Herramienta NIS2: guía de compra para software de cumplimiento
Qué herramientas NIS2 necesita realmente, cuánto cuestan, en qué fijarse y qué funciones son obligatorias en virtud de la directiva.
Una herramienta NIS2 es un software que ayuda a las empresas a aplicar la Directiva NIS2 de la UE (2022/2555) y su transposición nacional (en Alemania: BSIG / NIS2UmsuCG). Debe cubrir las 10 medidas de ciberseguridad del artículo 21 NIS2, además de la notificación de incidentes y el registro ante la autoridad.
- NIS2 exige pruebas de auditoría duraderas. Los documentos de Word no bastan.
- El BSI comprueba los plazos de respuesta (24h / 72h / 1 mes), difíciles de demostrar manualmente.
- Responsabilidad personal de la dirección en virtud del §38 BSIG: necesita la prueba de que se aplicaron las medidas.
- Las 10 medidas del artículo 21 afectan a varios departamentos. Unas herramientas coordinadas ahorran tiempo.
| Tool | Purpose | NIS2 |
|---|---|---|
| Plataforma GRC | Gobernanza, riesgo y cumplimiento. Representa todas las medidas, riesgos y auditorías. | Obligatoria para la documentación |
| Gestión de activos | Inventario de activos de TI como base del análisis de riesgos. | Obligatoria (RSK 2.2) |
| SIEM / registro | Detección de eventos de seguridad, análisis forense. | Muy recomendable: detectar los incidentes notificables |
| Gestión de parches | Seguimiento de actualizaciones de sistemas operativos y aplicaciones. | Obligatoria (artículo 21(2)(e) NIS2) |
| MFA / IAM | Autenticación multifactor, gestión de identidades y accesos. | Obligatoria (artículo 21(2)(j) NIS2) |
| Copia de seguridad / recuperación ante desastres | Copia de seguridad de datos y capacidad de recuperación. | Obligatoria (artículo 21(2)(c) NIS2) |
| Gestión de proveedores | Evaluación de la ciberseguridad de sus proveedores y socios. | Obligatoria (artículo 21(2)(d) NIS2) |
| Plataforma de formación | Formación de concienciación para toda la plantilla y la dirección (§38 BSIG). | Obligatoria (artículo 21(2)(g) NIS2) |
- Las 10 medidas del artículo 21 NIS2 / §30 BSIG
- Cascada de notificación de incidentes en tres fases (24h / 72h / 1 mes) en virtud del §32 BSIG
- Datos de registro del BSI (§33 BSIG) con control de versiones
- Pista de auditoría: cada cambio con marca de tiempo y responsable
- Validación de la dirección mediante firma conforme a eIDAS
- Inventario de proveedores con su propio estado de cumplimiento
- Compatibilidad multipaís en caso de actividad transfronteriza en la UE
- Dependencia del proveedor: la exportación completa de datos debe ser posible
- « Gratis para siempre » como reclamo de marketing: a menudo un cebo, lea la letra pequeña
- Los 49 requisitos del BSIG cubiertos
- Cascada de notificación de incidentes en tres fases integrada
- Pista de auditoría imposible de borrar
- Protección de la responsabilidad de la dirección: validación, formación, pruebas
- Portal de proveedores: cuestionarios de autoservicio
- Plataforma gratuita, acompañamiento a la implementación opcional y de pago
¿Cuánto cuesta una herramienta NIS2?
Las herramientas GRC comerciales (Vanta, Drata, OneTrust) suelen costar entre 10.000 y 60.000 EUR al año para una empresa mediana. nisd2.eu es gratuito. Nuestro acompañamiento a la implementación arranca en 500 EUR al mes.
¿Necesito una herramienta o basta con Excel?
Excel no basta. El BSI exige una pista de auditoría a prueba de manipulaciones. Tras un incidente, debe poder demostrar quién cambió qué y cuándo. Los archivos de Excel se sobrescriben. Un auditor del BSI lo objetará.
¿Basta con una sola herramienta o necesito varias?
Una herramienta GRC cubre la documentación y las pruebas. Para SIEM, gestión de parches, MFA y copias de seguridad sigue necesitando herramientas técnicas separadas. Una buena herramienta NIS2 integra las pruebas procedentes de esos sistemas.
¿Puede una plataforma gratuita cumplir con NIS2?
Sí. NIS2 no impone un proveedor concreto. Lo que importa es que los requisitos se cumplan y se documenten de forma resistente a la auditoría. Las herramientas open source y gratuitas pueden hacerlo igual de bien que las costosas soluciones SaaS.