Field notes

Los 10 principales gaps que los auditores buscarán en NIS2

Y por qué «tenemos una política para eso» no será suficiente esta vez con NIS2

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lectura
Top 10 Gaps Auditors Will Look for Under NIS2

NIS2 – Cursos de Formación(Y por qué «tenemos una política para eso» no bastará esta vez.)

NIS2 no es otra casilla de verificación de ciberseguridad.Supone un cambio de responsabilidad, del departamento de TI hacia la gobernanza.Por primera vez, los directivos pueden ser considerados personalmente responsables de los fallos en la resiliencia cibernética.

Así que cuando llegue la primera oleada de auditorías NIS2, esperen que los auditores vayan más allá del habitual «¿tienen una política?».Buscarán pruebas de ejecución, trazabilidad e implicación de la dirección.

Estas son las diez brechas reales que decidirán si superan o no su auditoría NIS2.No es teoría; es lo que ya observamos al evaluar organizaciones en toda Europa.

1. Ausencia de evidencia de gobernanza al más alto nivel

NIS2 lleva la ciberseguridad a la sala de juntas.Si sus directivos no pueden demostrar supervisión, habrán fallado en la primera prueba.

Qué comprobarán los auditores:

  • ¿Es la ciberseguridad un punto recurrente en el orden del día del consejo?
  • ¿Están los roles y las responsabilidades formalmente asignados a nivel directivo?
  • ¿Existe documentación de la responsabilidad sobre la aceptación de riesgos?

Cómo resolverlo:Conserven las actas, las aprobaciones y las presentaciones.La evidencia es lo que manda; «el consejo fue informado» no significa nada si no está por escrito.

2. El síndrome «política ≠ práctica»

La mayoría de las organizaciones tienen políticas que parecen perfectas, sobre el papel.Los auditores las pasarán por alto directamente para comprobar si los controles están realmente en uso.

Lo que preguntarán:

  • «Muéstrame cómo se implementa esta política.»
  • «¿Quién la revisó por última vez?»
  • «¿Cuándo se comunicó al personal?»

Cómo resolverlo:Control de versiones, registros de distribución y actas de formación.Si nadie sabe que la política existe, es mejor eliminarla.

3. Ausencia de gestión del riesgo de extremo a extremo

Bajo NIS2, la gestión del riesgo no es un acompañamiento; es el plato principal.No basta con decir: «Hemos hecho una evaluación de riesgos.»

Los auditores buscarán:

  • Una metodología formal (preferiblemente alineada con ISO 31000 / 27005).
  • Propietarios de riesgo documentados.
  • Planes de tratamiento con evidencia de seguimiento.

Cómo resolverlo:Realicen revisiones de riesgos trimestrales o incluso mensuales, no anuales.Actualicen cuando cambie el contexto, no solo antes de la auditoría.

4. Integración deficiente de la respuesta a incidentes

El requisito de notificación en 24 horas de NIS2 lo cambia todo.Los auditores evaluarán si su proceso de gestión de incidentes puede realmente cumplir ese plazo.

Qué comprobarán:

  • Rutas de escalada claras y roles nominados.
  • Playbooks probados en simulaciones.
  • Registros de incidentes alineados con las obligaciones de notificación.

Cómo resolverlo:No solo tengan un plan; realicen simulacros.Los auditores detectan en dos minutos si alguna vez lo han probado.

5. Puntos ciegos en proveedores y terceros

Bajo NIS2, sus proveedores son su problema.Los auditores saben que aquí es donde falla la mayoría de las organizaciones.

Qué comprobarán:

  • ¿Existe un proceso de gestión del riesgo de proveedores?
  • ¿Los contratos incluyen cláusulas de ciberseguridad y SLAs?
  • ¿Se monitoriza regularmente el desempeño de los proveedores?

Cómo resolverlo:Construyan un registro de riesgos de terceros liviano.Comiencen por los proveedores críticos; incluso un modelo de puntuación sencillo es mejor que la ignorancia.

6. Ausencia de conciencia del cumplimiento en tiempo real

Muchas empresas siguen tratando el cumplimiento como «reporte anual».Bajo NIS2, los auditores esperarán una conciencia continua de la postura de cumplimiento.

Lo que buscarán:

  • KPIs o paneles que muestren el rendimiento de los controles.
  • Auditorías internas o autoevaluaciones recientes.
  • Un proceso para capturar las lecciones aprendidas.

Cómo resolverlo:Implementen un panel de cumplimiento sencillo, con actualizaciones mensuales y semáforo rojo/ámbar/verde.No se trata de perfección; se trata de visibilidad.

7. Integración incompleta de la continuidad de negocio

La resiliencia cibernética bajo NIS2 no es solo recuperación de TI; es continuidad de negocio.Si su análisis de impacto en el negocio (BIA) vive en otro departamento, eso es una señal de alerta.

Los auditores preguntarán:

  • «¿Cuándo fue su última prueba de continuidad?»
  • «¿Qué servicios críticos cubre su BCP?»
  • «¿Quién validó los tiempos de recuperación?»

Cómo resolverlo:Vinculen sus playbooks de incidentes cibernéticos con los escenarios de su BCP.Los auditores esperarán ver esa alineación, no dos universos separados.

8. Formación que solo existe en PowerPoint

NIS2 exige expresamente concienciación y formación.Los auditores evaluarán la profundidad, no la existencia.

Preguntarán:

  • «¿Cómo adaptan la formación según el rol?»
  • «¿Cuál es su tasa de finalización?»
  • «¿Cuándo fue su última simulación de phishing o ejercicio de mesa?»

Cómo resolverlo:Midan el impacto, no la asistencia.Demuestren mejoras de comportamiento, no solo diapositivas y firmas de asistencia.

9. Caos documental

Los auditores no solo buscan políticas; buscan coherencia.Esperarán un sistema documental estructurado: políticas, procedimientos, directrices y registros, cada uno con propietario claro y trazabilidad.

Cómo resolverlo:Implementen un marco documental sencillo:

  • Política (qué y por qué)
  • Procedimiento (cómo)
  • Registro (evidencia)

Si encontrar un documento requiere más de dos clics, no están preparados.

10. Controles sin métricas

Tener controles no es lo mismo que saber si funcionan.Según el nivel de madurez esperado, los auditores bajo NIS2 querrán ver evidencia de efectividad, no solo de existencia.

Preguntarán:

  • «¿Cómo miden el rendimiento de sus controles de seguridad?»
  • «¿Cuándo fue probado por última vez este control?»

Cómo resolverlo:Vinculen los controles a KPIs o KRIs.Ejemplo: «Parcheo en 14 días, 96% de cumplimiento.»Los números hablan. Las narrativas, no.

Bonus: «Cumplimiento de copiar y pegar»

Los auditores lo detectan al instante.Si su documentación parece generada por ChatGPT o una plantilla ISO genérica, comenzarán a indagar, y a fondo.

Cómo resolverlo:Hagan el marco suyo.Adapten los roles, el apetito de riesgo y las métricas a sus operaciones reales.El cumplimiento es fácil de simular hasta que alguien empieza a preguntar por qué hicieron las cosas de una determinada manera.

Reflexión final

NIS2 no exige perfección; exige pruebas.Si no pueden demostrar que su gobernanza de ciberseguridad es real, repetible y trazable, no son conformes, independientemente de lo impecables que parezcan sus políticas.

Cuando llegue el auditor, ya será demasiado tarde para empezar a alinearse.Las organizaciones más inteligentes lo están haciendo ahora, convirtiendo NIS2 en un motor de resiliencia estructurada a nivel de consejo.

Cómo prepararse

Eso es exactamente lo que cubrimos en el programa NIS2 Lead Implementer de Cyber Academy:

  • Diseño de la estructura de gobernanza.
  • Marcos de riesgo e incidentes alineados con los artículos 21 a 23 de NIS2.
  • Modelos de documentación a prueba de auditorías.

👉 Solicite su presupuesto. Únase a la próxima cohorte.

Porque NIS2 no se trata de superar una auditoría.Se trata de demostrar que su organización funciona realmente como dice que funciona.

¿Quieres recibir la próxima nota de campo en tu bandeja de entrada?

El boletín The GRC Brief. Cinco enlaces y un análisis breve, cada lunes a las 8h CET. Tres minutos de lectura.