Evaluación de la eficacia bajo NIS 2 según el artículo 21(2)(f)
No basta con escribir sus medidas de ciberseguridad. El artículo 21(2)(f) dice que tiene que comprobar si funcionan realmente, de forma continua. El CIR §7 lo convierte en KPI nombrados, responsables y una cadencia de revisión.
La versión breve
La evaluación de la eficacia es el bucle de prueba. Ha pasado un año configurando la gestión de riesgos, el control de accesos, la criptografía, las revisiones de proveedores y lo demás. El artículo 21(2)(f) plantea la siguiente pregunta: ¿funcionan realmente las medidas que escribió? Un control documentado que nadie prueba no es lo mismo que un control que funciona.
El CIR (UE) 2024/2690 §7 convierte el deber abstracto en un proceso PDCA. Usted elige qué medir. Elige cómo y con qué frecuencia. Nombra a un responsable de la medición y a un responsable del análisis. Revisa los resultados. Actualiza el marco después de cada incidente significativo.
Alemania lleva la misma regla a su Derecho nacional a través del §30(2)(6) BSIG. La redacción sigue de cerca a la directiva. Esta página recorre la directiva, el reglamento de desarrollo de la UE y la transposición alemana en ese orden.
Artículo 21(2)(f) de la Directiva NIS 2 (2022/2555)
Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.
El punto (f) de la lista de diez medidas de ciberseguridad que toda entidad esencial e importante tiene que implantar. La directiva no dice con qué frecuencia ni con qué KPI. Eso se deja al CIR §7.
CIR (UE) 2024/2690, anexo §7
A efectos del artículo 21, apartado 2, letra f), de la Directiva (UE) 2022/2555, las entidades pertinentes establecerán, implementarán y aplicarán una política y procedimientos para evaluar si las medidas de gestión de riesgos de ciberseguridad se implementan y mantienen de forma eficaz.
Derecho de la UE directamente vinculante para los sectores nombrados en el anexo del CIR. El §7 nombra las seis cosas que su política debe cubrir (qué, cómo, cuándo, quién mide, cuándo se analizan los resultados, quién analiza). También exige una revisión a intervalos planificados o después de cada incidente significativo.
§30(2)(6) BSIG (Alemania)
Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.
Alemania copia el texto de la UE casi palabra por palabra. El BSI espera que, durante una auditoría, señale un concepto de evaluación documentado, no una hoja de cálculo improvisada.
QUÉ mide
Nombre las medidas de gestión de riesgos de ciberseguridad que supervisa. Cuentan tanto los procedimientos como los controles. No tiene que medir todo. Sí tiene que elegir un conjunto, escribirlo y vincularlo a los resultados de su evaluación de riesgos y a sus incidentes significativos previos.
CÓMO y CUÁNDO mide
Para cada medida, nombre el método de supervisión y medición, el enfoque de análisis y la cadencia. Métricas trimestrales con un análisis anual en profundidad es una forma habitual. El método tiene que producir resultados válidos, así que 'tenemos una intuición al respecto' no pasa.
QUIÉN es responsable
Dos roles nombrados. Una persona es responsable de la medición (extrae las cifras, ejecuta la prueba, exporta el registro). Una segunda persona es responsable del análisis (lee los datos, juzga si el control funciona, escala). En un Mittelstand pequeño, la misma persona puede hacer ambas, pero el documento tiene que nombrarlas.
Conecte la eficacia con el registro de riesgos
El CIR §7.2 dice que la política debe tener en cuenta los resultados de la evaluación de riesgos y los incidentes significativos previos. Los KPI flotantes no cuentan. Si mide el cumplimiento de parches pero sus tres riesgos principales son brechas de proveedores, phishing y exposición de OT, sus KPI se desvían del objetivo. Elija KPI que prueben los controles que cubren sus mayores riesgos.
Informe al órgano de dirección
El artículo 20(1) NIS 2 hace que el órgano de dirección apruebe las medidas de gestión de riesgos de ciberseguridad y supervise su implementación. No pueden supervisar lo que no ven. Los datos de eficacia tienen que llegar ante ellos periódicamente. Trimestral es la cadencia habitual. El formato no importa siempre que esté documentado.
BSI / IT-Grundschutz DER.1
El BSI enumera la evaluación de la eficacia como punto seis de las diez medidas del artículo 21(2). La capa DER.1 'Detección' de IT-Grundschutz cubre el lado operativo de la supervisión (análisis de registros, SIEM, detección de anomalías). DER.1 por sí sola no satisface el §7, pero es una de las entradas que su concepto de evaluación referenciará.
Guía de Implementación Técnica de ENISA
La TIG de ENISA para el CIR (UE) 2024/2690 nombra la evidencia que esperan los auditores según el §7: política documentada, lista de KPI con objetivos y valores reales, responsables nombrados, actas de revisión, tareas derivadas del análisis. ENISA también mapea el §7 sobre los controles 9.1 (supervisión) y 5.36 (revisión del cumplimiento) de ISO/IEC 27001:2022.
Leyes nacionales de transposición
Cada Estado miembro tiene su propia ley de transposición (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). El deber es el mismo porque la directiva fija un estándar único para toda la UE. Lo que difiere: a quién informa, cómo es el ciclo de auditoría, qué regulador sectorial tiene la última palabra en su país.
Hacemos una auditoría anual, esa es nuestra evaluación de la eficacia.
Una auditoría es una comprobación puntual. El CIR §7 exige supervisión y medición continuas, más un análisis periódico. La auditoría es una entrada, no la respuesta completa. Si su única evidencia de eficacia es un informe de auditoría anual, no tiene un concepto del §7.
Tenemos un SIEM, así que tenemos la supervisión cubierta.
Un SIEM es una herramienta entre las entradas que su concepto de evaluación referencia. El §7 no pregunta '¿tiene un SIEM?'. Pregunta '¿qué control está probando, qué KPI está midiendo frente a él, qué valor objetivo define lo eficaz?'. Los paneles del SIEM por sí solos no responden a eso.
Nuestro CISO sabe si las medidas funcionan.
El CIR §7.2(d) y §7.2(f) exigen responsables nombrados y un análisis documentado. El conocimiento tribal en la cabeza de una sola persona falla por dos motivos: no hay rastro de auditoría, no hay continuidad si esa persona se marcha. El concepto tiene que estar escrito, el análisis tiene que estar registrado y el órgano de dirección tiene que ver los resultados.
La mayoría de las empresas del Mittelstand ya miden dos cosas: la disponibilidad de los sistemas y el cumplimiento de parches. Ambos son buenos KPI, pero solo cubren dos de las diez medidas del artículo 21(2). El artículo 21(2)(f) le pide más: recuentos de incidentes frente a objetivos, tiempo medio de detección, tiempo medio de respuesta, tasas de finalización de la formación, resultados de las pruebas de phishing, tasas de finalización de las revisiones de proveedores.
Lo que vemos en la práctica: elija de seis a ocho KPI que se mapeen sobre sus riesgos principales. Lectura trimestral al órgano de dirección. Análisis anual en profundidad que revise la selección de KPI frente al registro de riesgos actualizado. Después de cada incidente significativo, se activa el disparador del §7.3 y revisa las medidas pertinentes con independencia del calendario. Eso se sostiene bajo la proporcionalidad del artículo 21(1) para un operador de 60 a 250 personas.
Hemos integrado el concepto de evaluación del §7 en la plataforma como módulo. Define KPI, vincula cada uno a la medida de gestión de riesgos que prueba, fija una cadencia de medición y un valor objetivo, y nombra al responsable de la medición y al responsable del análisis. La plataforma recuerda al responsable cuándo vence la próxima lectura.
El panel del órgano de dirección reúne todos los KPI en una vista trimestral única, lista para la reunión de supervisión del artículo 20(1). Después de un incidente significativo, el disparador de revisión del §7.3 se activa automáticamente: los KPI pertinentes salen a la superficie, los responsables afectados reciben una tarea, el análisis recibe un visto bueno. El rastro de auditoría está completo por defecto.
- Directiva (UE) 2022/2555 (NIS 2), artículo 21(2)(f) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), anexo §7 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §30(2)(6) en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- BSI IT-Grundschutz, capa DER.1 'Detección de eventos relevantes para la seguridad' — bsi.bund.de/grundschutz
- Guía de Implementación Técnica de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)