ISMS Copilot
NIS2 con IA

Cómo crear políticas de ciberseguridad NIS2 usando IA

Resumen

Aprenderá a utilizar la IA para crear políticas de ciberseguridad exhaustivas para cada una de las diez áreas de medidas exigidas por el artículo 21, apartado 2, de la directiva NIS2. Esta guía recorre cada tipo de política, proporciona instrucciones (prompts) específicos de ISMS Copilot para generar cada una, explica qué esperan los auditores y las autoridades de supervisión, y muestra cómo estructurar la documentación de sus políticas para que esté lista para una auditoría.

A quién va dirigido

Esta guía es para:

  • CISOs y responsables de cumplimiento encargados de desarrollar la documentación de políticas conforme a NIS2

  • Consultores de seguridad que redactan conjuntos de políticas para clientes en sectores regulados por NIS2

  • Equipos de GRC que gestionan la creación de políticas junto con la documentación existente de ISO 27001, DORA o RGPD

  • Responsables de TI que necesitan políticas prácticas e implementables en lugar de plantillas genéricas

  • Miembros del órgano de dirección que deben aprobar estas políticas según el artículo 20

Antes de comenzar

Necesitará:

  • Una cuenta de ISMS Copilot (prueba gratuita disponible)

  • Los resultados de su análisis de brechas (gap analysis) de NIS2 que identifiquen qué políticas faltan o son insuficientes; consulte Cómo empezar la implementación de NIS2 usando IA

  • Sus planes de evaluación y tratamiento de riesgos completados; consulte Cómo realizar la evaluación de riesgos NIS2 usando IA

  • Comprensión del tamaño, sector y contexto operativo de su organización

  • Políticas existentes (si las hay) para cargarlas para el análisis de brechas y alineación

El artículo 21, apartado 2, de la NIS2 enumera diez áreas de medidas específicas que sus medidas de gestión de riesgos de ciberseguridad deben incluir "al menos". Esto significa que estas diez áreas son el mínimo; las leyes nacionales de transposición pueden añadir requisitos adicionales. Su conjunto de políticas debe cubrir las diez para satisfacer a las autoridades de supervisión.

Comprensión de los requisitos de política de NIS2

Lo que exige el artículo 21(2)

El artículo 21, apartado 2, establece que las medidas de gestión de riesgos contempladas en el apartado 1 incluirán, al menos, lo siguiente:

Referencia al Art. 21(2)

Área de la medida

Documentos de política necesarios

(a)

Políticas sobre análisis de riesgos y seguridad de los sistemas de información

Política de Seguridad de la Información, Política de Evaluación de Riesgos

(b)

Gestión de incidentes

Política de Respuesta a Incidentes, Procedimiento de Clasificación de Incidentes

(c)

Continuidad del negocio, gestión de copias de seguridad, recuperación ante desastres, gestión de crisis

Política de Continuidad del Negocio, Plan de Recuperación ante Desastres, Política de Copias de Seguridad, Plan de Gestión de Crisis

(d)

Seguridad de la cadena de suministro

Política de Seguridad de la Cadena de Suministro, Procedimiento de Evaluación de Proveedores

(e)

Seguridad en la adquisición, el desarrollo y el mantenimiento de las redes y sistemas de información; gestión y divulgación de vulnerabilidades

Política de Desarrollo Seguro, Política de Gestión de Vulnerabilidades

(f)

Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos

Política de Pruebas y Evaluación de Seguridad, Procedimiento de Auditoría Interna

(g)

Prácticas básicas de ciberhigiene y formación en ciberseguridad

Política de Ciberhigiene y Concienciación, Programa de Formación

(h)

Políticas y procedimientos relativos al uso de la criptografía y el cifrado

Política de Criptografía y Cifrado

(i)

Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos

Política de Seguridad de RR.HH., Política de Control de Acceso, Política de Gestión de Activos

(j)

MFA o autenticación continua, voz/vídeo/texto seguros, comunicaciones de emergencia seguras

Política de Autenticación, Política de Comunicaciones Seguras

Política frente a procedimiento: Las autoridades de supervisión distinguen entre políticas (declaraciones de intenciones y requisitos de alto nivel) y procedimientos (instrucciones operativas detalladas paso a paso). Necesita ambos. Las políticas establecen las reglas; los procedimientos describen cómo seguirlas. ISMS Copilot genera ambos cuando se especifica el tipo de documento.

Estándares de calidad de las políticas para NIS2

Cada documento de política debe incluir:

  • Propósito y alcance: Qué cubre la política y a quién se aplica

  • Referencia NIS2: Qué áreas de medidas del Artículo 21(2) aborda la política

  • Definiciones: Términos clave utilizados en el documento

  • Declaraciones de política: Requisitos claros y exigibles

  • Funciones y responsabilidades: Quién es responsable de qué

  • Requisitos de implementación: Controles y medidas específicos

  • Seguimiento y revisión: Cómo se evalúa la eficacia

  • Consecuencias del incumplimiento: Disposiciones de aplicación

  • Aprobación y control de versiones: Gestión documental con la firma del órgano de dirección

Paso 1: Generar la Política de Seguridad de la Información general

Artículo 21(2)(a) -- Análisis de riesgos y seguridad de los sistemas de información

La Política de Seguridad de la Información general es el documento fundacional que establece el compromiso de su organización con la ciberseguridad y proporciona el marco para todas las demás políticas. Esta aborda la primera área de medidas y vincula todas las políticas posteriores.

  1. Generar la política central:

    "Crea una Política de Seguridad de la Información exhaustiva alineada con el artículo 21(2)(a) de la NIS2 para una organización del sector [sector] clasificada como entidad [esencial/importante] con [número de empleados] empleados. La política debe cubrir: propósito de la política y contexto regulatorio NIS2, alcance de las redes y sistemas de información cubiertos, compromiso del órgano de dirección y obligaciones de supervisión según el artículo 20, descripción general del marco de gestión de riesgos, principios de seguridad (confidencialidad, integridad, disponibilidad), referencia a las diez áreas de medidas del artículo 21 y políticas de apoyo, funciones y responsabilidades (órgano de dirección, CISO, propietarios de riesgos, todos los empleados), requisitos de cumplimiento y consecuencias del incumplimiento, ciclo de revisión y mejora continua. Incluye una sección de control de documentos con aprobación por parte del órgano de dirección."

  2. Generar la Política de Evaluación de Riesgos de apoyo:

    "Crea una Política de Evaluación de Riesgos alineada con el artículo 21(2)(a) de la NIS2 para nuestra organización. Debe cubrir: metodología de evaluación de riesgos (enfoque multirriesgo según el artículo 21(1)), procesos de identificación, análisis y valoración de riesgos, criterios de aceptación de riesgos y autoridad de aprobación, opciones de tratamiento de riesgos y requisitos de documentación, integración con la gestión de activos e inteligencia de amenazas, frecuencia de revisión y eventos desencadenantes para la reevaluación, y requisitos de aprobación del órgano de dirección. Haz referencia cruzada a nuestro documento de Metodología de Evaluación de Riesgos."

Enfoque por capas: Genere primero la Política de Seguridad de la Información principal y luego úsela como contexto para todas las políticas posteriores. Pregunte a ISMS Copilot: "Utiliza nuestra Política de Seguridad de la Información como documento principal y asegúrate de que esta política [específica] sea coherente con sus principios y estructura."

Paso 2: Generar la Política de Gestión de Incidentes

Artículo 21(2)(b) -- Gestión de incidentes

La NIS2 impone requisitos estrictos en la gestión de incidentes, incluyendo detección, prevención, respuesta y recuperación, además de los plazos de notificación del artículo 23. Su política debe abordar tanto la respuesta interna como las obligaciones de notificación externa.

  1. Generar la Política de Respuesta a Incidentes:

    "Crea una Política de Respuesta a Incidentes alineada con el artículo 21(2)(b) de la NIS2 y los requisitos de notificación del artículo 23 para nuestra organización del sector [sector]. Incluye: definición de incidente y criterios de clasificación alineados con los umbrales de significatividad de la NIS2, requisitos de detección y monitorización de incidentes, fases de respuesta a incidentes (preparación, identificación, contención, erradicación, recuperación, lecciones aprendidas), obligaciones de notificación NIS2 (alerta temprana de 24 horas al CSIRT, notificación de incidente de 72 horas con indicadores de compromiso, informe final de un mes con análisis de causa raíz), matriz de escalada desde el equipo operativo hasta el órgano de dirección, funciones y responsabilidades (gestor de incidentes, equipo de respuesta, enlace con el CSIRT, legal, comunicaciones), preservación de pruebas y cadena de custodia, notificación voluntaria de cuasi-incidentes y amenazas, y proceso de revisión post-incidente."

  2. Generar el Procedimiento de Clasificación de Incidentes:

    "Crea un Procedimiento de Clasificación de Incidentes detallado para el cumplimiento de la NIS2. Incluye: criterios de clasificación para determinar si un incidente es 'significativo' según el artículo 23, apartado 3, de la NIS2, considerando (a) perturbación operativa grave o pérdidas financieras, y (b) impacto sobre otras personas físicas o jurídicas al causar daños materiales o inmateriales considerables. Proporciona una matriz de clasificación con niveles de gravedad, criterios de evaluación de impacto y árboles de decisión claros sobre cuándo activar la notificación de alerta temprana de 24 horas. Incluye ejemplos específicos para nuestro sector [sector]."

Para profundizar en los flujos de trabajo, plantillas y protocolos de notificación de incidentes NIS2, consulte Cómo implementar el reporte de incidentes NIS2 usando IA, el siguiente manual de esta serie.

Paso 3: Generar las Políticas de Continuidad del Negocio y Recuperación ante Desastres

Artículo 21(2)(c) -- Continuidad del negocio, gestión de copias de seguridad, recuperación ante desastres, gestión de crisis

Esta área de medidas requiere un conjunto completo de documentos que aborden cómo su organización mantiene y restaura los servicios durante y después de las interrupciones.

  1. Generar la Política de Continuidad del Negocio:

    "Crea una Política de Continuidad del Negocio alineada con el artículo 21(2)(c) de la NIS2 para una entidad [esencial/importante] del sector [sector]. Incluye: metodología y requisitos del análisis de impacto en el negocio (BIA), objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) para servicios esenciales/importantes, criterios y procedimientos de activación del plan de continuidad del negocio, gobernanza y escalada de la gestión de crisis, protocolos de comunicación durante las interrupciones (internos, externos, autoridades, medios), integración con el reporte de incidentes NIS2 (activación de alerta temprana de 24h durante interrupciones importantes), requisitos de pruebas y simulacros (mínimo anual), consideraciones de continuidad de la cadena de suministro y obligaciones de supervisión del órgano de dirección."

  2. Generar el Plan de Recuperación ante Desastres:

    "Crea una plantilla de Plan de Recuperación ante Desastres alineada con el artículo 21(2)(c) de la NIS2 para nuestra infraestructura de TI. Cubre: escenarios de desastre específicos para nuestro sector [sector] (ransomware, fallo del centro de datos, caída del proveedor de la nube, desastre natural), estrategia de recuperación por nivel de criticidad del sistema, procedimientos de recuperación detallados para sistemas críticos (paso a paso), procedimientos de conmutación por error (failover) y retorno (fallback), restauración de datos desde copias de seguridad, protocolos de comunicación y coordinación, calendario de pruebas de recuperación y requisitos de documentación, y dependencias de proveedores y servicios de terceros."

  3. Generar la Política de Gestión de Copias de Seguridad:

    "Crea una Política de Gestión de Copias de Seguridad alineada con el artículo 21(2)(c) de la NIS2. Cubre: alcance del respaldo (todos los sistemas críticos, datos y configuraciones), frecuencia de respaldo por clasificación de datos y requisitos de RPO, métodos de respaldo (completo, incremental, diferencial), requisitos de respaldo fuera de línea y aislados (air-gapped) para resiliencia contra ransomware, cifrado de respaldo y control de acceso, ubicaciones de almacenamiento de respaldo (in situ, fuera del sitio, nube) con consideraciones geográficas, calendario de pruebas de restauración y criterios de éxito, monitorización y alertas de respaldo, periodos de retención, y funciones y responsabilidades."

  4. Generar el Plan de Gestión de Crisis:

    "Crea un Plan de Gestión de Crisis alineado con el artículo 21(2)(c) de la NIS2 para nuestra organización. Cubre: definición de crisis y criterios de activación, composición del equipo de gestión de crisis e información de contacto, autoridad para la toma de decisiones durante la crisis, protocolos de comunicación interna y externa, coordinación con el CSIRT nacional y la autoridad competente, directrices de comunicación pública y con los medios, procedimientos de escalada y desescalada de crisis, proceso de revisión post-crisis y lecciones aprendidas, e integración con los plazos de reporte de incidentes de la NIS2."

Paso 4: Generar la Política de Seguridad de la Cadena de Suministro

Artículo 21(2)(d) -- Seguridad de la cadena de suministro

La NIS2 pone un gran énfasis en la seguridad de la cadena de suministro. Su política debe abordar los aspectos relacionados con la seguridad de las relaciones con los proveedores directos y prestadores de servicios.

  1. Generar la Política de Seguridad de la Cadena de Suministro:

    "Crea una Política de Seguridad de la Cadena de Suministro alineada con el artículo 21(2)(d) de la NIS2 para nuestra organización del sector [sector]. Incluye: metodología y criterios de evaluación de riesgos de proveedores, requisitos de seguridad para los diferentes niveles de riesgo de los proveedores, requisitos de diligencia debida en seguridad precontractual, cláusulas de seguridad obligatorias para los contratos (derechos de auditoría, notificación de incidentes, estándares de seguridad, controles de subcontratistas), calendario de supervisión y revisión continua de proveedores, gestión de vulnerabilidades en toda la cadena de suministro, procedimientos para la respuesta a incidentes relacionados con proveedores, requisitos de salida y transición de proveedores, y coordinación con las evaluaciones de riesgos de la cadena de suministro específicas del sector. Haz referencia a la guía de seguridad de la cadena de suministro de ENISA."

Para obtener una guía completa sobre la implementación de la seguridad de la cadena de suministro NIS2, incluidos cuestionarios, marcos de evaluación de proveedores y requisitos contractuales, consulte Cómo gestionar la seguridad de la cadena de suministro de NIS2 usando IA en esta serie.

Paso 5: Generar Políticas de Seguridad de Red y Gestión de Vulnerabilidades

Artículo 21(2)(e) -- Seguridad en la adquisición, el desarrollo y el mantenimiento; gestión de vulnerabilidades

Esta área de medidas cubre la seguridad de sus redes y sistemas de información a lo largo de su ciclo de vida, además de la gestión y divulgación de vulnerabilidades.

  1. Generar la Política de Desarrollo y Adquisición Seguros:

    "Crea una Política de Desarrollo y Adquisición Seguros alineada con el artículo 21(2)(e) de la NIS2 para nuestra organización. Cubre: requisitos de seguridad en las especificaciones de contratación, evaluación de la seguridad del proveedor antes de la adquisición, requisitos del ciclo de vida de desarrollo de software seguro (SDLC), pruebas de seguridad antes del despliegue (revisión de código, SAST, DAST, pruebas de penetración), gestión de cambios y evaluación del impacto en la seguridad, procedimientos de gestión de parches y actualizaciones, estándares de configuración segura y pautas de fortificación (hardening), procedimientos de desmantelamiento y eliminación segura, y gestión de la seguridad del software de código abierto."

  2. Generar la Política de Gestión de Vulnerabilidades:

    "Crea una Política de Gestión de Vulnerabilidades alineada con el artículo 21(2)(e) de la NIS2 para nuestra organización del sector [sector]. Cubre: fuentes de identificación de vulnerabilidades (escaneo, inteligencia de amenazas, avisos de proveedores, alertas de CERT), alcance y frecuencia del escaneo de vulnerabilidades (semanal para sistemas críticos, mensual para otros), clasificación y priorización de vulnerabilidades (puntuación CVSS, explotabilidad, contexto de negocio), plazos de remediación por gravedad (crítica: 24-72 horas, alta: 7 días, media: 30 días, baja: 90 días), excepciones y proceso de aceptación de riesgos para parches retrasados, política de divulgación coordinada de vulnerabilidades (CVD), informe de vulnerabilidades por parte de empleados e investigadores externos, procedimientos de parcheo de emergencia y consideraciones de gestión de vulnerabilidades específicas de OT/ICS para el sector [sector]."

Consideraciones OT/ICS: Si su organización opera en los sectores de energía, agua, transporte o fabricación, su política de gestión de vulnerabilidades debe abordar los desafíos únicos del parcheo de sistemas de tecnología operativa donde la disponibilidad es prioritaria y las ventanas de mantenimiento son limitadas. Pida a ISMS Copilot que incluya disposiciones específicas para OT.

Paso 6: Generar la Política de Evaluación de la Eficacia

Artículo 21(2)(f) -- Políticas y procedimientos para evaluar la eficacia

La NIS2 exige que evalúe periódicamente si sus medidas de ciberseguridad están funcionando realmente. Esto va más allá de tener controles implementados: debe probar y verificar su eficacia.

  1. Generar la Política de Pruebas y Evaluación de Seguridad:

    "Crea una Política de Pruebas de Seguridad y Evaluación de la Eficacia alineada con el artículo 21(2)(f) de la NIS2 para nuestra entidad [esencial/importante]. Cubre: tipos de evaluaciones de eficacia (evaluaciones de vulnerabilidad, pruebas de penetración, ejercicios de Red Team, ejercicios de mesa o tabletops, pruebas de controles), alcance y frecuencia de la evaluación (mínimo anual para pruebas integrales, trimestral para áreas de alto riesgo), requisitos de pruebas internas frente a externas, metodología y estándares de prueba (OWASP, PTES, NIST SP 800-115), métricas y KPIs para medir la eficacia de la ciberseguridad, informe de los resultados de la evaluación al órgano de dirección, seguimiento de acciones correctivas y verificación de remediación, integración con las actualizaciones de la evaluación de riesgos y requisitos de monitorización continua."

  2. Generar el Procedimiento de Auditoría Interna de Ciberseguridad:

    "Crea un Procedimiento de Auditoría Interna de Ciberseguridad para el cumplimiento de la NIS2. Cubre: alcance de la auditoría que cubra las diez áreas de medidas del artículo 21(2), planificación y calendario de auditoría (ciclo anual), requisitos de independencia y competencia del auditor, metodología de auditoría (revisión de documentos, entrevistas, pruebas técnicas, muestreo de evidencias), formato de informe de auditoría con hallazgos categorizados por gravedad, respuesta de la dirección y requisitos de acciones correctivas, verificación de seguimiento de las acciones correctivas e informes al órgano de dirección sobre los resultados de la auditoría."

Paso 7: Generar la Política de Ciberhigiene y Formación

Artículo 21(2)(g) -- Prácticas básicas de ciberhigiene y formación en ciberseguridad

El artículo 20 de la NIS2 exige específicamente que los miembros del órgano de dirección sigan una formación en ciberseguridad y que las entidades animen a todos los empleados a participar en formaciones periódicas. El artículo 21(2)(g) extiende esto a las prácticas básicas de ciberhigiene.

  1. Generar la Política de Ciberhigiene y Concienciación:

    "Crea una Política de Formación en Ciberhigiene y Concienciación alineada con el artículo 21(2)(g) y los requisitos de formación del artículo 20 de la NIS2. Cubre: formación obligatoria en ciberseguridad para los miembros del órgano de dirección (contenido, frecuencia, evidencia), formación basada en funciones para todos los empleados (TI/seguridad, personal general, contratistas), requisitos de inducción de seguridad para nuevas incorporaciones, prácticas básicas de ciberhigiene a adoptar en toda la organización (gestión de contraseñas, concienciación sobre phishing, escritorio limpio, seguridad de dispositivos, navegación segura, medios extraíbles), simulación de phishing y pruebas de ingeniería social, medición y evaluación de la eficacia de la formación, actividades de concienciación continuas (boletines, alertas, 'security champions'), concienciación de seguridad específica de las operaciones del sector [sector], registros de formación y documentación de evidencias, y plan de formación anual con calendario."

Evidencia de formación del órgano de dirección: Las autoridades de supervisión comprobarán específicamente si los miembros del órgano de dirección han completado la formación en ciberseguridad requerida por el artículo 20(2). Genere un programa de formación a nivel de junta directiva y mantenga los registros de asistencia. Esta es una de las primeras cosas que los auditores verifican durante las inspecciones NIS2.

Paso 8: Generar la Política de Criptografía y Cifrado

Artículo 21(2)(h) -- Criptografía y cifrado

La NIS2 exige políticas sobre el uso de la criptografía y, cuando proceda, del cifrado para proteger la confidencialidad e integridad de los datos.

  1. Generar la Política de Criptografía y Cifrado:

    "Crea una Política de Criptografía y Cifrado alineada con el artículo 21(2)(h) de la NIS2 para nuestra organización del sector [sector]. Cubre: algoritmos criptográficos y longitudes de clave aprobados (alineados con las recomendaciones de ENISA y nacionales), requisitos de cifrado de datos por clasificación (datos en reposo, en tránsito, en uso), estándares de configuración TLS/SSL (mínimo TLS 1.2, preferible TLS 1.3), cifrado de correo electrónico y firmas digitales, requisitos de cifrado de disco completo para terminales y dispositivos móviles, estándares de cifrado de bases de datos, ciclo de vida de gestión de claves criptográficas (generación, distribución, almacenamiento, rotación, revocación, destrucción), uso de módulos de seguridad de hardware (HSM) donde sea aplicable, gestión de certificados y gobernanza de PKI, concienciación y planificación de transición a criptografía post-cuántica, requisitos de criptografía específicos para el sector [sector], y algoritmos y protocolos prohibidos (MD5, SHA-1, DES, SSL 3.0, TLS 1.0/1.1)."

Paso 9: Generar Políticas de Seguridad de RR.HH., Control de Acceso y Gestión de Activos

Artículo 21(2)(i) -- Seguridad de los recursos humanos, control de acceso y gestión de activos

Esta área de medida combinada cubre tres dominios interrelacionados. Se recomienda crear políticas separadas para cada uno para mantener la claridad y la capacidad de gestión.

  1. Generar la Política de Seguridad de Recursos Humanos:

    "Crea una Política de Seguridad de Recursos Humanos alineada con el artículo 21(2)(i) de la NIS2 para nuestra organización. Cubre: investigación de seguridad previa al empleo (verificación de antecedentes, comprobación de referencias), términos de seguridad en los contratos de trabajo, concienciación de seguridad durante la incorporación (onboarding), responsabilidades de seguridad durante el empleo, proceso disciplinario por infracciones de seguridad, procedimientos de terminación y cambio de función (revocación de acceso, devolución de activos, transferencia de conocimientos), requisitos de seguridad para contratistas y personal externo, y acuerdos de confidencialidad y no divulgación."

  2. Generar la Política de Control de Acceso:

    "Crea una Política de Control de Acceso alineada con el artículo 21(2)(i) de la NIS2 para nuestra organización del sector [sector]. Cubre: principios de control de acceso (mínimo privilegio, necesidad de conocer, segregación de funciones), procedimientos de provisión y desprovisión de acceso de usuarios, calendario de revisión y recertificación de acceso (trimestral para acceso privilegiado, semestral para estándar), requisitos de gestión de acceso privilegiado (PAM), requisitos de seguridad de acceso remoto, controles de acceso de terceros y contratistas, requisitos de registro y monitorización de acceso, gestión de cuentas de servicio, implementación de control de acceso basado en roles (RBAC) y procedimientos de acceso de emergencia."

  3. Generar la Política de Gestión de Activos:

    "Crea una Política de Gestión de Activos alineada con el artículo 21(2)(i) de la NIS2 para nuestra organización. Cubre: requisitos de inventario de activos (hardware, software, información, servicios, personas), criterios de clasificación de activos y reglas de manejo, asignación de propiedad y custodia de activos, gestión del ciclo de vida de los activos (adquisición, despliegue, mantenimiento, eliminación), uso aceptable de activos, política de BYOD (trae tu propio dispositivo), controles de medios extraíbles y procedimientos de eliminación y destrucción segura."

Paso 10: Generar la Política de Autenticación y Comunicaciones Seguras

Artículo 21(2)(j) -- MFA, autenticación continua y comunicaciones seguras

La NIS2 menciona específicamente la autenticación multifactor, las soluciones de autenticación continua, las comunicaciones seguras de voz/vídeo/texto y los sistemas de comunicación de emergencia seguros.

  1. Generar la Política de Autenticación:

    "Crea una Política de Autenticación alineada con el artículo 21(2)(j) de la NIS2 para nuestra entidad [esencial/importante]. Cubre: requisitos de autenticación multifactor (MFA) —obligatoria para todo acceso remoto, cuentas privilegiadas, sistemas críticos y servicios en la nube—, métodos MFA aprobados (tokens de hardware, apps de autenticación, FIDO2) con preferencia por métodos resistentes al phishing, consideraciones de autenticación continua y acceso adaptativo, política de contraseñas (longitud mínima, complejidad, rotación, prohibición de reutilización), guía de implementación de inicio de sesión único (SSO), autenticación de servicio a servicio (claves API, certificados, cuentas de servicio), gobernanza de la autenticación biométrica, autenticación para entornos OT/ICS donde proceda, y registro de autenticación y detección de anomalías."

  2. Generar la Política de Comunicaciones Seguras:

    "Crea una Política de Comunicaciones Seguras alineada con el artículo 21(2)(j) de la NIS2 para nuestra organización. Cubre: requisitos de comunicación de voz segura (VoIP cifrado, comunicaciones móviles seguras), estándares de videoconferencia seguras (plataformas aprobadas, requisitos de cifrado), texto y mensajería seguros (plataformas de mensajería empresarial aprobadas, prohibición de mensajería de consumo para datos sensibles), seguridad del correo electrónico (obligatoriedad de TLS, S/MIME o PGP para comunicaciones sensibles), sistemas de comunicación de emergencia seguros (canales de comunicación fuera de banda para respuesta a incidentes, herramientas de comunicación de crisis que funcionen cuando los sistemas primarios estén comprometidos) y controles de prevención de pérdida de datos (DLP) para los canales de comunicación."

Comunicaciones de emergencia: La NIS2 exige específicamente sistemas de comunicación de emergencia seguros. Esto significa que necesita un canal de comunicación que permanezca operativo incluso cuando su red principal o sus sistemas de información estén comprometidos. Documente su plan de comunicación fuera de banda y pruébelo regularmente.

Paso 11: Revisar, alinear y aprobar su conjunto de políticas

Garantizar la coherencia en todas las políticas

Con las diez áreas de medidas cubiertas, revise el conjunto completo de políticas para asegurar la coherencia, las referencias cruzadas y la integridad.

  1. Realizar una comprobación de coherencia:

    "Revisa los siguientes documentos de políticas NIS2 para verificar su coherencia. Comprueba: (1) la terminología se utiliza de forma coherente en todas las políticas, (2) las funciones y responsabilidades no entran en conflicto, (3) las referencias cruzadas entre políticas son correctas, (4) las diez áreas de medidas del artículo 21(2) están totalmente cubiertas, (5) todas las políticas hacen referencia a la Política de Seguridad de la Información general, (6) los ciclos de revisión y los procesos de aprobación son coherentes, (7) no existen lagunas entre las políticas donde un requisito pueda quedar sin cubrir."

  2. Crear un índice del marco de políticas:

    "Crea un Índice del Marco de Políticas de Ciberseguridad NIS2 que asocie: cada área de medida del artículo 21(2) con el documento o documentos de política que la abordan, el propietario del documento, la autoridad de aprobación (órgano de dirección frente a CISO), la frecuencia de revisión, la versión actual, la fecha de la última revisión y la fecha de la próxima revisión. Formatéalo como una tabla adecuada para evidencia de auditoría."

  3. Preparar el paquete de aprobación para el órgano de dirección:

    "Crea un paquete de aprobación del órgano de dirección para nuestro conjunto de políticas de ciberseguridad NIS2. Incluye: resumen ejecutivo de todas las políticas creadas, cómo abordan colectivamente los requisitos del artículo 21(2), un resumen de una página de las disposiciones clave de cada política, las obligaciones específicas de aprobación y supervisión del órgano de dirección según el artículo 20, el calendario propuesto de revisión y actualización, y una plantilla de resolución de la junta para la adopción formal de las políticas."

Firma del órgano de dirección: Según el artículo 20, el órgano de dirección debe aprobar las medidas de gestión de riesgos de ciberseguridad. Esto incluye el conjunto de políticas. Programe una sesión específica de la junta para revisar y aprobar formalmente el marco de políticas. Registre la aprobación en las actas de la junta y consérvelas como evidencia de auditoría. El órgano de dirección puede delegar la supervisión diaria, pero no puede delegar la responsabilidad final (accountability).

Mantenimiento y actualización de sus políticas

Gestión del ciclo de vida de las políticas

Las políticas de la NIS2 son documentos vivos que deben actualizarse cuando:

  • Los resultados de la evaluación de riesgos cambian

  • Los incidentes revelan brechas en las políticas

  • Surgen nuevas amenazas que requieren controles actualizados

  • Los cambios organizativos afectan al alcance o a las responsabilidades

  • Se actualizan las leyes nacionales de transposición

  • Los cambios tecnológicos requieren controles técnicos actualizados

  • Las evaluaciones de eficacia identifican áreas de mejora

"Crea un Procedimiento de Revisión y Actualización de Políticas para nuestro conjunto de políticas NIS2. Incluye: ciclo de revisión programado (mínimo anual para todas las políticas), eventos desencadenantes para revisiones no programadas, proceso de revisión (revisión de contenido, consulta a las partes interesadas, aprobación del órgano de dirección), control de versiones y procedimientos de seguimiento de cambios, comunicación de las actualizaciones de las políticas al personal afectado y requisitos de archivo para las versiones sustituidas."

Próximos pasos

Con su conjunto completo de políticas NIS2 creado y aprobado, ya tiene la base documental para el cumplimiento.

Continúe con las siguientes guías de esta serie:

  • Reporte de incidentes: Consulte Cómo implementar el reporte de incidentes NIS2 usando IA para crear los flujos de trabajo operativos, plantillas y protocolos que ponen en marcha su Política de Respuesta a Incidentes

  • Seguridad de la cadena de suministro: Consulte Cómo gestionar la seguridad de la cadena de suministro de NIS2 usando IA para implementar las evaluaciones de proveedores y los cuestionarios descritos en su Política de Seguridad de la Cadena de Suministro

Si aún no ha completado la evaluación de riesgos, consulte Cómo realizar la evaluación de riesgos NIS2 usando IA; sus políticas deben basarse en los resultados de su evaluación de riesgos. Para la configuración inicial y el alcance, comience con Cómo empezar la implementación de NIS2 usando IA.

Para obtener prompts de generación de políticas listos para usar, explore la Biblioteca de Prompts de la Directiva NIS2. Para una visión general completa de todos los requisitos de la NIS2, consulte la Guía de cumplimiento de la NIS2 para empresas dentro del alcance.

Obtener ayuda

Para obtener apoyo adicional con la creación de políticas NIS2:

  • Pregunte a ISMS Copilot: Utilice su espacio de trabajo NIS2 para consultas continuas sobre políticas, personalización y actualizaciones

  • Cargue políticas existentes: Obtenga un análisis de brechas impulsado por IA para identificar qué necesita ser creado, actualizado o reforzado

  • Personalización sectorial: Solicite disposiciones específicas del sector para añadir a las plantillas de políticas genéricas (especialmente importante para los sectores de energía, salud, transporte e infraestructura digital)

  • Alineación con la transposición nacional: Pregunte sobre los requisitos adicionales que su Estado miembro pueda haber impuesto más allá del nivel de referencia de la Directiva

¿Listo para generar su conjunto de políticas NIS2? Abra su espacio de trabajo NIS2 en chat.ismscopilot.com y comience con la Política de Seguridad de la Información general. Luego, trabaje sistemáticamente en cada área de medidas. Con ISMS Copilot, puede generar un conjunto de políticas completo y listo para una auditoría en días en lugar de meses.

¿Te fue útil?