Diez preguntas que debes hacer a tu equipo de TI sobre el cumplimiento de la normativa NIS2

Marzo 23, 2026
Kaseya
Ciberseguridad

Anteriormente hablamos de la Directiva NIS 2y delas obligaciones que impone a las organizaciones designadas como «críticas» e «importantes» por la UE. En este artículo abordamos los aspectos fundamentales que sustentan el cumplimiento de la Directiva NIS 2.

Un principio fundamental de la legislación es que los equipos directivos ya no pueden limitarse a dejar que el departamento de TI se encargue de todo: tienen la obligación fiduciaria de comprender de forma proactiva y garantizar que se aplique una gobernanza adecuada en materia de ciberseguridad y resiliencia.

Aunque la legislación no le afecte directamente, este enfoque puede ayudarle a hacer negocios con quienes sí se ven afectados, al tiempo que garantiza que su empresa esté preparada para hacer frente a las amenazas de seguridad y recuperarse de un incidente.

Diez aspectos clave que hay que tener en cuenta para el cumplimiento de la NIS2

  1. Análisis de riesgos y seguridad de los sistemas de información: es fundamental comprender las posibles vulnerabilidades y cuál sería el impacto si un sistema se viera comprometido. ¿Sabe qué sistemas podrían ser objeto de ataques? ¿Sabe cómo están protegidos? ¿Está esta información claramente documentada y es fácilmente accesible para quienes la necesitan?
  2. Gestión de incidentes: este aspecto abarca todo, desde cómo detectar los incidentes hasta cómo reaccionar ante ellos y la información a la que se puede recurrir para notificarlos a las autoridades competentes. Los plazos de notificación establecidos por la Directiva NIS2 son estrictos —por lo general, en un plazo de 72 horas—, por lo que es fundamental mantener registros y auditorías detallados de cada acción para cumplir con los plazos exigidos.
  3. Medidas de continuidad del negocio: se centran en cómo reacciona tu empresa si ocurre lo peor. ¿Cuentas con la estrategia de copias de seguridad adecuada? ¿Cuál es tu plan de recuperación ante desastres? ¿Saben tus equipos cómo poner en práctica ese plan y a quién deben contactar en caso de emergencia?
  4. Seguridad de la cadena de suministro: Existe la obligación de conocer las posibles vulnerabilidades de sus proveedores y sus prácticas de ciberseguridad. Por eso, las empresas que no están sujetas directamente a la NIS2 pueden verse afectadas indirectamente por la directiva. Es posible incluso que usted se vea afectado por esta parte de la directiva y, al mismo tiempo, tenga que aplicarla.
  5. Seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas, incluyendo la gestión y la divulgación de vulnerabilidades: esto implica establecer las medidas de seguridad adecuadas antes de que comience el proceso de adquisición. Una vez implementado un nuevo sistema, los procesos deben garantizar que se mantenga seguro y que las vulnerabilidades se solucionen con rapidez. La divulgación coordinada de vulnerabilidades también es importante para que los problemas de seguridad puedan notificarse y resolverse de forma adecuada.
  6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad: este es el «pegamento» operativo que evalúa y supervisa continuamente su preparación en materia de seguridad. Abarca todo, desde los parámetros de referencia sobre su rendimiento hasta la supervisión activa y el registro de los procesos y procedimientos.
  7. Higiene informática básica y formación: una parte fundamental de la gestión de TI consiste en saber qué dispositivos se tienen y quién los utiliza. La mayoría de las organizaciones ya lo hacen, pero es importante considerarlo como parte integrante de su gobernanza. No se puede gestionar y proteger la infraestructura sin saber qué activos hay en ella.
  8. Políticas sobre el uso adecuado de la criptografía y el cifrado: Es importante garantizar la seguridad de los datos tanto en reposo como en tránsito. Esto incluye también definir cómo se utilizan las herramientas criptográficas dentro de la organización y garantizar que existan procedimientos adecuados para su gestión e implementación.
  9. Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos: es fundamental garantizar que se imparta la formación adecuada para que los usuarios actúen de forma responsable y comprendan sus obligaciones en relación con el uso de los computadoraes. Sin embargo, también es importante que se apliquen las medidas de seguridad adecuadas para garantizar el nivel de acceso adecuado a las personas adecuadas en el momento oportuno.
  10. Uso de comunicaciones multifactoriales seguras (voz, vídeo y texto) y de comunicaciones de emergencia seguras: Las comunicaciones empresariales seguras son imprescindibles para cualquier empresa. Esto incluye tanto los dispositivos como las herramientas que se utilizan. Además, las organizaciones deben plantearse cómo se comunicarían los empleados en caso de un incidente grave o una interrupción del servicio.

Se trata únicamente de descripciones generales a gran escala destinadas a servir de punto de partida para el debate. Detrás de cada una de ellas subyace la necesidad constante de contar con procesos sólidos y las herramientas adecuadas para garantizar una gobernanza adecuada.

Ve el seminario web bajo demanda

para conocer la importancia del cumplimiento de la Directiva NIS 2 para las organizaciones de la región EMEA y del Reino Unido, y explorar medidas para reforzar la resiliencia y reducir el riesgo normativo.

Comenzar

La necesidad de pruebas es fundamental

Las lagunas en la documentación suponen un riesgo directo para el cumplimiento normativo y son un elemento clave a la hora de demostrar dicho cumplimiento.

  • Se trata de la necesidad de demostrar que los procesos se supervisaron y aprobaron, con la «documentación» que lo acredite.
  • Es la capacidad de comprender lo que ha ocurrido, lo que está ocurriendo y lo que debería ocurrir en relación con cualquier incidente concreto.
  • Se trata de poder demostrar que se cuentan con procesos de seguridad sólidos y que estos se aplican de forma activa.

En caso de producirse un incidente, las empresas deben demostrar las medidas que adoptaron y las decisiones que tomaron, así como explicar los motivos que les llevaron a restablecer las operaciones. No obstante, también se puede solicitar a una empresa que explique y acredite qué medidas tomó antes del incidente. Es posible que tenga que demostrar sus procesos, qué datos registraba y cómo actuaba en función de la información, y posteriormente aportar pruebas de ello.

Esto fomenta una cultura de recopilación continua de pruebas, y no solo cuando surge algún problema.

Esto tampoco es posible en una empresa moderna que utilice hojas de cálculo o que dependa de la intervención manual de las personas. Es fundamental que los equipos cuenten con las herramientas adecuadas para realizar su trabajo.

No lo dejes al azar

Kaseya ha estado a la vanguardia en el desarrollo de herramientas que ayudan a los equipos de TI a reforzar la ciberseguridad y la resiliencia.

Aunque se aprueben y evolucionen nuevas directivas y normativas, si se cuentan con los principios fundamentales de buen gobierno y las herramientas adecuadas para el trabajo, el cumplimiento normativo se logrará de forma adecuada. 

Soluciones como IT Glue la documentación de TI permiten realizar un seguimiento, localizar y conocer toda la información en menos de 30 segundos. Por su parte, Datto ofrece la tranquilidad de saber que, si surge algún problema, se cuenta con las copias de seguridad y los planes de recuperación ante desastres adecuados para garantizar la continuidad del negocio.

Reserva una demostración hoy mismo para obtener más información. 

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Guía de Kaseya Connect 2026: Elige tu aventura

Kaseya Connect 2026 está a punto de comenzar, y estamos encantados de que nos acompañes. Con cuatro días de sesiones, talleresSeguir leyendo

Leer la entrada del blog
Conceptos sobre seguridad y gestión de incidentes. Los responsables gestionan los eventos y la seguridad a través de pantallas virtuales.

¿Qué es SIEM? Explicación de su funcionamiento, casos de uso y ventajas

Descubra cómo la gestión de información y eventos de seguridad (SIEM) ayuda a las organizaciones a identificar y abordar de forma proactiva posibles amenazas y vulnerabilidades de seguridad.

Leer la entrada del blog

La verificación de copias de seguridad ahora es más inteligente: presentamos la verificación de capturas de pantalla con tecnología de IA

En una época marcada por ciberataques constantes, la complejidad de las infraestructuras y las crecientes expectativas de los clientes, ya no basta con disponer simplemente de copias de seguridad. Copias de seguridadSeguir leyendo

Leer la entrada del blog