Estos son los puntos que cubre este artículo sobre cómo prepararse para una auditoría NIS2:
- Qué activa una inspección NIS2
- Paso 1: Define tu alcance
- Paso 2: Evalúa tu madurez
- Paso 3: Organiza tu documentación
- Paso 4: Simula un incidente
- Paso 5: Asigna responsabilidades
- Paso 6: Auditorías continuas
- Cómo es una inspección NIS2 paso a paso
- Sanciones NIS2: tramos y aplicación
- Diferencias por país y por sector
- Errores habituales
- Cómo puede ayudar PrivaLex
- Preguntas frecuentes
- Siguiente paso
Con la entrada en vigor de NIS2 en toda la UE, las empresas que prestan servicios digitales esenciales o apoyan infraestructuras críticas están bajo presión para demostrar que son seguras y que pueden mantenerse así en el tiempo. Una parte clave de esa responsabilidad es estar preparadas para una auditoría o inspección bajo NIS2. Aunque NIS2 no define un proceso único de auditoría como las certificaciones ISO, las autoridades nacionales (en España, en coordinación con INCIBE y el ecosistema CCN-CERT) tienen competencias para supervisar y auditar a las entidades sujetas.
Esta guía explica cómo prepararse para una auditoría NIS2 en seis pasos: alcance, madurez, documentación, simulacros, responsabilidades y preparación continua. Además, detallamos qué activa una inspección, cómo es el proceso fase por fase, a cuánto ascienden las sanciones y qué cambia por país y por sector. En PrivaLex Partners ayudamos a empresas a prepararse con confianza para NIS2, ya sea su primera revisión o como parte de un enfoque de resiliencia a largo plazo. Si necesitas contexto previo, NIS2 y la ciberseguridad son la base; un sistema de gestión de seguridad (SGSI) o obtener la certificación ISO 27001 pueden alinear muchos requisitos.
A diferencia de una certificación ISO, NIS2 (la Directiva (UE) 2022/2555) no entrega un sello: las autoridades nacionales pueden solicitar evidencias, inspeccionar y exigir medidas correctivas. Saber qué pueden pedir y tener la documentación y los procedimientos listos reduce el estrés y demuestra buena fe ante el regulador. Y algo que muchas empresas pasan por alto: bajo NIS2 los reguladores valoran más la evidencia de que tus controles funcionan en el día a día que la sofisticación de tus políticas en papel.
Qué activa una auditoría o inspección NIS2
A diferencia de los ciclos de auditoría anuales y programados de otros marcos, bajo NIS2 una revisión puede activarse en cualquier momento. Entender qué la desencadena te permite anticipar cuándo es más probable que recibas escrutinio y prepararte en consecuencia, en lugar de esperar un aviso que quizá llegue con pocos días de antelación.
Estos son los detonantes más habituales de una inspección o investigación NIS2:
- Notificación de un incidente (detonante principal): la obligación de notificar incidentes significativos (alerta temprana en 24 horas y notificación en 72 horas) crea un disparador casi automático de revisión. La autoridad examinará si clasificaste bien el incidente, si contuviste el impacto y si documentaste la respuesta mientras gestionabas la crisis.
- Intercambio de información entre autoridades: el ecosistema europeo de CSIRT y el grupo de cooperación comparten inteligencia. Cuando una autoridad detecta un patrón de amenaza o una vulnerabilidad en la cadena de suministro, otras pueden abrir revisiones relacionadas en su jurisdicción.
- Denuncias de terceros o empleados: clientes, proveedores, socios de la cadena de suministro o incluso personal interno pueden reportar medidas de seguridad inadecuadas y desencadenar una revisión formal.
- Cambios regulatorios o sectoriales: una nueva guía nacional, un incidente sonado en tu sector o un cambio en el panorama de amenazas pueden intensificar el escrutinio sobre todas las entidades de un vertical.
- Revisiones programadas basadas en riesgo: algunas autoridades mantienen evaluaciones periódicas para sectores de alto riesgo (energía, salud, finanzas) y para entidades con incumplimientos previos.
La lectura es clara: la preparación para auditorías no es un proyecto puntual, sino una capacidad permanente. Las empresas que mantienen evidencias vivas y accesibles responden con seguridad cuando la autoridad llama; las que dependen de recopilar todo la semana previa proyectan fragilidad, no preparación.
Paso 1: Define tu alcance
Antes de preparar nada, necesitas saber dónde estás. ¿Estás clasificado como entidad esencial o entidad importante según la transposición de NIS2 en tu país? Esas categorías determinan qué requisitos se te aplican y cómo se gestionarán las auditorías.
Qué verificar para definir el alcance de tu auditoría NIS2
Para acotar bien el alcance, verifica y documenta lo siguiente:
- Sector de actividad: si operas en SaaS, infraestructura cloud, finanzas, salud, energía o servicios digitales esenciales, confirma en la transposición nacional si eres entidad esencial o importante.
- Tamaño y volumen de negocio: umbrales de empleados y facturación que aplican en tu país; influyen en el nivel de exigencia y en la probabilidad de ser supervisado.
- Clientes en sectores críticos: si prestas servicios a clientes en sectores críticos (hospitales, entidades financieras, infraestructuras), tu alcance puede ser más amplio aunque tu sector no figure expresamente.
- Sistemas, servicios y equipos incluidos: delimita qué sistemas, servicios y equipos entran en el alcance de la auditoría. Incluir «todo» diluye recursos; excluir sistemas críticos genera riesgo. Documenta el criterio de inclusión para poder explicarlo a la autoridad.
Una vez tengas claridad, define el alcance de tu auditoría por escrito. Si intentas auditar «todo», pierdes foco y recursos.
Paso 2: Evalúa tu nivel de madurez en seguridad
Las autoridades de supervisión quieren ver que gestionas el riesgo de forma estructurada y coherente. Un gap analysis frente a NIS2 te da la foto real: en qué punto estás y qué cerrar antes de una inspección. Sin diagnóstico, no hay mejora creíble ante el regulador.
Qué debe reflejar tu nivel de madurez en seguridad
Tu nivel de madurez debe verse reflejado al menos en:
- Registro de riesgos activo: un registro de riesgos actualizado que cubra amenazas cibernéticas, impacto en sistemas y datos, y medidas mitigadoras. No basta con un documento estático; debe revisarse con periodicidad.
- Responsabilidades asignadas: quién es responsable de cumplimiento, quién de gestión de incidentes y quién del contacto con la autoridad. Las funciones deben estar documentadas y conocidas por el equipo.
- Políticas alineadas con la operativa: políticas de ciberseguridad que reflejen cómo trabajas realmente (accesos, formación, respuesta ante incidentes, terceros). Si la política dice una cosa y la práctica otra, la inspección lo detecta.
- Resultados del gap analysis: un informe de brechas (o equivalente) que muestre dónde cumples y dónde no, con plan de acción y prioridades. Demuestra que has hecho el trabajo de autoevaluación y que tienes un camino de mejora.
El gap analysis debe mapearse contra las 10 áreas mínimas del artículo 21 de la Directiva NIS2: análisis de riesgos y políticas; gestión de incidentes; continuidad y recuperación; seguridad de la cadena de suministro; adquisición, desarrollo y mantenimiento seguros; políticas de evaluación de eficacia; ciberhigiene y formación; criptografía; seguridad del personal; controles de acceso y gestión de activos. Un informe de brechas estructurado por estas áreas facilita la conversación con la autoridad y evita lagunas silenciosas.
Sitúa tu madurez: de reactivo a preparación permanente
Más allá de las brechas concretas, conviene ubicarte en un modelo de madurez para saber cuánto esfuerzo necesitas antes de una inspección:
- Reactivo: esperas a que te avisen. Políticas básicas, evidencias dispersas y procesos manuales. Necesitas semanas de preparación ante cualquier solicitud.
- Receptivo: controles implantados, pero con lagunas de documentación y formatos inconsistentes. Necesitas días para reunir evidencias.
- Proactivo: cultura de mejora continua, evidencias estandarizadas y revisión periódica. Respondes en horas.
- Optimizado: gestión del riesgo integrada en la operación, evidencias siempre disponibles y trazables. Estás listo en cualquier momento.
El objetivo no es alcanzar la perfección, sino subir un escalón de forma demostrable y poder explicar a la autoridad dónde estás y hacia dónde vas.
Paso 3: Organiza tu documentación
Las inspecciones bajo NIS2 tienen tanto de narrativa como de tecnología. Las autoridades esperan una historia clara y documentada de cómo gestionas la ciberseguridad en toda la organización. Recopila y organiza todo antes de que llamen: políticas, procedimientos y evidencias que demuestren que se aplican.
Documentación que suelen pedir en una inspección NIS2
Suele solicitarse o valorarse documentación en estos ámbitos:
- Gestión de incidentes: protocolos de detección, evaluación y escalado; roles y plazos de notificación (alerta en 24 horas y notificación en 72 horas a la autoridad); actas de incidentes o simulacros y lecciones aprendidas.
- Control de accesos y privilegios: políticas de acceso, revisión de permisos, uso de autenticación multifactor en sistemas críticos y registros de acceso cuando sea relevante.
- Formación en ciberseguridad: plan de formación, contenidos por rol, asistencia y evaluación (listas, certificados o equivalentes). La directiva exige formación documentada y periódica.
- Riesgo con terceros: evaluación de proveedores TIC, contratos con cláusulas de seguridad y seguimiento de su cumplimiento. Incluye registro de proveedores críticos y criterios de selección.
- Tipos de evidencias: además de políticas y procedimientos, prepara actas (reuniones, simulacros, revisiones), registros (incidentes, accesos, formación), logs cuando apliquen y versiones vigentes de documentos. Una auditoría GDPR puede inspirar el nivel de documentación que se espera en otros marcos.
Organízalas para poder acceder con rapidez. Si una autoridad pregunta cómo gestionas el riesgo con proveedores, es mejor mostrar un ejemplo real que improvisar.
Evidencias NIS2: gobernanza, personas y técnico
Más allá de las políticas, las inspecciones (incluidas en España con INCIBE y el CCN-CERT como referentes del ecosistema nacional) suelen pedir prueba operativa. Organiza tu paquete en tres capas:
- Gobernanza: historiales de versiones, actas de aprobación de la dirección, revisiones periódicas de políticas, planes de respuesta probados (tabletop + lecciones aprendidas) y evaluaciones de proveedores con cláusulas de seguridad en contratos reales.
- Personas: registros de formación granulares (quién, qué módulo, cuándo, puntuación), formación separada del consejo y la alta dirección, KPIs de concienciación (tasas de reporte de phishing, tiempo medio de reporte) y segmentación por roles de alto riesgo. Una guía para demostrar formación en auditoría ayuda a estructurar estas evidencias.
- Técnico: logs de revisiones IAM (altas, bajas en 24h, aprobaciones), alertas SIEM/EDR investigadas con trazabilidad, dashboards de seguridad presentados a dirección y evidencias de continuidad probadas. No basta con volcar logs en bruto: muestra el informe o KPI que la dirección usa para decidir.
Trazabilidad: conecta cada evento con su evidencia
Lo que distingue a una documentación que aprueba de una que genera observaciones es la trazabilidad: poder demostrar, para cada riesgo o incidente, qué ocurrió, qué control se activó y qué evidencia lo respalda. Una forma sencilla de demostrarlo es mantener una matriz de trazabilidad que enlace cada desencadenante con su acción y su prueba:
| Desencadenante | Acción / control | Evidencia registrada |
|---|---|---|
| Falla un test de phishing | Refuerzo de formación al grupo afectado | Registro del incidente, asistencia a formación, KPI de reporte |
| Caída de un proveedor crítico | Revisión del riesgo del proveedor y plan B | Acta de evento, registro de riesgos del proveedor, seguimiento de acciones |
| Baja de un empleado con accesos | Revocación de permisos en 24 horas | Checklist de salida, log de IAM, confirmación de cierre |
La clave es que ningún evento quede huérfano: cada uno debe enlazar con un seguimiento o un cierre. Esa cadena viva es la prueba más sólida de que tu sistema funciona en el día a día y no solo sobre el papel.
Paso 4: Simula un incidente
Una de las partes más revisadas en evaluaciones NIS2 es tu capacidad de respuesta ante incidentes: cómo los detectas, gestionas y notificas. Como NIS2 exige una alerta temprana en 24 horas y la notificación del incidente en 72 horas, necesitas un protocolo interno claro y probado. Un tabletop bien preparado y documentado es una prueba sólida ante la autoridad.
Cómo preparar y documentar un ejercicio de simulación (tabletop)
Para que el ejercicio sea útil y demostrable, incluye al menos lo siguiente:
- Escenario de brecha: define un escenario realista (por ejemplo, filtración de datos, ransomware, caída de servicio) que obligue a activar detección, contención y notificación.
- Pasos con el equipo: recorre paso a paso con el equipo quién hace qué: detección, evaluación de gravedad, decisión de notificar, redacción y envío a la autoridad. Cronometra si es posible para ver si cumples los plazos de 24 y 72 horas.
- Documentación generada: acta del ejercicio con fecha, participantes, escenario, decisiones tomadas y gaps detectados (contactos desactualizados, criterios poco claros, etc.). Esta acta es una evidencia que puedes mostrar en una inspección.
- Roles y plazos de notificación: verifica que los roles estén claros y que el flujo de notificación (quién redacta, quién aprueba, cómo se envía) esté definido y ensayado. Documenta los plazos internos para no consumir las 24 horas en debates.
Estas prácticas identifican debilidades y demuestran a las autoridades que te tomas la preparación en serio. Improvisar en un incidente real aumenta el riesgo regulatorio y reputacional.
Complementa el tabletop con pruebas técnicas cuando el riesgo lo exija: revisión de arquitectura, análisis de vulnerabilidades en activos críticos o ejercicios que validen controles reales, no solo el papel. La documentación sin verificación técnica suele generar observaciones en inspecciones exigentes.
Paso 5: Asigna claramente las responsabilidades
A las autoridades les gusta ver responsabilidad clara. NIS2 exige que la alta dirección esté involucrada en la gestión de la ciberseguridad y que las funciones estén asignadas de forma trazable. Sin un dueño del cumplimiento, la coordinación con la autoridad y la coherencia interna se resienten.
Requisitos de NIS2 en materia de responsabilidad
La directiva y las transposiciones nacionales suelen exigir o valorar lo siguiente:
- Implicación de la alta dirección: la dirección debe estar informada del riesgo cibernético y de las medidas adoptadas, y debe apoyar la asignación de recursos y la prioridad del cumplimiento. No basta con delegar sin supervisión. NIS2 prevé además responsabilidad de los órganos de dirección, lo que eleva el cumplimiento a una cuestión de gobierno corporativo.
- Persona identificable: una persona (o rol) identificable que lidere el cumplimiento NIS2, la gestión del riesgo y la relación con la autoridad. Puede ser CISO, responsable de cumplimiento, responsable de IT o un asesor externo como PrivaLex.
- Coordinación del cumplimiento: esa persona debe coordinar políticas, procedimientos, formación y respuesta ante incidentes, y actuar como punto de contacto con la autoridad competente cuando lo requieran.
- Trazabilidad: las responsabilidades deben estar documentadas (organigrama, descripción de funciones, actas de designación) para que una inspección pueda comprobar quién hace qué. Eso transmite madurez organizativa y facilita la interlocución con los reguladores.
Paso 6: Prepárate para auditorías continuas, no solo una
NIS2 no es un ejercicio único. Es un marco en evolución; las autoridades pueden realizar nuevas revisiones o solicitar evidencias en cualquier momento. Tu preparación debe ser continua, no solo de cara a una fecha concreta.
Qué incluir en la preparación para auditorías continuas
Incorpora al menos estos elementos en tu enfoque de preparación continua:
- Monitorización continua: supervisar que los controles (accesos, respuesta ante incidentes, formación, terceros) siguen activos y documentados. No basta con haberlos implantado una vez.
- Revisiones internas periódicas: revisiones (internas o con apoyo externo) periódicas del cumplimiento NIS2: registro de riesgos, políticas, procedimientos y evidencias. Ayudan a detectar desviaciones antes de que lo haga la autoridad.
- Actualización de documentación: mantener políticas y procedimientos al día cuando cambien sistemas, equipos o riesgos. Las versiones obsoletas generan dudas en una inspección.
- Evidencias de mejora: actuar sobre hallazgos de auditorías o incidentes (no conformidades, lecciones aprendidas) y documentar las mejoras. Demuestra que el sistema evoluciona y que tomas en serio la mejora continua.
Las empresas que integran NIS2 en su ritmo operativo, y no solo en el calendario de auditorías, son las que mejor se adaptan y se mantienen al día. La preparación no es solo técnica: es estratégica, y conecta directamente con mantener el cumplimiento NIS2 en el tiempo.
Cómo es una inspección NIS2 paso a paso
NIS2 no fija un procedimiento de auditoría único como el de una certificación, pero sí define en su artículo 32 (para entidades esenciales) y artículo 33 (para entidades importantes) las facultades de supervisión que pueden ejercer las autoridades competentes. Conocerlas te ayuda a anticipar qué te pueden pedir:
- Inspecciones in situ y supervisión a distancia, incluidos controles aleatorios.
- Auditorías de seguridad periódicas y específicas, realizadas por la autoridad o por un auditor independiente.
- Solicitudes de información para evaluar las medidas de gestión de riesgos, y solicitudes de acceso a datos, documentos e información necesaria para la supervisión.
- Solicitudes de evidencias de aplicación de las políticas de ciberseguridad (por ejemplo, resultados de auditorías de seguridad).
Para las entidades importantes, la supervisión es principalmente a posteriori: se activa cuando hay indicios o pruebas de un posible incumplimiento. Para las entidades esenciales, la directiva contempla un régimen de supervisión más exigente, también de carácter proactivo.
En la práctica, una revisión suele combinar una fase documental (políticas, procedimientos y evidencias) con una fase técnica o in situ (entrevistas, pruebas y demostración de que los controles funcionan), y termina con la determinación de la autoridad: cumplimiento, instrucciones vinculantes, medidas correctivas o, en su caso, sanción. Las organizaciones que pueden aportar de inmediato registros, cronologías de incidentes y evidencias de remediación facilitan la interlocución y acortan el tiempo y el coste de la inspección.
Sanciones NIS2: tramos y cómo se aplican en la práctica
Saber a cuánto pueden ascender las sanciones ayuda a dimensionar el esfuerzo de preparación. NIS2 establece un régimen sancionador en dos grandes tramos según la categoría de la entidad:
| Tipo de entidad | Sanción máxima de referencia |
|---|---|
| Entidades esenciales | Hasta 10 millones de euros o el 2 % de la facturación anual global (la cifra que sea mayor) |
| Entidades importantes | Hasta 7 millones de euros o el 1,4 % de la facturación anual global (la cifra que sea mayor) |
Además de las multas, la directiva habilita otras medidas de ejecución: advertencias, instrucciones vinculantes, órdenes de subsanar las deficiencias y de aplicar las medidas de gestión de riesgos. Para las entidades esenciales, en los casos más graves la directiva prevé incluso la posibilidad de suspender temporalmente una autorización o certificación y de prohibir temporalmente el ejercicio de funciones de dirección a quien tenga responsabilidades de gestión.
Más allá del importe, el impacto reputacional y operativo puede pesar tanto o más que la multa: perder la confianza de clientes en sectores críticos o asumir medidas correctivas obligatorias tiene un coste real. Por eso la preparación se entiende mejor como inversión que como gasto.
Diferencias por país y por sector en las auditorías NIS2
NIS2 es una directiva, no un reglamento de aplicación directa. Eso significa que cada Estado miembro la transpone a su ordenamiento, designa autoridades competentes y puede añadir matices. En España, conviene seguir de cerca la transposición de NIS2 en España para identificar la autoridad competente, los plazos y las obligaciones concretas que te aplican.
Qué cambia según el país
- Modelos de supervisión distintos: algunas autoridades programan evaluaciones periódicas; otras actúan sobre todo tras incidentes. Si operas en varios países de la UE, lo prudente es alinearte con el enfoque más estricto y mantener prácticas coherentes en todos los mercados.
- Documentación en el idioma local: algunos reguladores esperan registros y políticas mapeados a la terminología y el idioma locales.
- Plazos y formatos de notificación: el esquema general (24 h / 72 h) es común, pero pueden existir matices nacionales y sectoriales en formularios y canales.
Qué cambia según el sector
Los sectores críticos afrontan exigencias adicionales y suelen recibir más escrutinio:
- Energía: la continuidad y la resiliencia operativa son prioritarias.
- Salud: protección de los servicios esenciales sin frenar la operativa asistencial.
- Cadena de suministro y logística: la seguridad de proveedores y de la cadena de suministro es uno de los focos de auditoría más recurrentes.
La conclusión: una brecha en una jurisdicción o en un proveedor puede tener consecuencias de auditoría en toda tu operación. Mapear país y sector desde el principio evita sorpresas.
5 Errores que te pueden frenar al prepararte para una auditoría NIS2
Evitar estos errores te ahorra sanciones, medidas correctivas y reputación ante el regulador.
1. No tener la documentación lista
Si políticas, procedimientos y evidencias no están organizados y actualizados, la inspección puede detectar gaps que podías haber cerrado. Las autoridades pueden solicitar ejemplos concretos en el momento (por ejemplo, un procedimiento de notificación o un registro de formación). Tener todo localizable y vigente es la base de una buena preparación.
2. No simular incidentes
Sin un tabletop o ejercicio de respuesta, no sabes si tu protocolo de 24 y 72 horas funciona ni si el equipo conoce sus roles. Las autoridades valoran que hayas ensayado y documentado la respuesta. Un acta de simulacro es una evidencia sólida de madurez.
3. Alcance indefinido
Intentar auditar «todo» o no saber si eres entidad esencial o importante genera confusión y desperdicio de recursos. Define el alcance antes de preparar documentación y evidencias, y documéntalo para poder explicarlo a la autoridad.
4. No asignar un responsable claro
NIS2 exige responsabilidad trazable y supervisión a nivel de dirección. Sin un dueño del cumplimiento, la coordinación con autoridades y la coherencia interna se resienten. Las inspecciones suelen preguntar explícitamente quién es el responsable.
5. Olvidar la cadena de suministro
Muchos incidentes graves se originan fuera de tu organización: un proveedor sin evaluar, un contrato sin cláusulas de seguridad o un contacto desactualizado. Si tu registro de proveedores es una lista estática que solo actualizas antes de la inspección, será una de las primeras debilidades que detecte la autoridad. Mantén la evaluación de proveedores viva, con revisiones programadas y acciones registradas.
Cómo puede ayudarte PrivaLex a prepararte para una auditoría NIS2
En PrivaLex Partners ayudamos a las empresas a prepararse con confianza para auditorías e inspecciones NIS2, ya sea su primera revisión o como parte de un enfoque de resiliencia a largo plazo.
Nuestro soporte incluye:
- Análisis de brechas frente a los requisitos de la directiva NIS2, estructurado por las áreas del artículo 21 y alineado con tu transposición nacional.
- Mapeo de riesgos y priorización de remediación antes de que la autoridad solicite evidencias.
- Diseño e implantación de políticas y procedimientos adaptados a tu operativa real, no plantillas genéricas.
- Simulacros (tabletops) de incidentes con actas, roles, plazos de notificación 24h/72h y lecciones aprendidas documentadas.
- Preparación de documentación y evidencias (gobernanza, formación, logs, cadena de suministro) para responder con claridad cuando la autoridad llame.
- Definir el alcance: comprobar si eres entidad esencial o importante, qué sistemas y servicios incluir y documentar el criterio para explicarlo en inspección.
- Evaluar tu madurez con gap analysis, registro de riesgos activo y plan de acción con prioridades.
- Organizar la documentación que suelen pedir las autoridades (incidentes, accesos, formación, terceros) en un paquete accesible y trazable.
- Asignar responsabilidades de forma trazable: implicación de dirección, persona de contacto con la autoridad y funciones documentadas.
- Acompañamiento en preparación continua para no depender de un sprint previo a la inspección.
- Experiencia en cumplimiento normativo en la UE, NIS2, certificación ISO 27001 y ciberseguridad: te guiamos para que sepas cómo prepararse para una auditoría NIS2 sin sorpresas.
Agenda una sesión estratégica con PrivaLex y prepara tu organización para una inspección NIS2 con tranquilidad.
Preguntas frecuentes (FAQs)
En seis pasos: (1) define tu alcance verificando sector, tamaño, volumen de negocio, clientes en sectores críticos y sistemas incluidos; (2) evalúa tu madurez con un gap analysis (registro de riesgos activo, responsabilidades, políticas alineadas con la operativa); (3) organiza la documentación que suelen pedir (incidentes, accesos, formación, terceros, evidencias y trazabilidad); (4) simula un incidente (tabletop) con escenario, roles y plazos de 24 y 72 horas; (5) asigna responsabilidades claras con implicación de la dirección; (6) prepárate para auditorías continuas con monitorización, revisiones internas y evidencias de mejora.
Los detonantes más habituales son: la notificación de un incidente significativo (alerta en 24 h y notificación en 72 h), el intercambio de información entre autoridades y CSIRT, las denuncias de terceros o empleados, los cambios regulatorios o sectoriales y las revisiones programadas basadas en riesgo para sectores críticos o entidades con incumplimientos previos. La mayoría de revisiones no son programadas, sino que se disparan por un evento, así que la preparación debe ser permanente.
No. NIS2 no define un proceso único de certificación como ISO 27001. Las autoridades nacionales tienen competencias para supervisar y auditar a las entidades sujetas; pueden solicitar evidencias, realizar inspecciones y exigir medidas correctivas. Estar preparado para esas revisiones es clave para demostrar cumplimiento.
La ISO 27001 es una base sólida y cubre buena parte de los requisitos del artículo 21, pero por sí sola no garantiza aprobar una revisión NIS2. El reto es operacionalizar: demostrar con evidencias vivas y trazables que los controles funcionan en el día a día, no solo que existen sobre el papel. Usa tu SGSI como motor para organizar evidencias y complétalo con simulacros, registros de formación por rol y gestión activa de la cadena de suministro.
Documentación sobre gestión de incidentes (protocolos, roles, plazos de notificación); control de accesos y privilegios; formación del personal en ciberseguridad; evaluación y gestión del riesgo con terceros; registro de riesgos actualizado; y evidencias de que las políticas se aplican (actas, registros, logs), con trazabilidad entre cada evento y su prueba. Organízala para poder acceder con rapidez.
Para entidades esenciales, hasta 10 millones de euros o el 2 % de la facturación anual global (la cifra mayor). Para entidades importantes, hasta 7 millones de euros o el 1,4 % de la facturación anual global. Además de las multas, la directiva habilita advertencias, instrucciones vinculantes, órdenes de subsanar y, para entidades esenciales en casos graves, la suspensión temporal de autorizaciones o la prohibición temporal de funciones de dirección.
Las autoridades pueden solicitar evidencias (políticas, procedimientos, actas de simulacros, registros de formación), realizar visitas in situ o por escrito y, en caso de incumplimiento, imponer sanciones y exigir medidas correctivas. Prepararte con antelación, alcance definido, gap analysis, documentación organizada, simulacros documentados y responsable asignado, reduce el riesgo y demuestra buena fe y madurez ante el regulador.
NIS2 no fija una frecuencia única. Las autoridades pueden realizar revisiones o solicitar evidencias cuando lo consideren necesario, y muchas se activan tras un incidente más que por calendario. Los sectores de alto riesgo y las entidades con incumplimientos previos reciben más escrutinio. Por eso la preparación debe ser continua: monitorización, revisiones internas periódicas y documentación actualizada.
Sí. PrivaLex ofrece análisis de brechas NIS2, mapeo de riesgos, diseño de políticas y procedimientos, simulacros de incidentes y preparación de documentación y evidencias para inspecciones. Te acompañamos para que sepas cómo prepararte para una auditoría NIS2 y puedas responder con claridad cuando la autoridad lo requiera.
Siguiente paso
Saber cómo prepararse para una auditoría NIS2 es el primer paso; el siguiente es definir tu alcance y cerrar las brechas antes de que llamen a la puerta. Agenda una sesión estratégica con PrivaLex y convirtamos la preparación en ventaja.
