Donde la pequeña y mediana empresa todavía está técnicamente rezagada en NIS2

6 min. de lectura

La transposición del NIS2 en el derecho alemán está en camino. La supervisión está preparando las primeras inspecciones. Muchos pequeños y medianos emprendedores han documentado las obligaciones organizativas: roles nombrados, vías de notificación descritas, directivas aprobadas. Las medidas técnicas de acuerdo con el artículo 21 de la directiva, por otro lado, son a menudo solo en papel. Justamente allí comienza la inspección. Y allí es donde el pequeño y mediano emprendedor tiene las mayores brechas.

¿Qué se refiere con las medidas técnicas mínimas del NIS2? El artículo 21 de la directiva NIS2 obliga a las entidades afectadas a implementar medidas concretas de gestión de riesgos. Estas incluyen autenticación multifactor, restauración de datos y gestión de emergencias, gestión de vulnerabilidades, control de acceso y cifrado. La transposición alemán en el BSIG transfiere estas exigencias al derecho nacional. A diferencia de las obligaciones organizativas, estas son medibles técnicamente y revisables en la auditoría.

Relacionado:NIS2-Audit: Donde la lista de proveedores se rompe en dos horas  /  MFA adaptable como herramienta de confianza cero en el pequeño y mediano emprendedor

Qué NIS2 exige técnicamente

NIS2 no especifica productos. La directiva menciona objetivos de protección y deja el camino abierto al empleado. Esto parece proporcionar flexibilidad, pero cambia la responsabilidad: quien no puede demostrar una medida, no la ha implementado según la supervisión.

El círculo de las entidades afectadas ha aumentado significativamente con la transposición alemán. Estimaciones de la BSI y el BMI suelen mencionar cifras cercanas a los 50.000 lugares obligados, muchos de ellos en el pequeño y mediano emprendedor tradicional. Una parte significativa de estas empresas no tenía una supervisión de seguridad formal antes de NIS2.

Las obligaciones organizativas se pueden cumplir con una directiva y un decreto. Las exigencias técnicas requieren sistemas operativos. Esto es la razón por la cual las brechas suelen estar en la parte técnica.

Cinco brechas que se destacan en el audit

Los siguientes cinco puntos se presentan con frecuencia como hallazgos en las evaluaciones de NIS2. Ninguno de ellos es técnicamente complejo. Todos fracasan en la práctica por falta de priorización, no por complejidad.

Autenticación multifactor parcialmente implementada

MFA está activo en la mayoría de las empresas para el sistema de identidad central. Las brechas se encuentran en los bordes: accesos de mantenimiento a distancia, cuentas de administrador de servicios de terceros, y antiguos enrutadores VPN. Un audit no verifica la existencia de MFA, sino su cobertura completa. Un solo acceso de administrador no protegido es un hallazgo. Quien planea pasar a métodos resistentes a phishing, encuentra la lógica detrás en el artículo MFA adaptable como palo de leña de Zero Trust.

Backups existentes, pero restauración no probada

Aproximadamente cada empresa protege sus datos. Mucho menos empresas han probado la restauración bajo condiciones reales. NIS2 pregunta sobre la gestión de emergencias, no sobre la existencia de backups. Un backup cuyo tiempo de restauración es desconocido no es un prueba satisfactoria en el audit. Una prueba de restauración documentada al año cierra esta brecha.

Gestión de vulnerabilidades sin un proceso establecido

Los parches se instalan, pero rara vez según un procedimiento documentado con plazos. NIS2 requiere un manejo transparente de las vulnerabilidades: recopilación, evaluación, fijación de plazos, seguimiento. Un solo estado de parches no es un proceso. La supervisión busca ver cómo se maneja una vulnerabilidad conocida desde su descubrimiento hasta su corrección.

Sin registro central, sin detección

Los registros se generan en muchos sistemas, pero rara vez se recopilan en un solo lugar. Sin un punto de registro central, no se puede detectar ni reconstruir un incidente. NIS2 requiere la capacidad de detectar y informar sobre incidentes de seguridad. Quien no tiene una capa de detección no puede cumplir efectivamente con los plazos de notificación legales. Rutas de código abierto se indican en el artículo Detection Engineering sin bloqueo de proveedor.

Inventario de activos incompleto

Las medidas de protección solo se aplican a sistemas conocidos. Muchos pequeños y medianos empresarios no tienen un inventario completo de sus servidores, servicios y cuentas en la nube. Lo que no esté en el inventario no se puede parchar, supervisar ni proteger. Un audit comienza regularmente preguntando por la lista de activos. Un inventario incompleto conduce a hallazgos en todos los otros áreas.

Qué se puede implementar antes del audit

Las cinco brechas no se pueden cerrar simultáneamente. Una priorización por riesgo y esfuerzo es más efectiva que un desarrollo paralelo. Primero, la autenticación. Extender MFA de manera completa a todos los accesos de administrador y de mantenimiento a distancia reduce inmediatamente el riesgo de robo de identidad y se puede implementar en semanas. Paralelo, un test de restauración documentado: costo un día y proporciona el evidencia más sólido en el manejo de emergencias.

Después, el inventario de activos. Es la base para la gestión de vulnerabilidades y la detección, por eso debe preceder a estos dos puntos. Solo con un inventario completo se justifica el desarrollo de un proceso establecido de administración de parches y la implementación de un punto de registro central. Esta secuencia no desperdicia recursos en sistemas que aún no están registrados.

Es importante documentar cada medida. Un audit evalúa evidencias, no intenciones. Quien implementa MFA, registra el test de restauración y mantiene el inventario, cierra los hallazgos más críticos en pocas semanas, incluso antes de la primera evaluación.

Preguntas frecuentes

¿Cuál es la brecha técnica más común de NIS2 en el sector medio?

La autenticación multifactor parcialmente implementada. MFA está activo en la mayoría de las empresas para el sistema de identidad central, pero falta en accesos de mantenimiento a distancia, cuentas de administrador de servicios de terceros y antiguos enrutadores VPN. Un audit verifica la cobertura completa de MFA, un solo acceso de administrador no protegido es already un hallazgo.

¿Es suficiente un backup existente para cumplir con la NIS2?

No. NIS2 requiere un manejo de emergencias funcional, no solo la existencia de un backup. Un backup cuyo proceso de restauración nunca se ha probado en condiciones reales no es un evidencia satisfactoria en el audit. Un test de restauración documentado al año cierra esta brecha.

¿Qué medida debe ser implementada primero?

La autenticación multifactor completa en todas las conexiones de administradores y accesos remotos. Esto reduce inmediatamente el riesgo de robo de cuenta y puede ser implementada en pocas semanas. Paralela a esto, se recomienda realizar un test de recuperación documentado, que con un bajo esfuerzo proporciona el mayor evidencia en la gestión de crisis.

¿Por qué el inventario de activos es tan importante para un audit NIS2?

Las medidas de protección solo se aplican a los sistemas conocidos. Sin un registro completo de servidores, servicios y cuentas en la nube, se dejan componentes sin actualizar y sin supervisar. Un audit comienza regularmente con la lista de activos. Un inventario incompleto conlleva hallazgos secundarios en la gestión de vulnerabilidades y detección.

¿Qué se considera prueba de una medida en un audit?

Efectividad probada. Una directiva o una decisión no basta. La supervisión espera registros de actividades, protocolos de prueba, evidencia de configuración o documentación de procesos que demuestren que una medida no solo se ha tomado, sino que se está operando de manera efectiva.

Fuente de la imagen del título: Pexels / Andre (px:28321968)

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow