Auditoría de ciberseguridad NIS2: qué espera el INCIBE de tu empresa

¿Quién audita y por qué?

La Directiva NIS2 exige que los Estados miembros designen autoridades competentes responsables de supervisar el cumplimiento. En España, las autoridades competentes son:

• INCIBE-CERT: Centro de Respuesta ante Incidentes de Ciberseguridad del INCIBE, competente para entidades del sector privado.
• CCN-CERT: Centro Criptológico Nacional, competente para entidades del sector público y sujetos del ENS.

Estas autoridades pueden realizar auditorías periódicas y inspecciones in situ para verificar que las entidades cubiertas cumplen con las medidas de gestión de riesgos del Art. 21 de la NIS2.

Además, la directiva permite a las autoridades competentes solicitar información sobre las medidas de seguridad implementadas, los incidentes sufridos y los planes de continuidad existentes.

Qué revisan en una auditoría NIS2

Una auditoría de cumplimiento NIS2 verifica la implementación de las medidas organizativas y operativas del Artículo 21.2. Los puntos de control principales son:

Gobernanza y políticas

• Política de seguridad de la información aprobada por la dirección (Art. 21.2.a)
• Designación de un responsable de ciberseguridad a nivel de grupo o entidad (Art. 20)
• Evidencia de supervisión por la dirección: actas de reuniones, informes periódicos, decisiones documentadas

Gestión de riesgos

• Análisis de riesgos documentado y actualizado (Art. 21.2.a)
• Tratamiento de los riesgos identificados: planes de acción con plazos y responsables
• Revisión periódica del análisis de riesgos (al menos anual)

Seguridad de la red y sistemas

• Segmentación IT/OT: evidencia de que las redes están separadas (Art. 21.2.b)
• Gestión de accesos remotos: VPN, MFA, registros de sesión (Art. 21.2.c)
• Gestión de vulnerabilidades: inventario de activos, proceso de parcheo documentado (Art. 21.2.d)
• Cadenas de suministro: requisitos de seguridad en contratos con proveedores (Art. 21.2.d)

Operaciones y respuesta

• Plan de respuesta ante incidentes documentado y probado (Art. 21.2.e)
• Plan de continuidad de negocio con BIA, RTO y RPO (Art. 21.2.i)
• Gestión de copias de seguridad: backups inmutables, verificación de restauración (Art. 21.2.g)
• Registro de actividad: logs centralizados, conservación mínima de 12 meses (Art. 21.2.f)

Formación y concienciación

• Programa de formación en ciberseguridad para todo el personal (Art. 21.2.h)
• Registro de asistencia y evaluación de la eficacia de la formación

Notificación de incidentes

• Procedimiento de notificación a las autoridades competentes (Art. 23):
  • Notificación inicial en 24 horas
  • Notificación intermedia en 72 horas
  • Informe final en 30 días

Cómo prepararte

La preparación ante una auditoría no empieza cuando llega el inspector. Empieza meses antes:

1. Documenta todo lo que tengas

Si ya tienes medidas de seguridad implementadas (firewalls, backups, VPN) pero no están documentadas, para la auditoría es como si no existieran. Documenta:

• Políticas de seguridad aprobadas por la dirección
• Procedimientos operativos (gestión de incidentes, backups, cambios)
• Evidencias de formación del personal
• Resultados de análisis de riesgos

2. Realiza un análisis de brechas

Compara tu estado actual frente a los requisitos del Art. 21.2 de la NIS2. Identifica qué tienes, qué te falta y qué necesitas implementar.

3. Cierra las brechas críticas

Prioriza las carencias más evidentes:

• Sin política de seguridad → redactar y aprobar una
• Sin CISO → designar uno (interno o externalizado)
• Sin segmentación IT/OT → implementarla
• Sin plan de respuesta ante incidentes → documentarlo y probarlo

4. Prepara el expediente

Organiza la documentación por área para facilitar la revisión del auditor:

1. Gobernanza (políticas, organigrama, designación de CISO)
2. Gestión de riesgos (análisis, tratamiento, revisión)
3. Seguridad técnica (segmentación, accesos, backups, logs)
4. Operaciones (incidentes, continuidad, cambios)
5. Formación (plan, registros, evaluación)
6. Cadena de suministro (cláusulas de seguridad en contratos)

Las sanciones por incumplimiento

La NIS2 establece sanciones proporcionadas a la gravedad del incumplimiento:

• Multas administrativas de hasta 10 millones de euros o el 2% de la facturación anual global (la cantidad que sea mayor)
• Inhabilitación temporal de los miembros del órgano de dirección que hayan sido responsables del incumplimiento
• Publicidad de la sanción, con daño reputacional asociado
• Supervisión reforzada con auditorías más frecuentes

Para una PYME industrial de 5 millones de facturación, la multa máxima sería 100.000 € (2% de 5M). Para una de 50 millones, sería 1 millón de euros.

¿Necesitas ayuda?

En Cvstos Cyber realizamos análisis de brechas frente a la NIS2 y adecuación legal completa, incluyendo la redacción de todas las políticas, planes de continuidad y la preparación del expediente de auditoría. Solicita una consulta.