Art. 21(2)(a) NIS 2 + CIR §2

Cómo realizar una evaluación de riesgos NIS 2

Tres pasos que la UE pide: identificar, analizar, evaluar y tratar. Un método escrito. Una aprobación de la dirección. Revisado a intervalos planificados y ante cambios significativos. Esta página le muestra qué aspecto tiene cada pieza en la práctica.

Simon OrzelSimon Orzel·

La versión corta

El Artículo 21(2)(a) NIS 2 dice que toda entidad esencial e importante debe ejecutar una política basada en el análisis de riesgos. El CIR (UE) 2024/2690 Anexo §2 lo concreta. Establece un marco de gestión de riesgos de seguridad de la información. Lo usa para identificar, analizar, evaluar y tratar los riesgos para sus redes y sistemas de información. Pone por escrito los criterios que usa, y el órgano de dirección los aprueba.

El método no lo inventa usted. Puede usar el BSI Standard 200-3 (Alemania), la ISO/IEC 27005:2022 (el equivalente internacional) o cualquier otro método reconocido. Lo que importa es que esté documentado, que cubra los activos que realmente opera y que lo revise a intervalos planificados, al menos anualmente, y siempre que algo significativo cambie.

La trampa en la que cae la mayoría de los operadores: eligen un escenario de amenaza, lo puntúan y se detienen. Una evaluación de riesgos es un método aplicado a su inventario de activos, no un único taller. A continuación recorremos la identificación, el análisis y la evaluación, y luego mostramos los principios que mantienen unido el conjunto.

La fuente jurídica
Tres capas apiladas una sobre otra. La directiva (vinculante para todos los países de la UE). El reglamento de ejecución (Derecho de la UE directamente aplicable para los sectores nombrados en el Anexo). La transposición nacional (en Alemania: BSIG).

Artículo 21(2)(a) Directiva NIS 2 (2022/2555)

Políticas de análisis de riesgos y de seguridad de los sistemas de información.

El punto (a) de la lista de las diez medidas de ciberseguridad que toda entidad esencial e importante tiene que implantar. La directiva no prescribe un método. Prescribe el deber.

CIR (UE) 2024/2690, Anexo §2

A los efectos del artículo 21, apartado 2, letra a), de la Directiva (UE) 2022/2555, las entidades pertinentes establecerán un marco adecuado de gestión de riesgos de seguridad de la información para identificar, analizar, evaluar y tratar los riesgos de seguridad de la información. Las entidades pertinentes revisarán y, cuando proceda, actualizarán el marco a intervalos planificados y al menos una vez al año, así como cuando se produzcan cambios significativos.

Como esto es un reglamento (no una directiva), es Derecho de la UE directamente vinculante. El Anexo §2 del CIR también vincula el marco al inventario de activos del §12 CIR. Los cuatro verbos identificar, analizar, evaluar, tratar vienen directamente del texto de la UE.

§30(2)(1) BSIG (Alemania)

Políticas de análisis de riesgos y de seguridad de la tecnología de la información.

Alemania copia el texto de la UE casi palabra por palabra. Los BSI Standards 200-2 (SGSI) y 200-3 (análisis de riesgos) le dicen en detalle cómo satisfacer el deber conforme al §30 BSIG. El mismo deber del Artículo 21(2)(a) se aplica en todos los demás Estados miembros a través de su ley nacional de transposición.

Los tres pasos de una evaluación de riesgos
El CIR §2 nombra cuatro verbos: identificar, analizar, evaluar, tratar. En la práctica se condensan en tres pasos de trabajo. Cada uno necesita un resultado que pueda entregar a un auditor.
Paso 1

Identificar

Tome su inventario de activos del §12 CIR. Para cada activo (o clase agrupada de activos idénticos), enumere las amenazas y vulnerabilidades que se aplican. Use un catálogo de referencia para no empezar con una página en blanco. El catálogo BSI Elementare Gefährdungen tiene 47 entradas que cubren incendio, robo, ingeniería social, malware, cadena de suministro, pérdida de persona clave y el resto. El Anexo A de la ISO/IEC 27005:2022 enumera tipos comparables de amenazas y vulnerabilidades. El resultado es un triple activo, amenaza y vulnerabilidad para cada riesgo.

Paso 2

Analizar

Para cada triple, puntúe cuán grave sería el impacto y cuán probable es que ocurra. Una matriz de 3x3 (bajo / medio / alto) basta para la mayoría de las entidades del Mittelstand. Una matriz de 5x5 le da más resolución si necesita comparar riesgos similares. El impacto cubre la confidencialidad, la integridad y la disponibilidad, más cualquier efecto de negocio o de seguridad que se derive. La probabilidad es un juicio fundamentado en lo que ya ha visto, en datos del sector y en el estado de sus controles. Anote la puntuación con una justificación de una línea.

Paso 3

Evaluar y tratar

Compare cada riesgo puntuado con sus criterios de aceptación, que fijó antes de empezar a puntuar. Por encima del umbral, lo trata: reducir (aplicar controles), evitar (dejar de hacer la actividad), compartir (seguro o contrato, con límites, ver más abajo) o aceptar (con una razón documentada). Por debajo del umbral, anota que lo acepta. Cada decisión de tratamiento tiene un propietario nombrado y una fecha. El órgano de dirección aprueba los riesgos residuales con los que está dispuesto a convivir.

Dos reglas que mantienen unida la evaluación
Dos reglas del CIR §2 y de la orientación del BSI que dan forma a cómo se juzga todo el ejercicio. Omita cualquiera de las dos y un auditor reabrirá el expediente.

Método escrito con aprobación de la dirección

El CIR §2 habla de un marco, no de un taller. El método (cómo puntúa, qué aspecto tiene la matriz, quién decide, cuáles son sus umbrales de aceptación) tiene que estar sobre papel. El órgano de dirección lo aprueba. No necesita un método sofisticado. Necesita uno documentado. El Artículo 21(1) le permite mantener la profundidad proporcional a su riesgo y a su tamaño, pero el método en sí no es opcional.

Revisión a intervalos planificados y ante cambios significativos

El CIR §2(2) es explícito: revisa el marco y la evaluación a intervalos planificados, al menos anualmente, y cuando se produzcan cambios significativos. Una nueva línea de negocio, un nuevo proveedor clave, un incidente grave, un cambio regulatorio, todos cuentan como significativos. La revisión anual es el suelo, no el techo. Trate la evaluación como un artefacto vivo vinculado a su inventario de activos, no como una carpeta que escribe una sola vez.

Cómo gestionan esto los reguladores nacionales
La UE fija la regla. Cada Estado miembro la operacionaliza. La sustancia es la misma. La orientación local difiere.
Alemania

BSI Standards 200-2 y 200-3

El BSI publica dos estándares que cubren el deber de análisis de riesgos del §30 BSIG de principio a fin. El BSI 200-2 establece el ciclo de vida del SGSI. El BSI 200-3 es el propio análisis de riesgos, con las Elementare Gefährdungen como catálogo de amenazas. El BSI es explícito en sus Infopakete: una transferencia general de riesgos o una aceptación general de riesgos quedan excluidas. El seguro es algo que añade por encima, nunca un sustituto del tratamiento.

Toda la UE

Guía técnica de implementación de ENISA

ENISA, la agencia de ciberseguridad de la UE, publica una Guía técnica de implementación (TIG) para el CIR (UE) 2024/2690. No es ley. Es la referencia práctica que mapea el texto del CIR sobre estándares reconocidos, incluida la ISO/IEC 27005:2022 para la gestión de riesgos. Las autoridades nacionales y los auditores la citan como una interpretación razonable del CIR.

Internacional

ISO/IEC 27005:2022

La ISO/IEC 27005:2022 es el estándar internacional para la gestión de riesgos de seguridad de la información. Se nombra en la TIG de ENISA como un método reconocido para satisfacer el CIR §2. Si ya ejecuta un SGSI ISO 27001, la ISO 27005 es el método de análisis de riesgos que reside dentro de él. Use el método reconocido que se ajuste a su contexto. El CIR no elige uno.

Cuatro trampas que vemos todo el tiempo
Cuatro patrones que aparecen en casi todas las llamadas de preparación de auditoría. Los cuatro dejan brechas que un auditor encontrará.

  • Hicimos la evaluación de riesgos el año pasado, así que hemos terminado.

    El CIR §2(2) exige una revisión a intervalos planificados, al menos anualmente, y ante cambios significativos. Una evaluación de un solo disparo del año pasado no satisface el deber si un proveedor importante cambió, un nuevo sistema entró en producción o un incidente significativo ocurrió mientras tanto. Trate la evaluación como un artefacto vivo vinculado a su inventario de activos.

  • Necesitamos una entrada de riesgo separada para cada CVE y cada amenaza.

    No la necesita. La evaluación de riesgos es activo por activo (o por clase agrupada de activos idénticos), no vulnerabilidad por vulnerabilidad. El BSI le permite agrupar 45 portátiles de oficina en una entrada. Evalúa amenazas y vulnerabilidades a nivel de activo. La gestión de parches es una obligación continua separada conforme al Artículo 21(2)(e), no parte de la evaluación anual.

  • Tenemos un ciberseguro, así que podemos aceptar el resto.

    El BSI es tajante: una transferencia general de riesgos o una aceptación general de riesgos quedan excluidas. El seguro se sitúa por encima del tratamiento, nunca lo sustituye. Lo mismo se aplica a la aceptación: no puede aceptar todos los riesgos que no quiere abordar. La aceptación tiene que estar razonada, nombrada, firmada y dentro de los criterios que fijó por adelantado.

Cómo lo hacen realmente los operadores reales del Mittelstand

Lo que vemos en entidades del Mittelstand de 60 a 250 personas: de diez a quince activos agrupados, un subconjunto de Elementare Gefährdungen de alrededor de veinte amenazas, una matriz de 3x3 y entre cuarenta y ochenta entradas de riesgo en total. La primera pasada lleva unos pocos días de trabajo con las personas adecuadas en la sala. Hecha una vez, la revisión anual son horas, no días.

Las dos piezas que más tardan la primera vez son el inventario de activos y los criterios de aceptación. Ambas compensan: cada requisito posterior (proveedores, incidentes, continuidad de negocio, formación) reutiliza la misma lista de activos, y los criterios le evitan volver a discutir cada decisión de tratamiento individual. Los profesionales con treinta clientes del Mittelstand dicen lo mismo: haga el método correctamente una vez, y la revisión anual es la hora más barata que dedica a NIS 2.

Cómo gestionamos esto en la plataforma

La metodología de riesgos, el inventario de activos, las amenazas y vulnerabilidades, los riesgos puntuados, los planes de tratamiento y los criterios de aceptación residen en un módulo de la plataforma. Registra el método una vez, el órgano de dirección lo aprueba, y cada evaluación posterior usa la misma puntuación. El rastro de auditoría es la evidencia.

La revisión anual y la revisión ante cambios significativos se derivan del uso de la plataforma: fechas de vencimiento, aprobaciones, estado. Nada que mantener aparte. Cuando la evaluación se vincula directamente a su inventario de activos (como pide el CIR §2(3)), cada cambio en un activo aflora en la siguiente revisión. Gratis y de código abierto. Sin lock-in.

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), Artículo 21(2)(a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo §2 y §12 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ley del BSI (BSIG), §30 en su redacción dada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
  • BSI Standard 200-2: metodología IT-Grundschutz — bsi.bund.de
  • BSI Standard 200-3: análisis de riesgos basado en IT-Grundschutz — bsi.bund.de
  • BSI Infopakete 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
  • ISO/IEC 27005:2022 — Seguridad de la información, ciberseguridad y protección de la privacidad: Orientación sobre la gestión de los riesgos de seguridad de la información
  • Guía técnica de implementación de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)
Ejecute la evaluación de riesgos en una plataforma, no en una pila de hojas de cálculo
Método, activos, riesgos, planes de tratamiento, criterios de aceptación y aprobación de la dirección en un módulo. Gratis y de código abierto.
Abra la plataforma gratuita