NIS2 gap assessment a operador esencial

Sector

Infraestructura · operador clasificado como entidad esencial bajo NIS2 · 200-500 empleados · operaciones críticas 24/7.

Situación inicial

La transposición nacional de NIS2 obligaba a la organización a alcanzar un nivel de madurez concreto en plazos definidos, con sanciones administrativas relevantes en caso de incumplimiento. El equipo interno conocía la directiva, pero carecía de una métrica objetiva de su distancia real respecto a los requisitos exigibles.

Aproximación

Aplicamos un marco de evaluación derivado de los controles NIS2 mapeados contra ISO 27001, ENS y guías nacionales del regulador competente. Cubrimos diez dominios: gobierno, gestión de riesgos, continuidad, criptografía, gestión de accesos, supply chain, gestión de incidentes, formación, seguridad física y reporte regulatorio. Cada dominio se evaluó con entrevistas, revisión documental y verificación técnica donde aplicaba. Construimos un plan de seis meses con paquetes de trabajo trimestrales y propietarios definidos.

Resultado

El gap inicial fue del 35% de cumplimiento. Al cierre del plan de seis meses la organización alcanzó el 92% de cumplimiento sobre los controles aplicables, con el 8% restante en plan documentado a 12 meses por dependencias de inversión.

Aprendizaje

NIS2 no se aprueba con un proyecto puntual: se aprueba con un programa que la organización pueda mantener en producción cuando termine el consultor.

Tiempo y esfuerzo

Diagnóstico 4-6 semanas · plan 6 meses · 120-180 horas de consultoría distribuidas.