ESENRODEFRIT
Contacto

2026-06-08 · Ibida Black Level S.L.

Autoevaluación NIS2: 25 preguntas para saber si su empresa cumple

Autoevaluación NIS2 en 25 preguntas para empresas medianas europeas. Operativa, sin alarmismo, sin venta agresiva. Veinte minutos.

Autoevaluación NIS2: 25 preguntas para saber si su empresa cumple

Si su empresa tiene entre 50 y 500 empleados, opera en un sector que la directiva NIS2 considera esencial o importante y no puede responder a este cuestionario corto con evidencia documentada, tiene una brecha de cumplimiento. No diseñamos estas preguntas para asustarle. Las diseñamos para que, en veinte minutos, obtenga la misma fotografía diagnóstica que entregamos en un primer diagnóstico de pago. Si después de responderlas decide que no nos necesita, ese resultado también es bueno.

El test tiene cinco bloques de cinco preguntas: gobierno, gestión de riesgos y activos, respuesta a incidentes, cadena de suministro y continuidad. Cada pregunta admite una respuesta binaria (sí con evidencia, o no) y una explicación breve de qué significa "sí con evidencia" en la práctica. No hay respuestas medio sí. Las autoridades de supervisión, cuando aparezcan, tampoco las van a admitir.

1 · Gobierno y rendición de cuentas (preguntas 1 a 5)

1. ¿El órgano de dirección de su empresa recibe formación en ciberseguridad documentada y fechada, con registro de asistencia, al menos cada 12 meses?

"Sí con evidencia" significa hoja de firmas o registro en una plataforma de aprendizaje. Un "les enviamos unas diapositivas" no vale. El artículo 20 de NIS2 impone esta obligación sobre la dirección, no sobre el equipo TIC. Encontramos rutinariamente empresas donde el CTO tiene treinta horas de formación y el consejo cero.

2. ¿Existe un responsable de ciberseguridad designado por escrito, con línea de reporte clara al órgano de dirección y presupuesto asignado para el ejercicio en curso?

Un CISO sin presupuesto, sin equipo y con línea de puntos a operaciones TIC no es un CISO. La directiva habla de responsabilidad definida, no de cargo.

3. ¿El órgano de dirección ha aprobado formalmente, por escrito, una política de gestión de riesgos de ciberseguridad fechada en los últimos 18 meses?

Muchas empresas medianas siguen apoyándose en una política TIC de 2019 que habla de cortafuegos y antivirus y olvida la nube, la identidad y la cadena de suministro. NIS2 exige un marco de gestión de riesgos, no una lista de productos de la era del perímetro.

4. ¿Las responsabilidades personales del órgano de dirección en caso de incumplimiento de NIS2 están entendidas, documentadas en acta o equivalente y revisadas anualmente?

NIS2 introdujo por primera vez responsabilidad personal de la dirección. Si su consejo nunca ha visto una nota sobre qué significa esto para ellos personalmente, tiene una brecha de concienciación, no técnica.

5. ¿Tiene un proceso para identificar si su empresa califica como entidad esencial o entidad importante según la ley nacional de transposición, y se ha registrado ante la autoridad competente cuando es obligatorio?

En España, los puntos de referencia son INCIBE-CERT y el registro gestionado conforme al RD de transposición. En Rumanía, el registro lo lleva DNSC. Hemos visto empresas operando en un sector claramente esencial sin registro alguno porque nadie era dueño de la pregunta. Eso es riesgo sancionador, sin matices.

2 · Gestión de riesgos y activos (preguntas 6 a 10)

6. ¿Tiene un inventario actualizado y revisado en los últimos seis meses de todos los activos que almacenan, procesan o transmiten información, incluyendo SaaS y TI en la sombra?

El inventario debe incluir las herramientas SaaS que dos personas del equipo financiero contrataron el trimestre pasado. Si solo cubre los activos gestionados, está incompleto por diseño.

7. ¿Ha realizado una evaluación de riesgos de ciberseguridad documentada en los últimos 12 meses que identifique amenazas, vulnerabilidades, probabilidad, impacto y riesgos aceptados frente a tratados?

El artículo 21 párrafo 2 letra a de NIS2 lo exige explícitamente. Un cuestionario de seguridad de un proveedor no es una evaluación de riesgos.

8. ¿Existen controles técnicos y organizativos que hagan efectivo el principio de privilegio mínimo en identidad, gestión de accesos y cuentas administrativas, con revisiones al menos trimestrales?

En aproximadamente cuatro de cada cinco diagnósticos medianos encontramos al menos una cuenta de servicio con privilegios administrativos que ninguna persona del equipo actual sabe explicar del todo.

9. ¿Se parchean todos los sistemas dentro de un SLA escrito en su política (rango típico: 7 días críticos, 30 días altos, 90 días medios), con excepciones documentadas para los casos en los que no se puede cumplir?

Las excepciones son tan importantes como el SLA. Un "parcheamos mensualmente" sin registro de excepciones no es un programa; es una costumbre.

10. ¿Los controles de cifrado (en reposo, en tránsito, para copias de seguridad) están documentados por sistema y validados con evidencia técnica periódica (capturas de configuración, revisiones de cifradores, registros de rotación de claves)?

La brecha más común en este bloque es el cifrado de backups: activado en la consola, nunca validado por el equipo que tendría que restaurar bajo presión.

3 · Respuesta a incidentes (preguntas 11 a 15)

11. ¿Tiene un plan de respuesta a incidentes escrito, fechado en los últimos 12 meses, con roles nombrados, listas de contacto, árboles de decisión y rutas de escalado?

No un diagrama de una página. Un plan con manuales para las tres o cuatro clases de incidente más probables (ransomware, fraude del CEO, brecha de tercero, exfiltración de datos) es el suelo realista.

12. ¿Ha realizado un ejercicio teórico (tabletop) o un simulacro técnico de incidente en los últimos 9 meses, con informe de lecciones aprendidas escrito y plan de remediación asignado?

Un simulacro sin informe es teatro. La lista de remediaciones con responsables y fechas es el artefacto que la supervisión NIS2 va a buscar.

13. ¿Sabe exactamente a qué CSIRT nacional o autoridad competente debe notificar su empresa según NIS2 y ha registrado el canal de contacto?

En España, INCIBE-CERT para la mayoría de sectores, con CCN-CERT para administraciones públicas. En Rumanía, DNSC. Conocer la URL no basta; el canal de contacto debe estar probado al menos una vez.

14. ¿Puede emitir la alerta temprana en 24 horas desde la detección de un incidente significativo, la notificación de incidente en 72 horas y el informe final en un mes, como exige el artículo 23?

El reloj de las 24 horas empieza con la detección, no con la confirmación. La mayoría de empresas medianas que no han probado el proceso subestiman cuánto tarda solo la validación interna.

15. ¿Los registros (logs) están centralizados, retenidos durante el periodo exigido por su sector y por su plan de respuesta (rango mediano típico: mínimo 12 meses de logs de seguridad) y protegidos contra manipulación?

El periodo de retención no es arbitrario. Varias autoridades de supervisión han empezado a pedir entre 12 y 24 meses de logs de autenticación, red y endpoint en requerimientos de seguimiento.

4 · Cadena de suministro y terceros (preguntas 16 a 20)

16. ¿Mantiene una lista de terceros críticos, ordenada por criticidad, con al menos una revisión anual de su postura de ciberseguridad (cuestionario, referencia de certificación o informe de auditoría)?

El artículo 21 párrafo 2 letra d hace explícita la obligación sobre el riesgo de la cadena de suministro. La respuesta "confiamos en nuestro proveedor de CRM" no la satisface.

17. ¿Las cláusulas de ciberseguridad están incluidas en todos los contratos con proveedores críticos, incluyendo la obligación de notificar incidentes que afecten a sus datos o servicios?

Hemos visto esta cláusula ausente en contratos firmados en 2023 y 2024 con grandes proveedores de nube, porque el equipo legal no vio una actualización de plantilla y el de compras no preguntó.

18. ¿Tiene un proceso escrito para evaluar la postura de ciberseguridad de nuevos proveedores antes de firmar contrato, proporcional a la criticidad y a los datos que vayan a tratar?

"Proporcional" es la palabra clave. Un cuestionario monolítico de 200 preguntas para todo proveedor mata el proceso. Un cuestionario por niveles con vía rápida para baja criticidad es la respuesta realista.

19. ¿Existe un plan de salida documentado para cada proveedor crítico, incluyendo devolución de datos, rotación de claves y revocación de accesos, revisado en los últimos 24 meses?

El plan de salida es el control de cadena de suministro del que nadie quiere hablar hasta el día en que hace falta y no existe.

20. ¿Sus proveedores críticos le informan cuando sufren un incidente de ciberseguridad que pueda afectar a sus servicios o datos, en un plazo que le permita cumplir sus propias obligaciones de notificación NIS2 (típicamente entre 12 y 24 horas)?

Sin esto, su reloj de 24 horas frente a su supervisor va a ser muy ajustado.

5 · Continuidad, copias de seguridad y recuperación (preguntas 21 a 25)

21. ¿Tiene una copia de seguridad inmutable o aislada de sus sistemas críticos, probada con una restauración completa en los últimos 6 meses?

La lección más cara que la ola de ransomware de 2023-2025 dejó al mercado mediano europeo es que "tenemos copias" no es lo mismo que "tenemos copias recuperables". Una prueba de restauración con menos de seis meses es el suelo realista.

22. ¿Sus objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO) están definidos por servicio crítico, acordados con el propietario de negocio y medidos en el último simulacro?

Si su RTO es un número en una diapositiva que nadie ha medido bajo presión, es un deseo, no un objetivo.

23. ¿Tiene un plan de continuidad que cubra la pérdida de su oficina principal, la pérdida de su región principal de nube y la pérdida de su equipo TIC durante 72 horas?

El escenario "pérdida del equipo TIC" suena dramático; cubre un spear phishing exitoso a tres personas el mismo día.

24. ¿Los controles de ciberseguridad se validan periódicamente con evaluación independiente (auditoría interna, pentest externo o diagnóstico externo) con informe escrito y registro de remediaciones?

La independencia importa. El mismo equipo que opera los controles no debería ser el único que los valida.

25. ¿Existe un proceso escrito para informar a los receptores de sus servicios de un incidente significativo que pueda afectar materialmente su capacidad de uso, dentro de los plazos que exige NIS2?

Esta es la obligación que muchas empresas medianas pasan por alto porque cae entre comunicación, legal y seguridad. Si nadie es dueño, la respuesta es no.

Cómo interpretar su resultado

No damos una puntuación en sentido estricto, porque la supervisión NIS2 tampoco la dará. Lo que sugerimos:

> "Una autoevaluación NIS2 no le da el cumplimiento. Le da una lista de evidencias que puede o no puede producir. La diferencia entre las dos se hace muy visible la primera vez que un supervisor la pide." — Metodología diagnóstica IBL, nota interna 2026

Qué hacer ahora

Si ha completado las 25 preguntas y el recuento sincero le preocupa, lo primero es compartir el resultado con su órgano de dirección. Las obligaciones NIS2 caen sobre ellos, no solo sobre el equipo de ciberseguridad. Lo segundo es decidir si tiene capacidad interna para cerrar las brechas o necesita apoyo externo.

Si quiere una segunda opinión sobre su autoevaluación, puede pedirnos una conversación de 45 minutos. No le venderemos un programa en esa llamada. Le pediremos que nos guíe por tres de sus respuestas "no" en detalle y le diremos si nos parecen arreglos rápidos, brechas estructurales o algo intermedio.

Escriba a [email protected]. Respondemos en un día hábil.

---

Ibida Black Level S.L. es una consultora boutique de ciberseguridad con sede en Málaga y equipo operativo en Rumanía. Trabajamos con empresas medianas europeas que prefieren la honestidad técnica al envoltorio comercial. Fuimos fundados en 2026; no inventamos una historia más larga.

Lectura relacionada

Etiquetas: nis2, cumplimiento, empresa-mediana, autoevaluación, articulo-21, notificacion-incidentes, cadena-suministro