Directiva NIS2 y gestión de acceso: Qué exige realmente el Artículo 21

La Directiva NIS2 (UE 2022/2555) ya no es una preocupación futura. Desde octubre de 2024, las organizaciones de 18 sectores europeos deben demostrar el cumplimiento de controles de ciberseguridad obligatorios. Las sanciones alcanzan los 10 millones de euros o el 2% de la facturación anual global, y los miembros del consejo de administración enfrentan responsabilidad personal por incumplimiento.

En el núcleo de NIS2 está el Artículo 21, que establece 10 medidas de seguridad específicas. De estas, la gestión de acceso (gobernanza de credenciales, control de acceso basado en roles, autenticación multifactor y registro de auditoría) es la más auditable y la más directamente vinculada a los resultados de las brechas de seguridad.

Esta guía relaciona esos requisitos con pasos de implementación prácticos y muestra cómo generar evidencia de cumplimiento que los reguladores esperan.

Puntos clave

  • Las credenciales robadas aparecen en el 39% de todas las brechas — no solo en el acceso inicial, sino como el mecanismo principal para el movimiento lateral, la escalada de privilegios y la persistencia.
  • La participación de terceros ha alcanzado el 48% en 2026, un aumento interanual del 60% que implica directamente la gobernanza del acceso a la cadena de suministro según el Artículo 21(2)(d) de NIS2.
  • El Artículo 21 de NIS2 establece 10 medidas de seguridad específicas, todas obligatorias para cada entidad cubierta. Las medidas más auditables y críticas para las brechas son el control de acceso, MFA y el registro de auditoría inmutable — estas producen evidencia de cumplimiento exportable que los reguladores esperan.
  • El control de acceso es donde el cumplimiento de NIS2 se vuelve medible. A diferencia de los documentos de políticas, la gobernanza de credenciales produce evidencia verificable: registros de auditoría, matrices de permisos, informes de aplicación de MFA. Los reguladores pueden confirmar que los controles se aplican activamente.
  • El Artículo 23 introduce una obligación de notificación de incidentes en 24 horas. Las organizaciones sin gestión centralizada de credenciales, registros de auditoría inmutables y capacidades de rotación automatizada no pueden cumplir este plazo. La rotación masiva de contraseñas debe ser ejecutable en horas, no en días.
  • ENISA especifica tres niveles de MFA. El Nivel 1 (FIDO2/WebAuthn resistente al phishing) es obligatorio para todas las cuentas privilegiadas. El Nivel 2 (TOTP) es aceptable para usuarios estándar. Los OTP por SMS y correo electrónico están explícitamente marcados para eliminación progresiva y no cumplen el umbral mínimo.
  • La responsabilidad personal de los miembros del consejo de administración no tiene precedentes. El Artículo 20 responsabiliza personalmente a los ejecutivos de nivel C por fallos de ciberseguridad, incluyendo prohibiciones temporales de funciones directivas. Esta disposición no tiene precedente en NIS1.
  • Las sanciones alcanzan los 10 millones de euros o el 2% de la facturación anual global para Entidades Esenciales, con aplicación activa desde 2026. Las autoridades competentes nacionales en toda la UE han comenzado auditorías proactivas. El incumplimiento ya no es una preocupación futura.
  • El despliegue en las instalaciones propias elimina la custodia de datos por terceros. Las credenciales permanecen dentro de su red sin transmisión externa. Los registros de auditoría se almacenan localmente y se envían directamente a su SIEM sin intermediario del proveedor, garantizando la independencia de la auditoría.
  • La hoja de ruta de implementación en 5 fases toma de 30 a 60 días desde la evaluación hasta el cumplimiento listo para auditoría: evaluación previa al despliegue, auditoría de acceso, despliegue del sistema de credenciales, configuración NIS2 y monitoreo continuo. La mayoría de las organizaciones pueden pasar de una gestión de acceso fragmentada a la aplicación dentro de este plazo.

Por qué NIS2 se centra en la gestión de acceso

El control de acceso es donde el cumplimiento de NIS2 se vuelve medible. A diferencia de los documentos de políticas o las evaluaciones de riesgos, la gobernanza de credenciales produce evidencia exportable: registros de auditoría, matrices de permisos, informes de aplicación de MFA. Los reguladores pueden verificar que los controles se aplican activamente.

El panorama de amenazas hace evidente esta urgencia. Según el Informe de Investigaciones de Brechas de Datos de Verizon de 2026, la explotación de vulnerabilidades se ha convertido en el vector de acceso inicial líder con el 31% de las brechas, frente al 20% en 2025. Sin embargo, esta comparación general oculta un hallazgo más crítico: las credenciales robadas aparecen en el 39% de todas las brechas a lo largo de todo el ciclo de vida del ataque — no solo en el acceso inicial, sino como el mecanismo principal para el movimiento lateral, la escalada de privilegios y la persistencia.

Una vez que los atacantes obtienen entrada, las credenciales se convierten en su herramienta dominante para moverse a través de la infraestructura. La participación de terceros ha alcanzado el 48% en 2026, frente al 30% en 2025 — un aumento del 60% que implica directamente la gobernanza del acceso a la cadena de suministro según el Artículo 21(2)(d) de NIS2.

Las credenciales robadas impulsan la expansión de las brechas — reutilizadas, compartidas o nunca revocadas cuando los empleados se van. El Artículo 21 de NIS2 fue diseñado para eliminar esto mediante un control de acceso estricto, MFA obligatorio y registro de auditoría inmutable.

Comprendiendo el Artículo 21 de NIS2: Las 10 medidas de seguridad obligatorias

El Artículo 21 de NIS2 requiere «medidas técnicas, operativas y organizativas apropiadas y proporcionadas» para gestionar los riesgos de ciberseguridad.

El Artículo 21 de NIS2 requiere «medidas técnicas, operativas y organizativas apropiadas y proporcionadas» para gestionar los riesgos de ciberseguridad. Las 10 medidas son obligatorias para cada entidad cubierta. Esto es lo que exige cada una:

  • Medida 1: Análisis de riesgos y políticas de seguridad de los sistemas de información. Las organizaciones deben identificar y documentar continuamente los riesgos de ciberseguridad. Esto se traduce en el descubrimiento de credenciales: mapear todas las cuentas privilegiadas, identificar credenciales compartidas y documentar qué sistemas contienen el acceso de mayor riesgo.
  • Medida 2: Gestión de incidentes — prevención, detección y respuesta. Las organizaciones deben tener procedimientos documentados para responder a incidentes de seguridad. Para las brechas basadas en credenciales, esto significa la capacidad de rotar contraseñas comprometidas de forma masiva en horas, no en días.
  • Medida 3: Continuidad del negocio, gestión de copias de seguridad y recuperación ante desastres. Las credenciales deben permanecer accesibles incluso cuando los sistemas principales fallan. Esto requiere clustering de conmutación por error, replicación y procedimientos de copia de seguridad probados.
  • Medida 4: Seguridad de la cadena de suministro. Las organizaciones deben evaluar y gestionar los riesgos de ciberseguridad que plantean los proveedores directos y prestadores de servicios. Para las credenciales, esto significa aislar el acceso de terceros, limitarlo en el tiempo y revocarlo automáticamente cuando terminan los contratos.
  • Medida 5: Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información. Los sistemas deben construirse y mantenerse teniendo en cuenta la seguridad. Para los sistemas de credenciales, esto significa prácticas de desarrollo seguro y pruebas de penetración regulares.
  • Medida 6: Políticas y procedimientos para evaluar la efectividad de las medidas de gestión de riesgos de ciberseguridad. Las organizaciones deben verificar que los controles realmente funcionan. Esto requiere registros de auditoría: prueba de que los controles de acceso se aplican y que cada acción de credenciales se registra.
  • Medida 7: Prácticas básicas de higiene cibernética y formación en ciberseguridad. Las contraseñas débiles son el fallo de credenciales más común. Las organizaciones deben aplicar complejidad de contraseñas, programas de rotación y concienciación de seguridad del usuario.
  • Medida 8: Políticas y procedimientos relativos al uso de criptografía y cifrado. Las credenciales deben estar cifradas en reposo y en tránsito. Esto significa cifrado AES-256, TLS para todas las comunicaciones y arquitectura de conocimiento cero donde el servidor nunca tiene las claves de descifrado.
  • Medida 9: Seguridad de recursos humanos, políticas de control de acceso y gestión de activos. Este es el núcleo de la gobernanza de acceso de NIS2: cada usuario debe tener derechos de acceso documentados, cada cambio de acceso debe registrarse y cada credencial debe revocarse cuando el acceso ya no es necesario.
  • Medida 10: Uso de MFA o soluciones de autenticación continua. La autenticación multifactor ya no es opcional. La guía técnica de ENISA especifica tres niveles de fortaleza de MFA, con autenticación resistente al phishing (FIDO2/WebAuthn) obligatoria para todas las cuentas privilegiadas.

Tabla de referencia rápida

Medida Requisito principal Enfoque en credenciales
1. Análisis de riesgos y políticas Identificar y documentar riesgos de ciberseguridad Mapear cuentas privilegiadas, identificar credenciales compartidas
2. Gestión de incidentes Procedimientos para prevención, detección, respuesta Rotación masiva de contraseñas en horas
3. Continuidad del negocio Mantener acceso durante fallos del sistema Clustering de conmutación por error, replicación, copias de seguridad probadas
4. Seguridad de la cadena de suministro Gestionar riesgos de proveedores y prestadores Aislar acceso de terceros, revocación automática al fin del contrato
5. Desarrollo seguro Construir sistemas con seguridad en mente Prácticas de codificación segura, pruebas de penetración
6. Efectividad de controles Verificar que los controles realmente funcionan Registros de auditoría inmutables de todas las acciones de acceso
7. Higiene cibernética y formación Aplicar fortaleza de contraseñas y concienciación Complejidad de contraseñas, rotación, formación de usuarios
8. Cifrado Proteger datos en reposo y en tránsito AES-256, TLS, arquitectura de conocimiento cero
9. Control de acceso Documentar y registrar todos los cambios de acceso Derechos individuales por usuario, revocación inmediata
10. MFA Autenticación multifactor obligatoria FIDO2/WebAuthn para cuentas privilegiadas
CTA Image

Passwork proporciona evidencia de cumplimiento directa en 9 de las 10 medidas de NIS2. Los registros de acceso y los registros de auditoría inmutables satisfacen las medidas 1, 2 y 6. El almacenamiento cifrado cubre la medida 8. RBAC, la aplicación de MFA y el control de acceso a nivel de activos cierran las medidas 9 y 10 — donde los reguladores exigen pruebas técnicas. Obtenga una demostración gratuita y véalo en acción

La obligación de notificación de incidentes en 24 horas

El Artículo 23 de NIS2 introduce un cronograma de notificación en tres etapas que cambia fundamentalmente cómo las organizaciones responden a las brechas de credenciales.

  • Alerta temprana (24 horas). Dentro de las 24 horas posteriores al descubrimiento de un incidente significativo, las organizaciones deben notificar al CSIRT nacional. No se requiere evaluación completa — solo confirmación de que ocurrió un incidente y si se sospecha actividad criminal.
  • Notificación de incidente (72 horas). Proporcionar una evaluación inicial: gravedad, impacto, indicadores de compromiso (IoCs) y sistemas afectados. Aquí es donde el alcance de la brecha de credenciales se vuelve crítico. Si las credenciales de administrador fueron comprometidas, el alcance es potencialmente empresarial.
  • Informe final (1 mes). Análisis completo de la causa raíz, pasos de remediación tomados, evaluación del impacto transfronterizo y lecciones aprendidas. Este es el documento que los reguladores examinarán. Para las brechas de credenciales, debe incluir prueba de que todas las contraseñas comprometidas fueron rotadas y que el acceso fue revocado para cualquier cuenta que ya no debería haber tenido acceso.

Las organizaciones sin gestión centralizada de credenciales, registros de auditoría inmutables y capacidades de rotación automatizada no pueden cumplir el plazo de 24 horas.

Guía técnica de ENISA: MFA, PAM y registro de auditoría

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicó guía detallada de implementación técnica para NIS2. Para la gestión de acceso, tres áreas dominan: fortaleza de MFA, gestión de acceso privilegiado (PAM) y registro de auditoría.

MFA: Tres niveles de fortaleza

ENISA clasifica MFA en tres niveles según la resistencia al phishing:

  1. Fuerte (resistente al phishing). FIDO2, WebAuthn y llaves de seguridad de hardware. Estos no pueden ser interceptados por ataques de phishing porque utilizan protocolos criptográficos de desafío-respuesta. ENISA exige el Nivel 1 para todas las cuentas privilegiadas y administrativas. Sin excepciones.
  2. Medio. Aplicaciones autenticadoras TOTP y notificaciones push. Aceptable para cuentas de usuarios estándar. Vulnerable al phishing en tiempo real pero significativamente mejor que solo contraseñas.
  3. Último recurso (eliminar progresivamente). Contraseñas de un solo uso por SMS y correo electrónico. Vulnerable a ataques de SIM-swap e interceptación. ENISA recomienda explícitamente eliminar estos para todos los entornos regulados.

Las organizaciones deben documentar qué nivel de MFA se aplica para cada grupo de usuarios. Los auditores verificarán que todas las cuentas privilegiadas usen el Nivel 1 y que los OTP por SMS/correo electrónico ya no estén en uso.

Gestión de acceso privilegiado (PAM)

ENISA especifica cuatro requisitos de PAM:

  1. Separación de funciones. Las cuentas de administrador nunca deben usarse para tareas generales como correo electrónico o navegación. Se requieren cuentas separadas y dedicadas para todas las operaciones privilegiadas.
  2. Registro de auditoría completo. Cada acción privilegiada debe registrarse con identidad del usuario, marca de tiempo, IP de origen y acción realizada. Los registros deben ser inmutables y a prueba de manipulaciones.
  3. Acceso Just-In-Time (JIT). Privilegios otorgados por evento y revocados automáticamente después del uso. Sin acceso de administrador permanente.
  4. Gobernanza de acceso de terceros. El acceso de proveedores debe estar delimitado, limitado en el tiempo y revocado automáticamente al finalizar el contrato o el proyecto.

Registro de auditoría (ENISA §11.4)

Los registros deben ser:

  • Centralizados. Todas las acciones de credenciales registradas en un único sistema protegido.
  • Inmutables. Ningún usuario, incluidos los administradores, puede modificar o eliminar entradas de registro.
  • Exportables. Formatos estructurados (JSON, CSV, Syslog) para integración con SIEM y presentación regulatoria.
  • Retenidos. Período mínimo de retención definido por la evaluación de riesgos de la entidad (típicamente 1-3 años).

Los registros incompletos o manipulables no satisfarán ENISA §11.4. Los reguladores los rechazarán.

Mapeo de requisitos NIS2 a controles técnicos

Así es como los controles técnicos específicos satisfacen las obligaciones del Artículo 21:

Requisito NIS2 Control técnico Evidencia de cumplimiento
Art. 21(2)(a): Análisis de riesgos Panel de seguridad de contraseñas Visibilidad continua de credenciales débiles, reutilizadas, obsoletas y comprometidas. Informes exportables para auditores.
Art. 21(2)(b): Gestión de incidentes Rotación masiva de credenciales Capacidad de rotación instantánea con registro de auditoría completo de todas las rotaciones, marcas de tiempo e identidad del operador. Listo para notificaciones del Artículo 23.
Art. 21(2)(c): Continuidad del negocio Clustering de conmutación por error y replicación Acceso ininterrumpido a credenciales durante incidentes. Los registros de copia de seguridad demuestran preparación para la recuperación.
Art. 21(2)(d): Seguridad de la cadena de suministro Despliegue en las instalaciones propias Las credenciales permanecen dentro de su infraestructura — sin proveedor SaaS en la cadena. Se elimina de la evaluación de riesgos de la cadena de suministro.
Art. 21(2)(f): Efectividad de controles Registro de auditoría inmutable + integración SIEM Registros a prueba de manipulaciones exportados vía Syslog. Evidencia continua y medible de efectividad de controles.
Art. 21(2)(g): Higiene cibernética Aplicación de políticas de contraseñas Aplicación en todo el sistema de complejidad, programas de rotación, expiración automática. Elimina credenciales débiles desde el origen.
Art. 21(2)(h): Cifrado AES-256 + arquitectura de conocimiento cero Cifrado del lado del cliente confirmado en informes de configuración. Las claves maestras nunca se transmiten. Las claves de cifrado nunca salen del dispositivo del usuario.
Art. 21(2)(i): Control de acceso RBAC + integración AD/LDAP/SSO Matrices de permisos exportables por usuario/rol. Los registros de aprovisionamiento/desaprovisionamiento automatizados prueban que el acceso fue revocado en minutos tras la salida del empleado.
Art. 21(2)(j): MFA Aplicación obligatoria de MFA Informes de configuración del sistema que confirman que MFA se aplica globalmente. El método MFA individual por usuario se registra.

Cada control en la tabla anterior está integrado en la arquitectura central de Passwork. Obtiene paneles de seguridad de contraseñas, registros de auditoría inmutables, RBAC, aplicación de MFA y cifrado AES-256 de serie. El resultado: evidencia de cumplimiento que los reguladores esperan, no documentos de políticas que tienen que interpretar.

La hoja de ruta de implementación en 5 fases: De la evaluación al cumplimiento listo para auditoría

La hoja de ruta de implementación en 5 fases: De la evaluación al cumplimiento listo para auditoría

Pasar de una gestión de acceso fragmentada a un cumplimiento NIS2 listo para auditoría no requiere una reconstrucción completa de la infraestructura. Un enfoque estructurado en 5 fases lleva a la mayoría de las organizaciones de la evaluación a la aplicación en 30-60 días.

Fase 1: Evaluación previa al despliegue (semana 1)

  1. Definir los límites del alcance NIS2. ¿Qué unidades de negocio, sistemas y grupos de usuarios están bajo la directiva? Clasifique su organización como Entidad Esencial o Importante y confirme las obligaciones aplicables.
  2. Asignar responsabilidad. Designe un responsable de cumplimiento con responsabilidad del Artículo 20 — típicamente el CISO o Director de TI. Alinee los equipos de TI, seguridad, RRHH y legal en roles, responsabilidades y rutas de escalación.
  3. Confirmar preparación de infraestructura. Verifique las especificaciones del servidor y la topología de red para el despliegue en las instalaciones propias. Confirme la preparación de Active Directory o LDAP para el aprovisionamiento automatizado de usuarios.

Fase 2: Auditoría de acceso — dónde está hoy (semana 2)

  1. Mapear todas las cuentas privilegiadas. Identifique cada cuenta con acceso de administrador en todos los sistemas e infraestructura. Incluya cuentas de servicio y credenciales compartidas — estas son sus credenciales de mayor riesgo.
  2. Identificar acceso de terceros. Revise todo el acceso activo de terceros y proveedores. Documente el alcance, la duración y el estado actual de MFA. Aquí es donde la mayoría de las organizaciones descubren acceso no controlado.
  3. Evaluar el registro actual. ¿Qué se está registrando hoy, dónde y por cuánto tiempo? Documente la brecha entre el estado actual y los requisitos técnicos de ENISA.

Fase 3: Desplegando Passwork en su entorno (semana 3)

  1. Instalar en las instalaciones propias. Despliegue mediante Docker Compose o servidor bare-metal (Linux/Windows). Passwork se ejecuta completamente dentro de su infraestructura sin transmisión externa de credenciales.
  2. Integrar con sistemas de identidad. Conecte con Active Directory o LDAP para aprovisionamiento automatizado de usuarios. Configure SSO mediante SAML 2.0 para autenticación fluida y auditable.
  3. Importar y organizar credenciales. Migre las credenciales existentes a bóvedas estructuradas por equipo, sistema y criticidad. Defina la estructura inicial de bóvedas y la jerarquía de propiedad.

Fase 4: Configurando para cumplimiento NIS2 (semana 4)

  1. Definir y aplicar RBAC. Aplique el principio de mínimo privilegio en toda la organización. Cada usuario accede solo a las credenciales que su rol requiere.
  2. Exigir MFA. Aplique Nivel 1 (FIDO2) para todas las cuentas privilegiadas. Aplique Nivel 2 (TOTP) para todos los usuarios estándar. Documente la aplicación como evidencia de auditoría.
  3. Aislar acceso de terceros. Cree bóvedas dedicadas y con límite de tiempo para proveedores y contratistas con expiración automática al fin del contrato.
  4. Configurar políticas de contraseñas. Aplique reglas de complejidad, programas de rotación y expiración automática. Habilite el registro completo de auditoría y configure la integración SIEM vía Syslog.

Fase 5: Monitoreo e informes continuos (continuo)

  1. Programar revisiones de acceso trimestrales. Valide que las asignaciones de RBAC permanezcan precisas. Asegúrese de que no quede acceso huérfano después de las salidas de empleados.
  2. Generar informes de cumplimiento automatizados. Demuestre la aplicación de MFA, gobernanza de acceso y efectividad de controles. Tenga paquetes de evidencia exportables listos para presentación regulatoria bajo demanda.
  3. Monitorear registros de auditoría. Integre alertas con SIEM para patrones de acceso anómalos. Realice evaluaciones anuales de preparación NIS2 contra la guía actualizada de ENISA.

La lista de verificación de cumplimiento NIS2

Use esta lista de verificación para rastrear su postura de cumplimiento en las tres áreas críticas: gestión de acceso, seguridad de la cadena de suministro y preparación para incidentes.

Control de acceso (Artículo 21(2)(i))

  • Mapear todas las cuentas privilegiadas en todos los sistemas e infraestructura
  • Implementar RBAC estricto — cada usuario accede solo a las credenciales que su rol requiere
  • Eliminar todas las cuentas compartidas — reemplazar con acceso individualizado
  • Automatizar el ciclo de vida de identidad vía AD/LDAP — revocación inmediata del acceso tras la salida del empleado
  • Exportar matrices de permisos como evidencia lista para auditores

Cadena de suministro (Artículo 21(2)(d))

  • Aislar todo el acceso de terceros en bóvedas dedicadas con límite de tiempo
  • Auditar todas las credenciales activas de proveedores — revocar cualquier acceso que ya no esté operativamente justificado
  • Documentar el alcance del acceso de proveedores, duración y estado de MFA para cada credencial activa de terceros
  • Configurar expiración automática al fin del contrato

MFA (Artículo 21(2)(j))

  • Aplicar MFA Nivel 1 (FIDO2/WebAuthn) para todas las cuentas administrativas
  • Aplicar MFA Nivel 2 (TOTP) para todos los usuarios estándar
  • Eliminar progresivamente SMS y OTP por correo electrónico — ambos no cumplen el umbral mínimo de ENISA
  • Generar informe de cumplimiento que confirme MFA en todas las cuentas activas

Preparación para incidentes (Artículo 23)

  • Verificar que los registros de auditoría proporcionen detalle suficiente para la alerta temprana de 24 horas
  • Establecer y probar el flujo de trabajo de rotación masiva de credenciales para respuesta post-incidente
  • Designar individuo nombrado responsable de la notificación del Artículo 23
  • Preparar paquetes de evidencia exportables listos para presentación regulatoria bajo demanda

Registro de auditoría (ENISA §11.4)

  • Centralizar y proteger registros de auditoría — configurar registro inmutable y exportable
  • Integrar con SIEM vía Syslog — asegurar que ningún usuario pueda modificar o eliminar entradas de registro
  • Confirmar que cada entrada captura identidad, marca de tiempo, acción e IP de origen
  • Generar informes automatizados que cubran aplicación de MFA, cumplimiento de RBAC y revisiones de acceso

Sanciones: Lo que realmente cuesta el incumplimiento

Sanciones: Lo que realmente cuesta el incumplimiento

Las consecuencias financieras y personales del incumplimiento de NIS2 son severas:

  • Para Entidades Esenciales: Hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. Los reguladores también pueden imponer restricciones operativas temporales.
  • Para Entidades Importantes: Hasta 7 millones de euros o el 1,4% de la facturación anual global, lo que sea mayor. La supervisión reactiva no significa menor riesgo.
  • Responsabilidad personal de la dirección (Artículo 20). Los miembros del consejo de administración y los ejecutivos de nivel C pueden ser considerados personalmente responsables por fallos de ciberseguridad. Las autoridades competentes pueden imponer prohibiciones temporales de funciones directivas. Esta disposición no tiene precedente en NIS1, y cambia fundamentalmente cómo el liderazgo debe abordar el cumplimiento.

Desde 2026, las autoridades competentes nacionales en toda la UE han comenzado auditorías proactivas de Entidades Esenciales. La fase de aplicación está activa.

Construyendo su paquete de evidencia NIS2

Los reguladores quieren pruebas. Su paquete de evidencia de cumplimiento debe incluir:

  1. Exportación de configuración RBAC. Matrices de permisos que muestren qué usuarios/roles tienen acceso a qué credenciales.
  2. Informe de aplicación de MFA. Configuración del sistema que confirme que MFA se aplica globalmente, con método MFA por usuario.
  3. Muestras de registros de auditoría. Registros representativos que muestren identidad, marca de tiempo, acción e IP de origen para acceso y modificaciones de credenciales.
  4. Inventario de acceso de terceros. Alcance documentado, duración y estado de MFA para cada credencial activa de proveedor.
  5. Documentación de política de contraseñas. Reglas de complejidad aplicadas, programas de rotación y configuración de expiración automática.
  6. Capacidad de respuesta a incidentes. Prueba de que la rotación masiva de credenciales puede ejecutarse en horas.
  7. Registros de copia de seguridad y conmutación por error. Evidencia de que las credenciales permanecen accesibles durante fallos del sistema.

La ventaja del despliegue en las instalaciones propias para el cumplimiento NIS2

Las organizaciones a menudo preguntan: ¿por qué NIS2 enfatiza el despliegue en las instalaciones propias? La respuesta es soberanía de datos e independencia de auditoría.

  1. Los datos permanecen donde usted los gobierna. Todas las credenciales permanecen dentro de su red sin transmisión externa, sin custodia de terceros y sin ambigüedad jurisdiccional.
  2. Registros de auditoría que usted posee y controla. Los registros se almacenan localmente, se envían directamente a su SIEM vía Syslog sin intermediario del proveedor, sin restricciones y sin datos que salgan de su perímetro.
  3. Sin dependencia de datos de terceros. Debido a que el sistema de credenciales se ejecuta dentro de su infraestructura, no tiene custodia sobre sus credenciales, eliminando la dependencia de datos de terceros que desencadena los requisitos de evaluación de la cadena de suministro bajo el Artículo 21(2)(d).
  4. Evidencia de cumplimiento en sus términos. Cada informe, registro y exportación de configuración se genera desde su propia infraestructura y está disponible bajo demanda para auditores, sin dependencia del equipo de soporte del proveedor o política de retención de datos.
  5. Entornos aislados soportados. Despliegue con air gap para infraestructuras OT/ICS con cero exposición de red. Las credenciales permanecen accesibles incluso donde la conectividad a internet está prohibida por diseño.

Conclusión: Del cumplimiento a la ventaja competitiva

Conclusión: Del cumplimiento a la ventaja competitiva

NIS2 es un mandato para asegurar la infraestructura de la que depende la sociedad europea. Los vectores de ataque basados en credenciales dominan el panorama de amenazas de 2026 — y son precisamente lo que el Artículo 21 fue diseñado para abordar.

Las organizaciones que centralizan la gobernanza de credenciales, aplican MFA resistente al phishing y mantienen registros de auditoría inmutables hacen más que pasar la auditoría. Eliminan su superficie de ataque más significativa. La hoja de ruta de implementación en 5 fases de esta guía le lleva de una gestión de acceso fragmentada a un cumplimiento listo para auditoría en 30-60 días.

La base técnica para ese resultado requiere tres elementos: despliegue en las instalaciones propias que garantice la soberanía de datos, RBAC que aplique el mínimo privilegio a escala y registros de auditoría que proporcionen a los reguladores exactamente la evidencia que necesitan.

CTA Image

Passwork ofrece los 9 controles técnicos de esta tabla: paneles de seguridad de contraseñas, rotación masiva, clustering de conmutación por error, despliegue en las instalaciones propias, registros de auditoría inmutables, aplicación de políticas, cifrado AES-256, RBAC y MFA. Obtenga una demostración gratuita y véalo en acción.

¿Listo para pasar de la planificación del cumplimiento a la implementación? Descargue la guía completa de cumplimiento NIS2 para mapeo técnico detallado, orientación específica por sector y una lista de verificación de cumplimiento personalizable.

Preguntas frecuentes

Preguntas frecuentes

¿Qué exige realmente el Artículo 21 de NIS2 a mi organización?

El Artículo 21 establece 10 medidas de seguridad específicas: análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, verificación de efectividad de controles, higiene cibernética, cifrado, control de acceso y MFA. Las 10 son obligatorias para cada entidad cubierta. Las medidas más auditables y críticas para las brechas son el control de acceso (Artículo 21(2)(i)), MFA (Artículo 21(2)(j)) y registro de auditoría (Artículo 21(2)(f)).

¿Quién está obligado a cumplir con NIS2?

Las organizaciones en 18 sectores europeos clasificadas como Entidades Esenciales deben cumplir inmediatamente. Estas incluyen energía, transporte, agua, salud, infraestructura digital y administración pública. Las Entidades Importantes (servicios financieros, suministro de alimentos, manufactura, productos químicos, espacio) tienen hasta octubre de 2025 para el cumplimiento total. Las organizaciones no pertenecientes a la UE que operan en estos sectores dentro de la jurisdicción de la UE también están en el ámbito de aplicación.

¿Cuáles son las sanciones por incumplimiento?

Las Entidades Esenciales enfrentan multas de hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. Las Entidades Importantes enfrentan hasta 7 millones de euros o el 1,4% de la facturación anual global. Los miembros del consejo de administración y los ejecutivos de nivel C enfrentan responsabilidad personal bajo el Artículo 20, incluyendo prohibiciones temporales de funciones directivas. La aplicación está activa desde 2026.

¿Cuánto tiempo lleva implementar el cumplimiento NIS2 para la gestión de acceso?

La mayoría de las organizaciones pasan de la evaluación al cumplimiento listo para auditoría en 30-60 días utilizando un enfoque estructurado en 5 fases: evaluación previa al despliegue (semana 1), auditoría de acceso (semana 2), despliegue del sistema de credenciales (semana 3), configuración NIS2 (semana 4) y monitoreo continuo. El plazo depende de la complejidad de la infraestructura y el volumen de credenciales existentes a migrar.

¿Cuál es la diferencia entre Entidades Esenciales e Importantes bajo NIS2?

Las Entidades Esenciales operan infraestructura crítica (energía, transporte, agua, salud, infraestructura digital, administración pública). Las Entidades Importantes proporcionan servicios esenciales (servicios financieros, suministro de alimentos, manufactura, productos químicos, espacio). Las Entidades Esenciales enfrentan sanciones más altas (10 millones de euros vs. 7 millones de euros) y plazos de aplicación más estrictos. Ambas deben implementar las 10 medidas del Artículo 21.

¿Por qué NIS2 enfatiza la gestión de credenciales en las instalaciones propias?

El despliegue en las instalaciones propias garantiza la soberanía de datos: las credenciales permanecen dentro de su red sin transmisión externa ni custodia de terceros. Los registros de auditoría se almacenan localmente y se envían directamente a su SIEM sin intermediario del proveedor. Esto elimina la dependencia de datos de terceros que desencadena los requisitos de evaluación de la cadena de suministro bajo el Artículo 21(2)(d) y le proporciona independencia de auditoría completa.

¿Qué nivel de MFA requiere NIS2?

ENISA especifica tres niveles: Nivel 1 (resistente al phishing) — FIDO2, WebAuthn, llaves de seguridad de hardware — es obligatorio para todas las cuentas privilegiadas y administrativas. Nivel 2 (aplicaciones autenticadoras TOTP, notificaciones push) es aceptable para usuarios estándar. Los OTP por SMS y correo electrónico están explícitamente marcados para eliminación progresiva y no cumplen el umbral mínimo de ENISA.

¿Cómo demuestro el cumplimiento NIS2 a los reguladores?

Su paquete de evidencia debe incluir: exportaciones de configuración RBAC que muestren matrices de permisos, informes de aplicación de MFA que confirmen la aplicación global, registros de auditoría representativos con identidad/marca de tiempo/acción/IP de origen, inventario de acceso de terceros con alcance y duración, documentación de política de contraseñas, prueba de capacidad de rotación masiva de credenciales y registros de copia de seguridad/conmutación por error. Toda la evidencia debe ser exportable y estar lista para auditores bajo demanda.

¿Cuál es el cronograma de notificación del Artículo 23?

El Artículo 23 introduce tres etapas: Alerta temprana (24 horas) — notificar al CSIRT nacional que ocurrió un incidente. Notificación de incidente (72 horas) — proporcionar evaluación inicial incluyendo gravedad, impacto y sistemas afectados. Informe final (1 mes) — análisis completo de causa raíz, pasos de remediación y lecciones aprendidas. Las organizaciones sin gestión centralizada de credenciales y rotación automatizada no pueden cumplir el plazo de 24 horas.

Gestión de contraseñas y acceso para pymes: ¿Es suficiente KeePass?
¿Usa KeePass para su equipo? Descubra los riesgos ocultos de KeePass para pymes en 2026 — fallos de sincronización, brechas de cumplimiento y cuándo cambiar a un gestor de contraseñas corporativo.
Passwork BlogAlex Muntyan
¿Es obligatoria la autenticación sin contraseña para el cumplimiento de NIS2?
El Artículo 21(2)(j) de NIS2 exige MFA «cuando sea apropiado» — no sin contraseña por defecto. Conozca lo que realmente requiere la guía de ENISA, cómo evalúan los auditores su implementación y cómo construir una postura de cumplimiento híbrida defendible para 2026.
Passwork BlogAlex Muntyan
Passwork gana Top Performer Primavera 2026 en SourceForge
Passwork ha sido nombrado Top Performer Primavera 2026 por SourceForge, clasificándose en el 10% superior de más de 100.000 soluciones. La insignia se basa completamente en reseñas verificadas — 4,8 estrellas en general, con un 5,0 perfecto para soporte.
Passwork BlogAlex Muntyan