¿Qué exige la NIS2 sobre continuidad de negocio?
El Artículo 21.2.i de la Directiva NIS2 requiere que las entidades cubiertas dispongan de planes de respuesta ante incidentes y de continuidad de las operaciones, incluyendo procedimientos de recuperación y restauración de los sistemas.
No basta con tener un documento guardado en un cajón. La directiva exige planes documentados, probados y actualizados. Para las PYMEs industriales, esto significa que necesitas saber exactamente qué hacer, quién lo hace y cuánto tiempo puedes estar sin operar antes de que el daño sea irreversible.
Plan de continuidad vs. plan de respuesta ante incidentes
Son dos documentos distintos que trabajan juntos:
Plan de respuesta ante incidentes (IRP)
Define qué hacer mientras el incidente está activo: quién detecta, quién coordina, cómo se contiene, cómo se comunica con las autoridades y con los clientes.
Plan de continuidad de negocio (BCP)
Define cómo mantienes la operación o la recuperas si los sistemas críticos están caídos: procesos manuales de respaldo, ordinal de prioridades, tiempos máximos de inactividad y recursos necesarios.
Un BCP sin IRP es inútil, porque no sabes cuándo activarlo. Un IRP sin BCP es incompleto, porque solo sabes cómo parar el fuego sin saber cómo reconstruir.
Componentes mínimos de un BCP bajo NIS2
Un plan de continuidad que cumpla la directiva debe incluir al menos:
1. Análisis de impacto en el negocio (BIA)
Identifica para cada proceso crítico:
- RTO (Recovery Time Objective): Tiempo máximo que puedes estar sin ese proceso antes de que el daño sea inaceptable.
- RPO (Recovery Point Objective): Cantidad máxima de datos que puedes perder (en tiempo).
- Prioridad de recuperación: Qué sistemas se recuperan primero.
Para una fábrica, el BIA podría decir: "El sistema SCADA tiene un RTO de 2 horas y un RPO de 15 minutos. El servidor de correo tiene un RTO de 24 horas."
2. Estrategias de recuperación
Para cada proceso crítico, define cómo lo recuperas:
- Backups inmutables en ubicación separada
- Activación de servicios en la nube como respaldo
- Procesos manuales temporales (operación en modo degradado)
- Acuerdos con proveedores para hardware de emergencia
3. Funciones y responsabilidades
Quién hace qué durante una emergencia, con nombres y cargos concretos:
- Coordinador del incidente: Toma las decisiones operativas
- Responsable de comunicaciones: Gestiona la comunicación con clientes, autoridades y medios
- Responsable técnico: Ejecuta la recuperación de sistemas
- Responsable legal: Evalúa obligaciones de notificación
4. Procedimientos de notificación
La NIS2 exige notificación a las autoridades competentes:
- Notificación inicial: Dentro de las 24 horas siguientes al conocimiento del incidente
- Notificación intermedia: A los 72 horas, con evaluación de gravedad
- Informe final: A los 30 días, con análisis completo
En España, la autoridad competente es el INCIBE-CERT y la CCN-CERT para los sujetos del ENS.
5. Pruebas y actualización
Un plan que no se ha probado es un plan que no funciona. La directiva exige pruebas periódicas:
- Simulacros de incidente al menos una vez al año
- Ejercicios de restauración de backups
- Revisión y actualización del plan cuando cambian los sistemas o la organización
Errores comunes de las PYMEs
- Escribir el plan y olvidarlo. Un BCP es un documento vivo que debe revisarse con cada cambio significativo.
- No probar la recuperación de backups. Si nunca has restaurado un backup de un PLC bajo presión, no sabes cuánto tiempo tarda realmente.
- No incluir la cadena de suministro. Si tu proveedor de materia prima se cae, tu BCP debe contemplar proveedores alternativos.
- Sobreestimar la tolerancia al downtime. Las PYMEs industriales suelen subestimar el coste por hora de inactividad.
Cómo empezar
En Cvstos Cyber redactamos planes de continuidad específicos para PYMEs industriales, alineados con los requisitos de la NIS2 y adaptados a tus procesos reales. Solicita una consulta y evaluamos juntos qué necesitas.