NIS2 Cumplimiento Checklist: 14 Steps for EU Businesss in Scope

Escrito porHubSecure Equipo editorial

Guías prácticas para portales de clientes seguros, RBAC, incorporación y operaciones de clientes regulados.

Revisado porHubSecure Security & Cumplimiento Review

Revisado para determinar el posicionamiento de seguridad, la precisión del flujo de trabajo y la claridad de la implementación.

Última actualizaciónMay 7, 2026

Comprobado contra el sitio de marketing HubSecure y posicionamiento de productos.

La Directiva 2 (NIS2, Directiva 2022/2555/EU) sustituyó a NIS1 en 2022 y requirió la transposición de los Estados miembros para octubre de 2024. Se amplió significativamente el alcance, añadiendo nuevos sectores, reduciendo el umbral para entidades "esenciales" e "importantes", e introduciendo responsabilidad personal directa para el personal directivo superior por fallos de cumplimiento.

Si su organización está en alcance, aquí está la lista práctica de verificación de cumplimiento que cubre lo que inspeccionan los supervisores de NIS2.

Relacionados HubSecure

AML/KYC & Guía de embarque cliente de software AML/KYC módulo Comparación de sumsub Guía de software de cumplimiento AML/KYC Guía de la biblioteca

Seguridad relacionada, privacidad y recursos de gobernanza

Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.

Caso de uso relacionado

Esta guía pertenece al grupo de guías de consolidación de herramientas y alternativas de espacio de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.

¿Está en alcance?

NIS2 se aplica a organizaciones de 18 sectores clasificados como "esenciales" o "importantes". Si su organización tiene más de 50 empleados o una facturación anual de más de 10 millones de dólares y opera en cualquiera de estos sectores, es probable que esté dentro del alcance:

• Energía (electricidad, petróleo, gas, calefacción urbana, hidrógeno)
• Transporte (aéreo, ferroviario, acuático, por carretera)
• Infraestructura bancaria y del mercado financiero
• Salud (hospitales, laboratorios, farmacia, dispositivos médicos)
• Agua (agua potable, aguas residuales)
• Infraestructura digital (DNS, nube, centros de datos, CDN, TSP)
• Gestión de los servicios de TIC (MSP, MSSP)
• Administración pública
• Espacio
• Servicios postales y de mensajería
• Gestión de desechos
• Productos químicos, alimentos, fabricación, proveedores digitales, investigación

The 14-step NIS2 compliance checklist

1. 1 Registro con su NCA nacional. La mayoría de los Estados miembros exigen que las entidades inscritas en el sistema se registren con la autoridad nacional competente (NCA). El plazo varía según el país: compruebe su aplicación nacional.
2. 2 Designar un órgano de gestión responsable. NIS2 Article 20 requires senior management to approve cibersecurity risk management measures and be personally liable for compliance failures. Se requiere un CISO nominado o equivalente.
3. 3 Realizar una evaluación del riesgo de ciberseguridad. Documente sus activos de información, amenazas, vulnerabilidades y controles existentes. Esto debe revisarse al menos anualmente.
4. 4 Implementar una política de ciberseguridad. Una política escrita que abarca la gestión de riesgos, respuesta a incidentes, control de acceso, cifrado y continuidad de las operaciones. Debe aprobarse a nivel de administración de los asientos o juntas.
5. 5 Establecer detección y registro de incidentes. Debe ser capaz de detectar, registrar e investigar incidentes de seguridad. SIEM, EDR o herramientas equivalentes apropiadas a su tamaño. Los registros deben mantenerse (normalmente 12+ meses).
6. 6 Construir un plan de respuesta a incidentes. Procedimiento documentado para responder a un incidente de ciberseguridad: detección → contención → erradicación → recuperación → revisión post-incidente. Pruébalo anualmente.
7. 7 Establecer el proceso de notificación inicial de 24 horas. Para incidentes significativos, debe notificar a su NCA dentro de las 24 horas siguientes a ser consciente. "Significante" significa: interrupción de los servicios, pérdida financiera por encima de los umbrales, o violación de datos que afecta a otras entidades. ¿Quién envía esta notificación y cómo?
8. 8 Construir el proceso de informe detallado de 72 horas. A fuller incident report within 72 hours, covering gravity, impact, indicators of compromise and initial remediation steps. ¿Quién escribe esto? ¿Qué datos necesitan?
9. 9 Evaluar y gestionar el riesgo de cadena de suministro. NIS2 requiere explícitamente la evaluación del riesgo de proveedores directos y proveedores de servicios. Los proveedores críticos de TIC necesitan evaluaciones de seguridad. Esta es una de las zonas más subcontratadas en los programas actuales de cumplimiento.
10. 10 Implementar el control de acceso y la gestión de acceso privilegiado. autenticación multifactorial (MFA) necesaria para todo el acceso crítico del sistema. Se aplica el principio de la privación de libertad. Cuentas prerrogadas examinadas trimestralmente.
11. 11 Encriptar datos confidenciales en reposo y tránsito. Políticas de cifrado de datos documentadas. Los estándares de cifrado especificados (mínimo AES-256 en reposo, TLS 1.2+ en tránsito). Se definen los principales procesos de gestión.
12. 12 Implementar continuidad y respaldo de las operaciones. Estrategia de respaldo documentada y probada. Objetivos de tiempo de recuperación definidos para sistemas críticos. Integridad de respaldo verificada regularmente.
13. 13 Entrena a todo el personal en ciberseguridad. Formación anual obligatoria de sensibilización sobre la seguridad cibernética. Formación específica para el personal con acceso privilegiado. Capacitación en gestión sobre su responsabilidad personal bajo NIS2.
14. 14 Documenta todo. Los supervisores de NIS2 esperan pruebas, no afirmaciones. Mantenga la documentación de: evaluaciones de riesgos (con fechas), exámenes de políticas, terminación de la capacitación, registros de incidentes, evaluaciones de proveedores y resultados de auditoría. Este paquete de pruebas debe ser producible dentro de las 48 horas de una solicitud de regulador.

Qué supervisores buscan

Basándose en la actividad de supervisión temprana en los estados miembros de la UE, las auditorías de NIS2 se centran más en: capacidad de notificación de incidentes (¿puede realmente obtener un informe en 24 horas?), evaluación del riesgo de cadena de suministro (la mayoría de las organizaciones no han hecho esto rigurosamente), y la rendición de cuentas de la administración superior (¿los miembros de la junta saben su responsabilidad personal?).

La pena por incumplimiento varía de $7M o 1,4% de la facturación anual global (entidades importantes) a $10M o 2% de la facturación anual global (entidades esenciales) — más la responsabilidad personal por la gestión.

¿Cuándo entró en vigor NIS2?

NIS2 (Directiva 2022/2555/EU) fue publicada en diciembre de 2022. Para el 17 de octubre de 2024, los Estados Miembros debían someterlo a la legislación nacional. Ahora se aplican obligaciones, aunque los plazos de ejecución varían según el Estado miembro.

¿Se aplica NIS2 a las empresas de servicios financieros?

Sí: la infraestructura bancaria y del mercado financiero están explícitamente incluidas en el ámbito de las entidades esenciales de NIS2. Las empresas financieras también deben considerar el DORA (Ley de Resiliencia Operacional Digital), que tiene requisitos específicos de gestión del riesgo de TIC. Cuando ambos se aplican, el DORA tiene prioridad para las entidades financieras.

Fuentes oficiales y lectura ulterior

Utilice estas fuentes públicas para verificar el fondo regulatorio y la terminología. HubSecure El contenido es la orientación del producto, no el asesoramiento legal.

• NIST Cybersecurity Framework
• ENISA Cybersecurity guidance
• Resumen ISO 27001

Notas de credibilidad

Esta guía está escrita para la evaluación de productos y operaciones, no como asesoramiento legal. Para las obligaciones de cumplimiento, confirme los requisitos con un abogado calificado o el regulador pertinente.

Relacionados HubSecure referencias: Seguridad · DPA · Subprocesadores · Glosario AML/KYC · Glosario RBAC

Revisión de los equipos regulados

Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.

Autores · Revisores · Política editorial