evaluar y gestionar los riesgos de ciberseguridad.

En la práctica:

Inventario actualizado de activos (sistemas, aplicaciones, datos)
Análisis de amenazas y vulnerabilidades para cada activo crítico
Evaluación documentada de impacto y probabilidad de cada riesgo
Decisiones registradas sobre cómo tratar cada riesgo
Política de seguridad aprobada por la dirección

Lo que falla habitualmente: muchas empresas tienen antivirus y firewall pero no tienen un análisis formal de riesgos. Si llega un inspector, no basta con decir "tenemos seguridad" — hay que mostrar el documento.

¿Qué exige la medida 2 sobre gestión de incidentes?

NIS2 requiere un proceso formal y probado para detectar, responder y notificar incidentes de ciberseguridad.

Procedimiento documentado de respuesta: quién hace qué, en qué orden
Mecanismos de detección: logs centralizados, alertas, monitorización
Definición de qué es un "incidente significativo" bajo NIS2
Proceso de notificación con los plazos legales: 24h → 72h → 1 mes
Registro histórico de incidentes, aunque sean menores
Pruebas regulares del procedimiento (simulacros)

Incidente significativo: NIS2 lo define como el que causa o puede causar una perturbación grave del servicio, afecta a otras entidades o implica pérdidas financieras o daño reputacional considerable. Si tienes dudas, notifica. La falta de notificación se sanciona por separado del propio incidente.

¿Qué exige la medida 3 sobre continuidad de negocio?

Si un ciberataque paraliza tus sistemas, ¿cuánto tardarías en volver a operar? NIS2 exige una respuesta documentada.

Plan de continuidad de negocio (BCP) que contemple escenarios de ciberincidente
Plan de recuperación ante desastres (DRP) con objetivos de RTO y RPO definidos
Copias de seguridad regulares, offline, y restauraciones de prueba verificadas
Plan de gestión de crisis: comunicación interna, clientes, proveedores y autoridades
Inventario de sistemas críticos y sus dependencias

¿Qué exige la medida 4 sobre seguridad de la cadena de suministro?

Esta medida es una de las más nuevas respecto a NIS1 y de las que más trabajo genera. Tienes que gestionar los riesgos que vienen de tus proveedores tecnológicos.

Inventario de proveedores críticos: software, SaaS, infraestructura, servicios gestionados
Evaluación de seguridad antes de contratar nuevos proveedores tecnológicos
Cláusulas contractuales de ciberseguridad: obligaciones, notificación de incidentes, auditoría
Revisión periódica de proveedores existentes
Plan de contingencia si un proveedor crítico falla o sufre un incidente

¿Qué exige la medida 5 sobre desarrollo y adquisición seguros?

Si desarrollas software o adquieres sistemas tecnológicos, la seguridad debe considerarse desde el diseño:

Política de desarrollo seguro (revisión de código, pruebas de seguridad, gestión de dependencias)
Criterios de seguridad en adquisición de software y hardware
Gestión de vulnerabilidades: proceso para aplicar parches en tiempo razonable
Pruebas de seguridad antes de desplegar nuevos sistemas

¿Qué exige la medida 6 sobre evaluación de la eficacia?

No basta con implementar medidas: tienes que medir si funcionan.

Auditorías internas de ciberseguridad (al menos anual)
Pruebas de penetración periódicas en sistemas críticos
KPIs de seguridad monitorizados regularmente
Revisión de incidentes pasados y lecciones aprendidas
Para entidades esenciales: auditoría externa obligatoria cada 2 años

¿Qué exige la medida 7 sobre formación y concienciación?

La tecnología no sirve de nada si las personas no saben cómo comportarse. NIS2 hace de la formación una obligación legal.

Programa de formación en ciberseguridad para todos los empleados (al menos anual)
Formación específica para personal técnico y de IT
Formación obligatoria para la dirección y el consejo de administración
Simulaciones de phishing periódicas
Registro de participación en formaciones

La dirección también tiene que formarse: NIS2 exige expresamente que los miembros del órgano de dirección reciban formación periódica. Un directivo que no puede explicar qué es ransomware o qué implica NIS2 puede ser considerado negligente si hay un incidente.

¿Qué exige la medida 8 sobre criptografía y cifrado?

El cifrado ya no es opcional. NIS2 exige una política formal que defina cuándo y cómo se usa:

Política de cifrado documentada: qué datos deben cifrarse en tránsito y en reposo
Cifrado de datos sensibles en bases de datos y almacenamiento
TLS/HTTPS en todas las comunicaciones de sistemas críticos
Gestión de claves criptográficas: generación, almacenamiento, rotación y revocación
VPN o equivalente para acceso remoto
Cifrado de dispositivos de almacenamiento portátiles

¿Qué exige la medida 9 sobre control de accesos y recursos humanos?

Esta medida cubre el ciclo de vida del empleado desde la perspectiva de la seguridad y el control de quién accede a qué:

Principio de mínimo privilegio: cada usuario solo accede a lo que necesita para su trabajo
Gestión de accesos privilegiados (administradores, bases de datos, sistemas críticos)
Revocación inmediata de accesos al terminar la relación laboral
Gestión de cuentas de servicio y cuentas compartidas
Revisión periódica de permisos
Verificación de antecedentes para puestos con acceso a sistemas críticos

¿Qué exige la medida 10 sobre autenticación multifactor?

MFA pasa de recomendación a obligación legal bajo NIS2. Aplica especialmente a sistemas críticos y acceso remoto:

MFA obligatorio para acceso a sistemas de administración y gestión
MFA para acceso remoto (VPN, escritorio remoto, acceso a cloud)
MFA para correo electrónico corporativo
Comunicaciones de voz y vídeo seguras para información sensible

Dato clave: El 80% de las brechas de seguridad involucran credenciales comprometidas. Sin MFA, una contraseña robada es suficiente para acceder a sistemas críticos. NIS2 convierte en sancionable lo que antes era simplemente imprudente.

¿Cómo documentar el cumplimiento de las medidas NIS2?

Implementar medidas sin documentarlas es casi tan malo como no implementarlas. Necesitarás:

Política de seguridad aprobada y firmada por la dirección
Resultados del análisis de riesgos actualizado
Registro de incidentes histórico
Plan de continuidad de negocio y evidencias de restauraciones
Contratos con proveedores críticos con cláusulas de seguridad
Registros de formación del personal
Resultados de auditorías internas o externas
Evidencias de configuración de MFA en sistemas críticos

¿Por dónde empezar si no tenemos nada implementado?

El orden recomendado para la mayoría de empresas medianas:

Inventario de activos — base de todo lo demás
MFA en sistemas críticos y acceso remoto — impacto máximo, implementación rápida
Copias de seguridad verificadas y procedimiento de restauración
Plan de gestión de incidentes con los plazos NIS2
Análisis de riesgos formal aunque sea simplificado
Contratos con proveedores: revisar y añadir cláusulas de seguridad
Resto de medidas según el análisis de riesgos

Siguiente paso: Para construir tu hoja de ruta completa de cumplimiento con un checklist detallado, consulta el plan de acción NIS2 paso a paso.