NIS2Check

Guías NIS2

Las 10 medidas del artículo 21 de NIS2 explicadas

El artículo 21.2 de NIS2 fija 10 medidas mínimas de gestión de riesgos de ciberseguridad que toda entidad esencial o importante debe implantar. No son opcionales ni a la carta: hay que cubrir las diez con un enfoque proporcional al riesgo.

Las diez medidas mínimas

  • Políticas de análisis de riesgos y seguridad de los sistemas de información: Políticas documentadas, aprobadas por el órgano de dirección y revisadas periódicamente, que identifiquen activos, amenazas y riesgos sobre redes y sistemas.
  • Gestión de incidentes: Procedimientos de detección, respuesta y recuperación, alineados con los plazos de notificación del artículo 23: alerta temprana en 24h, notificación en 72h, informe final en un mes.
  • Continuidad de las actividades: Gestión de copias de seguridad con pruebas de recuperación, plan de recuperación ante desastres y gestión de crisis.
  • Seguridad de la cadena de suministro: Requisitos de ciberseguridad en las relaciones con proveedores directos y prestadores de servicios, incluidas cláusulas contractuales y evaluación de proveedores críticos.
  • Seguridad en la adquisición, desarrollo y mantenimiento de sistemas: Gestión de vulnerabilidades y su divulgación, parcheado, y requisitos de seguridad en compras y desarrollos.
  • Políticas para evaluar la eficacia de las medidas: Auditorías, métricas e indicadores que demuestren que las medidas de gestión de riesgos funcionan.
  • Ciberhigiene básica y formación: Prácticas básicas (actualizaciones, contraseñas, segmentación) y formación en ciberseguridad para plantilla y, especialmente, para el órgano de dirección (art. 20).
  • Políticas de criptografía y cifrado: Uso de cifrado en tránsito y en reposo cuando proceda, con políticas que definan algoritmos y gestión de claves.
  • Seguridad de RRHH, control de acceso y gestión de activos: Altas y bajas de personal, mínimo privilegio, inventario de activos y control de accesos.
  • Autenticación multifactor y comunicaciones seguras: MFA o autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas de comunicación de emergencia.

Cómo se aplican en la práctica

La directiva pide proporcionalidad: una mediana empresa no implanta lo mismo que una gran operadora, pero sí tiene que abordar las diez áreas. El órgano de dirección debe aprobar las medidas y supervisar su eficacia (art. 20), y los plazos de notificación de incidentes del artículo 23 condicionan cómo se diseña la gestión de incidentes (alerta temprana en 24h, notificación en 72h e informe final en un mes).

El camino habitual es un análisis de gaps: comparar lo que ya tienes contra estas diez medidas, priorizar los huecos por riesgo y construir un plan con fechas.

Preguntas frecuentes

¿Cuántas medidas exige el artículo 21 de NIS2?

Diez medidas mínimas de gestión de riesgos, desde el análisis de riesgos y la gestión de incidentes hasta la autenticación multifactor y la seguridad de la cadena de suministro.

¿Las medidas son iguales para entidades esenciales e importantes?

Sí, las medidas del artículo 21 son las mismas para ambas. Cambia el régimen de supervisión (proactivo para esenciales, reactivo para importantes) y el tope de las sanciones.

¿Te afecta NIS2? Sal de dudas en 3 minutos

10 preguntas, veredicto inmediato y, si quieres, informe de gaps con plan de adecuación.

Hacer el test gratuito →

Sigue leyendo:

Contenido orientativo basado en la directiva (UE) 2022/2555 y su transposición española. No constituye asesoramiento jurídico.