Checklist de la diretiva NIS2: ¿tu empresa está preparada?

La directiva NIS2 ya no es algo que vaya a llegar. Ya está aquí. Miles de empresas y proveedores tienen que adaptarse a requisitos de ciberseguridad mucho más exigentes para proteger sus sistemas y evitar posibles sanciones.

El problema es que enfrentarse al texto legal no es sencillo. Para muchos responsables de IT o directivos pasar de la teoría a la práctica puede resultar confuso y poco útil.

Por eso vamos a simplificarlo. A continuación encontrarás un checklist NIS2 claro y práctico. Incluye las 10 medidas del Artículo 21 explicadas paso a paso para que puedas evaluar tu empresa detectar brechas y empezar a cumplir desde hoy mismo.

Checklist resumen: las 10 medidas del Artículo 21 (NIS2)

1. Políticas de análisis de riesgos y seguridad de la información

El primer paso para cumplir con la NIS2 es conocer las amenazas a las que te enfrentas. La directiva exige que la ciberseguridad deje de ser algo improvisado y pase a estar formalmente organizada. No basta con instalar herramientas de protección, también necesitas tener claro qué estás protegiendo y bajo qué normas.

Para dar este punto por completado en tu checklist, asegúrate de tener lo siguiente:

• Inventario de activos: conocer exactamente qué hardware, software, sistemas y datos críticos maneja la empresa. Si no sabes lo que tienes, no puedes protegerlo.
• Análisis de riesgos periódico: contar con un mapa actualizado que identifique las vulnerabilidades de tus sistemas y evalúe el impacto real de un ciberataque sobre las operaciones del negocio.
• Política de seguridad de la información: un documento oficial aprobado por la dirección que defina las normas y procedimientos para manejar y proteger la información en el día a día de la organización.

Ejemplo práctico

Piensa en una empresa mediana de producción y distribución de alimentos, un sector que la NIS2 considera obligatorio. Al revisar su inventario, identifican que el sistema industrial SCADA, encargado de controlar las temperaturas de las cámaras frigoríficas, es su activo más crítico.

El análisis de riesgos muestra que, si un ransomware afectara esos sensores, se rompería la cadena de frío, se perderían toneladas de producto y se detendría la cadena de suministro.

Para evitarlo, la dirección aprueba una política de seguridad oficial que obliga a aislar la red de la maquinaria, de manera que no esté conectada al WiFi de las oficinas, y prohíbe el uso de USBs en los equipos de la planta.

2. Protocolos de gestión y respuesta a incidentes

Sufrir un ciberataque ya no es solo un problema técnico. Con la NIS2 también es una cuestión legal con plazos muy claros. Cuando ocurre un incidente grave no hay margen para improvisar. La directiva exige que tengas definido cómo actuar desde el primer momento, quién lidera la respuesta y a quién debes informar.

Para dar este punto por completado, tu organización debería contar con lo siguiente:

• Plan de respuesta a incidentes: un documento práctico que detalle paso a paso cómo detectar, contener, analizar y resolver una amenaza. Por ejemplo aislar equipos infectados por ransomware desde el primer momento.
• Roles definidos y comité de crisis: debe quedar claro quién toma las decisiones clave a nivel de negocio y quién se encarga de la respuesta técnica, ya sea un equipo interno o un proveedor externo.
• Protocolo de notificación: aquí está uno de los grandes cambios de la NIS2. No puedes ocultar un incidente. Necesitas un procedimiento claro para notificar a las autoridades dentro de los plazos establecidos.
  • En las primeras 24 horas se envía una alerta temprana desde que se detecta el incidente
  • En un máximo de 72 horas se realiza la notificación formal con una primera evaluación del impacto
  • En el plazo de un mes se presenta un informe completo con lo ocurrido y las medidas aplicadas

h3: Ejemplo práctico

Imagina una red de hospitales regionales, dentro del sector salud, considerado Entidad Esencial. Un viernes de madrugada, un malware bloquea el acceso al sistema de historiales clínicos en urgencias.

Siguiendo su plan de respuesta, el equipo técnico actúa de inmediato y aísla los servidores afectados para evitar que la infección se propague a otros centros.

En lugar de intentar gestionarlo en silencio, el responsable de cumplimiento activa el protocolo. Antes de que pasen 24 horas, envía una alerta temprana a las autoridades nacionales. En menos de 72 horas, mientras los sistemas ya se están recuperando, realizan la notificación formal con una primera evaluación y confirman que la atención a los pacientes no se ha visto gravemente afectada.

Gracias a una respuesta rápida y transparente, no solo controlan el incidente, también evitan las sanciones que la directiva prevé en casos de ocultación.

La forma más sencilla de ordenar tu operativa IT para NIS2

Con Factorial IT puedes centralizar dispositivos, accesos y workflows clave de IT para trabajar con más control, visibilidad y menos gestión manual.

Ver más

3. Continuidad del negocio, copias de seguridad y gestión de crisis

La ciberseguridad total no existe. Antes o después, un ataque o un fallo grave puede superar las defensas. La directiva NIS2 parte de esta idea y pone el foco en algo clave. Que tu empresa sea capaz de seguir funcionando, proteger lo crítico y recuperarse rápido sin depender de pagar a los atacantes.

Para dar este punto por cumplido en tu checklist, deberías contar con lo siguiente:

• Plan de continuidad de negocio: define cómo va a operar la empresa cuando los sistemas fallen. Incluye escenarios en los que haya que trabajar de forma manual o con servicios limitados mientras se resuelve el incidente.
• Copias de seguridad inmutables: no basta con hacer backups. Deben estar aislados de la red principal y protegidos para que no puedan ser modificados ni cifrados en caso de ataque.
• Plan de recuperación ante desastres: una guía técnica clara para restaurar sistemas y datos a partir de las copias de seguridad y volver a la normalidad lo antes posible.

Ejemplo práctico

Imagina una empresa de gestión y suministro de agua, considerada entidad esencial. Un ciberataque deja fuera de servicio sus servidores centrales.

Gracias a su plan de continuidad, los operarios saben cómo pasar a un control manual de las válvulas y el suministro a la ciudad no se interrumpe. Al mismo tiempo, el equipo de IT pone en marcha el plan de recuperación. Verifican que las copias de seguridad, almacenadas fuera de la red, no han sido afectadas y comienzan a restaurar los sistemas.

En menos de 48 horas la empresa vuelve a operar con normalidad. No ha sido necesario pagar a los atacantes y el servicio a la población se ha mantenido en todo momento.

4. Seguridad en la cadena de suministro

Este es uno de los cambios más importantes de la NIS2. No sirve de mucho proteger tu empresa si los proveedores con los que trabajas son el punto débil. La normativa amplía el foco y te obliga a tener en cuenta los riesgos que introducen terceros, desde el proveedor de cloud hasta cualquier empresa con acceso a tus sistemas.

Para cumplir con este requisito, necesitas tener controlados estos puntos:

• Inventario de proveedores críticos: identificar qué empresas externas tienen acceso a tus sistemas, redes o datos sensibles.
• Evaluación de riesgos de terceros: pedir a los proveedores que demuestren su nivel de ciberseguridad antes de contratar o renovar. Puede hacerse mediante cuestionarios, auditorías o certificaciones como ISO 27001.
• Cláusulas contractuales de seguridad: incluir en los contratos obligaciones claras. Por ejemplo que el proveedor tenga que notificar incidentes en un plazo concreto o que garantice medidas como el cifrado de la información.

Ejemplo práctico

Imagina una gran empresa de gestión de residuos, considerada entidad importante. Utiliza un software externo para optimizar las rutas de recogida.

Al adaptarse a la NIS2, el equipo de compras junto con la dirección revisa su política. Antes de renovar el contrato, exige al proveedor que demuestre que realiza pruebas de seguridad de forma periódica.

Además, añaden una cláusula que obliga al proveedor a notificar cualquier brecha en menos de 12 horas. Si no cumple con estos requisitos, la empresa decide no renovar el contrato y busca una alternativa más segura.

5. Seguridad en la adquisición, desarrollo y mantenimiento

La seguridad no se puede añadir al final como un parche. Tiene que estar presente desde el inicio. La NIS2 insiste en este enfoque y exige aplicar controles de ciberseguridad cada vez que compras tecnología, desarrollas software o actualizas sistemas.

Para cumplir con este punto, la organización debería asegurar lo siguiente:

• Gestión de vulnerabilidades y parches: contar con un proceso claro para aplicar actualizaciones críticas lo antes posible. Ya sea automatizado o planificado, el objetivo es evitar que los fallos conocidos se conviertan en una puerta de entrada para los atacantes.
• Políticas de adquisición segura: antes de incorporar cualquier equipo o software, el equipo de IT debe verificar que cumple unos mínimos de seguridad. Por ejemplo que no incluya contraseñas por defecto o configuraciones inseguras.
• Desarrollo seguro: si la empresa desarrolla software propio, es fundamental que los equipos sigan buenas prácticas desde el inicio para evitar vulnerabilidades comunes.

Ejemplo práctico

Imagina una empresa de transporte ferroviario, considerada entidad esencial. Decide instalar nuevas cámaras de videovigilancia conectadas a la red en sus estaciones.

Antes de desplegarlas, el equipo de ciberseguridad revisa los dispositivos y detecta un problema. Las cámaras incluyen una contraseña de fábrica conocida y no permiten cambiarla. Ante este riesgo, rechazan la compra y exigen un modelo que sí permita gestionar credenciales y reciba actualizaciones de seguridad.

Al mismo tiempo, la empresa tiene configurado un sistema para que los servidores que gestionan los billetes se actualicen automáticamente en cuanto aparecen parches críticos. De esta forma reducen al mínimo el tiempo en el que pueden estar expuestos.

6. Políticas para evaluar la eficacia de las medidas de seguridad

Instalar un cortafuegos o tener un manual no es suficiente si no compruebas de forma regular que todo funciona como debería. La NIS2 pone el foco en la mejora continua. No puedes dar tu seguridad por cerrada, tienes que ponerla a prueba y demostrar con datos que sigue siendo eficaz frente a nuevas amenazas.

Para cumplir con este requisito, tu checklist debería incluir lo siguiente:

• Auditorías de seguridad periódicas: revisiones internas y externas que permitan validar el cumplimiento de políticas y el nivel real de protección.
• Pruebas de intrusión y análisis de vulnerabilidades: simular ataques controlados contra tus sistemas para detectar por dónde podría entrar un atacante real.
• Métricas para dirección: informes claros y periódicos que muestren el estado de la seguridad, los riesgos detectados y los tiempos de respuesta. La dirección debe tener visibilidad porque es la responsable final.

Ejemplo práctico

Imagina una entidad bancaria o de crédito. Acaba de lanzar una nueva app móvil para sus clientes.

Para validar su seguridad, no se limita a confiar en el desarrollo interno y contrata a un equipo externo para poner la aplicación a prueba. Durante la simulación, detectan un fallo que permitiría saltarse el inicio de sesión.

El problema se corrige antes de que afecte a ningún usuario y el responsable de seguridad presenta los resultados a la dirección. Esto no solo mejora la protección, también sirve para justificar la inversión en ciberseguridad con datos reales.

7. Prácticas básicas de higiene cibernética y formación continua

El punto débil de muchas empresas no está en la tecnología, sino en las personas. La NIS2 pone el foco en la formación y exige que tanto empleados como directivos sepan identificar amenazas y actuar de forma segura en su día a día.

Para cumplir con este punto, la organización debería asegurar lo siguiente:

• Formación continua en ciberseguridad: programas adaptados a cada perfil para aprender a detectar riesgos como el phishing o la ingeniería social.
• Simulaciones de phishing: envío de correos controlados para medir el comportamiento de los empleados y reforzar la concienciación de forma práctica.
• Buenas prácticas diarias: normas claras sobre uso de contraseñas seguras, bloqueo de dispositivos, uso de redes y manejo de información sensible.

Ejemplo práctico

Imagina una gran empresa del sector energético. Un empleado recibe un correo urgente que parece venir del director general, solicitando una transferencia y la descarga de un archivo adjunto.

Gracias a la formación reciente, detecta una pequeña anomalía en el dominio del correo. En lugar de interactuar con el mensaje, lo reporta al equipo de IT.

Ese simple gesto evita la entrada de malware en la red corporativa y bloquea un posible ataque antes de que tenga impacto real.

8. Procedimientos sobre el uso de criptografía y cifrado de datos

Si un atacante consigue acceder a tu información, el cifrado es lo que marca la diferencia entre un incidente controlado y un problema grave. La NIS2 exige proteger los datos sensibles en todo momento, tanto cuando están almacenados como cuando se transmiten.

Para cumplir con este punto, la organización debería asegurar lo siguiente:

• Cifrado de datos almacenados: portátiles, bases de datos y dispositivos móviles deben estar protegidos mediante cifrado. Así, si un equipo se pierde o es robado, la información sigue siendo inaccesible.
• Cifrado de datos en tránsito: uso de protocolos seguros en las comunicaciones y conexiones protegidas para accesos remotos. Esto evita que la información pueda ser interceptada mientras viaja por la red.
• Gestión segura de claves: definir cómo se crean, almacenan y renuevan las claves que protegen los datos. Sin una buena gestión, el cifrado pierde gran parte de su valor.

Ejemplo práctico

Imagina un laboratorio farmacéutico que necesita enviar la fórmula de un nuevo medicamento desde su sede central a una planta de producción.

Para hacerlo de forma segura, utilizan un canal cifrado que protege la información durante la transferencia. Además, los sistemas donde se almacena esa fórmula también están cifrados.

Semanas después, se produce el robo de un disco duro en la planta. Sin embargo, los datos no pueden leerse porque están protegidos y las claves se gestionan correctamente. El incidente queda limitado a la pérdida del equipo y se evita un problema mucho mayor relacionado con la filtración de información crítica.

9. Seguridad de RRHH, control de accesos y gestión de activos

Muchas brechas de seguridad no vienen de hackers sofisticados sino de errores internos: un exempleado con acceso activo o un trabajador con permisos innecesarios puede causar un daño enorme. La NIS2 exige controlar quién entra a tus sistemas, qué puede hacer mientras está dentro y cómo se revocan sus accesos cuando se va.

Para cumplir con este punto, tu checklist debería incluir:

• Políticas estrictas de altas y bajas: automatizar los procesos de onboarding y offboarding para que, en el momento en que un empleado deja la empresa, se revocan inmediatamente todas sus credenciales, accesos y cuentas.
• Principio de mínimo privilegio: cada empleado solo debe tener acceso a la información y sistemas estrictamente necesarios para su trabajo. Esto limita el riesgo de errores o abusos internos.
• Gestión de activos corporativos: usar software que permita controlar, bloquear o borrar de forma remota portátiles y móviles corporativos en caso de pérdida o robo.

Ejemplo práctico

Imagina un gran puerto de mercancías. Un operador de grúas automatizadas es despedido por mala conducta.

Gracias al proceso de offboarding automático, Recursos Humanos notifica a IT y sus credenciales se revocan al instante. Además, el principio de mínimo privilegio asegura que, mientras estaba activo, el empleado no tenía acceso a los sistemas de facturación ni a las bases de datos de aduanas.

Si la empresa no hubiera aplicado estas medidas, el trabajador podría haberse conectado desde casa y sabotear los sistemas, paralizando cientos de contenedores.

10. Uso de autenticación multifactor (MFA) y comunicaciones seguras

Las contraseñas solas ya no bastan para proteger sistemas críticos. La NIS2 exige capas adicionales de seguridad para verificar la identidad de los usuarios y canales de comunicación que no puedan ser interceptados, sobre todo durante la gestión de incidentes.

Para completar este punto del checklist, la organización debería implementar:

• Autenticación multifactor (MFA): verificación en dos pasos mediante aplicaciones, SMS o llaves físicas en todos los accesos a la red, priorizando conexiones VPN, teletrabajo y cuentas de administrador.
• Comunicaciones internas cifradas: chats, llamadas y videoconferencias corporativas protegidos con cifrado de extremo a extremo para mantener la confidencialidad de la información.
• Canales de comunicación alternativos de emergencia: disponer de un sistema seguro paralelo para coordinar la respuesta ante un ciberataque que interrumpa los servicios habituales.

Ejemplo práctico

Imagina un proveedor de servicios en la nube. Un atacante logra robar la contraseña de administrador de un ingeniero mediante phishing.

Cuando intenta acceder a los servidores desde otro país, el sistema exige MFA, que solo el ingeniero puede aprobar desde su teléfono móvil, bloqueando el acceso.

El ingeniero alerta al comité de crisis y el equipo técnico se coordina mediante un canal cifrado alternativo, evitando que el atacante que podría estar vigilando los correos interfiera en la estrategia de defensa.