{"id":115926,"date":"2024-01-22T11:17:35","date_gmt":"2024-01-22T11:17:35","guid":{"rendered":"https:\/\/advisera.com\/articles\/nis-2-mandatory-documents\/"},"modified":"2024-09-19T17:53:48","modified_gmt":"2024-09-19T17:53:48","slug":"documentos-obligatorios-nis-2","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/es\/articulos\/documentos-obligatorios-nis-2\/","title":{"rendered":"Lista de documentos exigidos por la NIS 2"},"content":{"rendered":"<p>Si su compa\u00f1\u00eda est\u00e1 obligada a cumplir con la <a href=\"https:\/\/advisera.com\/es\/articulos\/que-es-nis2\/\" target=\"_blank\" rel=\"noopener\">Directiva NIS 2<\/a> (SRI 2), tendr\u00e1 que redactar muchos documentos nuevos para cumplir con todos los requisitos de ciberseguridad y notificaci\u00f3n exigidos. Este art\u00edculo enumera todos los documentos que las compa\u00f1\u00edas deben redactar seg\u00fan el Cap\u00edtulo IV de la NIS2, llamado \u201cMedidas para la gesti\u00f3n de riesgos de ciberseguridad y obligaciones de notificaci\u00f3n\u201d. Nos centramos \u00fanicamente en este cap\u00edtulo porque es el \u00fanico que determina lo que las entidades esenciales e importantes deben hacer para cumplir con esta Directiva.<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--title\">En su Cap\u00edtulo IV \u201cMedidas para la gesti\u00f3n de riesgos de ciberseguridad y obligaciones de notificaci\u00f3n\u201d, la NIS 2 exige que se redacten unos 30 documentos, incluyendo:<\/div>\n<div class=\"post-featured--content\">\n<ul>\n<li>Metodolog\u00eda de Evaluaci\u00f3n de Riesgos<\/li>\n<li>Plan de Tratamiento de Riesgos<\/li>\n<li>Plan de Formaci\u00f3n y Concienciaci\u00f3n<\/li>\n<li>Procedimiento de gesti\u00f3n de incidentes<\/li>\n<li>Pol\u00edtica de Seguridad de TIC<\/li>\n<li>etc.<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script>\n<h2>Lista de documentos y notificaciones que se exigen<\/h2>\n<p>La siguiente tabla muestra las exigencias de la NIS2, los art\u00edculos relevantes de su Cap\u00edtulo IV y las buenas pr\u00e1cticas para documentar el cumplimiento de las obligaciones.<\/p>\n<table class=\"table\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"vertical-align: middle;width: 35%;text-align: left\"><strong>Qu\u00e9 debemos documentar<\/strong><\/td>\n<td style=\"vertical-align: middle;width: 30%;text-align: left\"><strong>Art\u00edculo de la NIS 2<\/strong><\/td>\n<td style=\"vertical-align: middle;width: 30%;text-align: left\"><strong>Se suele documentar mediante<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"vertical-align: middle\">Los \u00f3rganos de gesti\u00f3n deben aprobar las medidas de gesti\u00f3n de riesgos de ciberseguridad<\/td>\n<td style=\"vertical-align: middle\"><a href=\"https:\/\/advisera.com\/es\/nis2\/gobernanza\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 20, p\u00e1rrafo 1<\/a><\/td>\n<td style=\"vertical-align: middle\">Plan de Tratamiento de Riesgos<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Los \u00f3rganos de gesti\u00f3n deben supervisar la implementaci\u00f3n de medidas de gesti\u00f3n de riesgos de ciberseguridad<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 20, p\u00e1rrafo 1<\/td>\n<td style=\"vertical-align: middle\">Informe de Medici\u00f3n + Informe de Auditor\u00eda Interna + Acta de Revisi\u00f3n de la Gesti\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Los miembros de los \u00f3rganos de gesti\u00f3n est\u00e1n obligados a seguir la formaci\u00f3n y deben ofrecer una formaci\u00f3n similar a sus empleados peri\u00f3dicamente<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 20, p\u00e1rrafo 2<\/td>\n<td style=\"vertical-align: middle\">Plan de Formaci\u00f3n y Concienciaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Las entidades deben tomar las medidas t\u00e9cnicas, operativas y de organizaci\u00f3n adecuadas y proporcionadas para gestionar los riesgos<\/td>\n<td style=\"vertical-align: middle\"><a href=\"https:\/\/advisera.com\/es\/nis2\/medidas-para-la-gestion-de-riesgos-de-ciberseguridad\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 21, p\u00e1rrafo 1<\/a><\/td>\n<td style=\"vertical-align: middle\">Tabla de Tratamiento de Riesgos + Plan de Tratamiento de Riesgos + varias pol\u00edticas y procedimientos mencionados a continuaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Al evaluar la proporcionalidad de las medidas, se tendr\u00e1 debidamente en cuenta el grado de exposici\u00f3n de la entidad a los riesgos, el tama\u00f1o de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluyendo su repercusi\u00f3n social y econ\u00f3mica<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 1<\/td>\n<td style=\"vertical-align: middle\">Metodolog\u00eda de Evaluaci\u00f3n de Riesgos + Tabla de Evaluaci\u00f3n de Riesgos<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Pol\u00edtica de an\u00e1lisis de riesgos<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto a<\/td>\n<td style=\"vertical-align: middle\">Metodolog\u00eda de Evaluaci\u00f3n de Riesgos<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Pol\u00edtica de seguridad de los sistemas de informaci\u00f3n<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto a<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Seguridad de los Sistemas de Informaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Gesti\u00f3n de incidentes<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto b<\/td>\n<td style=\"vertical-align: middle\">Procedimiento de Gesti\u00f3n de Incidentes + Registro de Incidentes<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">\u00c9nfasis en la resiliencia<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto c<\/td>\n<td style=\"vertical-align: middle\">Plan de Continuidad de las Actividades<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Gesti\u00f3n de copias de seguridad<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto c<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Copias de Seguridad<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Recuperaci\u00f3n en caso de cat\u00e1strofe<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto c<\/td>\n<td style=\"vertical-align: middle\">Plan de Recuperaci\u00f3n en caso de Cat\u00e1strofe<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Gesti\u00f3n de crisis<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto c<\/td>\n<td style=\"vertical-align: middle\">Plan de Gesti\u00f3n de Crisis<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto d<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Seguridad de los Proveedores + Cl\u00e1usulas de Seguridad para Proveedores y Socios + Declaraci\u00f3n de Privacidad<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La seguridad en la adquisici\u00f3n, el desarrollo y el mantenimiento de sistemas de redes y de informaci\u00f3n<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto e<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Desarrollo Seguro + Especificaciones sobre Requisitos del Sistema de Informaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Las pol\u00edticas y los procedimientos para evaluar la eficacia de las medidas para la gesti\u00f3n de riesgos de ciberseguridad<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto f<\/td>\n<td style=\"vertical-align: middle\">Metodolog\u00eda de Medici\u00f3n + Informe de Medici\u00f3n + Procedimiento de Auditor\u00eda Interna + Lista de Verificaci\u00f3n de la Auditor\u00eda Interna + Informe de Auditor\u00eda Interna + Procedimiento de Revisi\u00f3n de la Gesti\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Las pr\u00e1cticas b\u00e1sicas de ciberhigiene<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto g<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Seguridad de TIC<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La formaci\u00f3n en ciberseguridad<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto g<\/td>\n<td style=\"vertical-align: middle\">Plan de Formaci\u00f3n y Concienciaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Las pol\u00edticas y procedimientos relativos a la utilizaci\u00f3n de criptograf\u00eda y cifrado<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto h<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica sobre el Uso del Cifrado<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La seguridad de los Recursos Humanos<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto i<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Seguridad para Recursos Humanos<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Las pol\u00edticas de control de acceso<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto i<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Control de Acceso<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La gesti\u00f3n de activos<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto i<\/td>\n<td style=\"vertical-align: middle\">Procedimiento de Gesti\u00f3n de Activos + Inventario de Activos<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">El uso de soluciones de autenticaci\u00f3n multifactorial o de autenticaci\u00f3n continua<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto j<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de autenticaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La seguridad de las comunicaciones de voz, v\u00eddeo y texto<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto j<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Transferencia de Informaci\u00f3n + Pol\u00edtica de Comunicaci\u00f3n Segura<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La seguridad de los sistemas de comunicaciones de emergencia<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 2, punto j<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Comunicaci\u00f3n Segura<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La consideraci\u00f3n de las vulnerabilidades espec\u00edficas de cada proveedor y prestador de servicios directo y la calidad general de los productos y las pr\u00e1cticas en materia de ciberseguridad de los proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 3<\/td>\n<td style=\"vertical-align: middle\">Pol\u00edtica de Seguridad de los Proveedores + Informe de la Evaluaci\u00f3n y Tratamiento de Riesgos<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La adopci\u00f3n de medidas correctivas adecuadas y proporcionadas<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 21, p\u00e1rrafo 4<\/td>\n<td style=\"vertical-align: middle\">Procedimiento de Acciones Correctivas + Formulario de Acciones Correctivas<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La notificaci\u00f3n al CSIRT o a la autoridad competente cualquier incidente significativo<\/td>\n<td style=\"vertical-align: middle\"><a href=\"https:\/\/advisera.com\/es\/nis2\/obligaciones-de-notificacion\/\" target=\"_blank\" rel=\"noopener\">Art\u00edculo 23, p\u00e1rrafo 1<\/a><\/td>\n<td style=\"vertical-align: middle\">Notificaci\u00f3n de incidentes significativos al CSIRT\/Autoridad competente<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La notificaci\u00f3n a los destinatarios de sus servicios los incidentes significativos susceptibles de afectar negativamente a la prestaci\u00f3n de dichos servicios<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 23, p\u00e1rrafo 1<\/td>\n<td style=\"vertical-align: middle\">Notificaci\u00f3n de incidentes significativos a los destinatarios de servicios<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">La comunicaci\u00f3n a los destinatarios de servicios que potencialmente se vean afectados por una ciberamenaza significativa cualquier medida o soluci\u00f3n que dichos destinatarios puedan adoptar para hacer frente a esa amenaza. Tambi\u00e9n hay que informar a esos destinatarios de la propia ciberamenaza significativa<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 23, p\u00e1rrafo 2<\/td>\n<td style=\"vertical-align: middle\">Notificaci\u00f3n de incidentes significativos a los destinatarios de servicios<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Una alerta temprana: indica si cabe sospechar que el incidente significativo responde a una acci\u00f3n il\u00edcita o malintencionada o puede tener repercusiones transfronterizas<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 23, p\u00e1rrafo 4, punto a<\/td>\n<td style=\"vertical-align: middle\">Alerta Temprana de Incidente Significativo<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Una notificaci\u00f3n del incidente que contenga una evaluaci\u00f3n inicial del incidente significativo, incluyendo su gravedad e impacto, as\u00ed como indicadores de compromiso, cuando est\u00e9n disponibles<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 23, p\u00e1rrafo 4, punto b<\/td>\n<td style=\"vertical-align: middle\">Notificaci\u00f3n de incidentes significativos al CSIRT\/Autoridad competente<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Un informe intermedio con actualizaciones pertinentes sobre la situaci\u00f3n<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 23, p\u00e1rrafo 4, punto c<\/td>\n<td style=\"vertical-align: middle\">Informe Intermedio de Incidente Significativo<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Un informe final, a m\u00e1s tardar, un mes despu\u00e9s de presentar la notificaci\u00f3n del incidente<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 23, p\u00e1rrafo 4, punto d<\/td>\n<td style=\"vertical-align: middle\">Informe Final de Incidente Significativo<\/td>\n<\/tr>\n<tr>\n<td style=\"vertical-align: middle\">Un informe de situaci\u00f3n en el caso de que el incidente siga en curso en el momento de la presentaci\u00f3n del informe final<\/td>\n<td style=\"vertical-align: middle\">Art\u00edculo 23, p\u00e1rrafo 4, punto e<\/td>\n<td style=\"vertical-align: middle\">Informe de Situaci\u00f3n de Incidente Significativo<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Documentos de ciberseguridad habituales no exigidos por la NIS 2<\/h2>\n<p>Adem\u00e1s de los documentos requeridos ya mencionados, tambi\u00e9n resulta recomendable redactar estos otros documentos:<\/p>\n<ul>\n<li>Pol\u00edtica de Clasificaci\u00f3n de la Informaci\u00f3n: ofrece normas claras sobre c\u00f3mo clasificar documentos y otra informaci\u00f3n y c\u00f3mo proteger los activos dependiendo del nivel de su clasificaci\u00f3n.<\/li>\n<li>Pol\u00edtica de Dispositivos M\u00f3viles, Teletrabajo y Trabajo desde Casa: determina las normas para usar ordenadores port\u00e1tiles, tel\u00e9fonos inteligentes y otros dispositivos fuera de las instalaciones de la compa\u00f1\u00eda.<\/li>\n<li>Pol\u00edtica de Bring Your Own Device (BYOD): regula cuestiones de seguridad cuando los empleados utilizan sus propios dispositivos para trabajar.<\/li>\n<li>Pol\u00edtica de Eliminaci\u00f3n y Destrucci\u00f3n: determina c\u00f3mo retirar dispositivos y material multimedia para eliminar todos los datos sensibles y evitar infringir derechos de propiedad intelectual.<\/li>\n<li>Procedimientos para Trabajar en \u00c1reas Seguras: define las reglas de seguridad para centros de datos, archivos y otras \u00e1reas que requieren protecci\u00f3n especial.<\/li>\n<li>Pol\u00edtica de Gesti\u00f3n de Cambios: determina las reglas para realizar cambios en los sistemas de producci\u00f3n para reducir los riesgos de seguridad.<\/li>\n<li>Pol\u00edtica de Mesas y Pantallas Limpias: determina las reglas para que cada empleado proteja su espacio de trabajo.<\/li>\n<li>Procedimientos de Seguridad para el Departamento TIC: incluye procedimientos operativos de seguridad para actividades que no est\u00e1n cubiertas en los otros documentos.<\/li>\n<\/ul>\n<p><em>Para encontrar todos los documentos necesarios para cumplir la Directiva NIS 2 (SRI 2), consulta el<\/em>\u00a0<a href=\"https:\/\/advisera.com\/toolkits\/nis-2-documentation-toolkit\/\" target=\"_blank\" rel=\"noopener\">Paquete de Documentos NIS 2<\/a>\u00a0<em>que incluye todas las pol\u00edticas, procedimientos, planes y otras plantillas<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Si su compa\u00f1\u00eda est\u00e1 obligada a cumplir con la Directiva NIS 2 (SRI 2), tendr\u00e1 que redactar muchos documentos nuevos para cumplir con todos los requisitos de ciberseguridad y notificaci\u00f3n exigidos. Este art\u00edculo enumera todos los documentos que las compa\u00f1\u00edas deben redactar seg\u00fan el Cap\u00edtulo IV de la NIS2, llamado \u201cMedidas para la gesti\u00f3n de [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":116222,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-115926","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-es","adv_standard-nis-2-es","adv_topic-documentation","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/comments?post=115926"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/adv_resources\/115926\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media\/116222"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/media?parent=115926"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/es\/wp-json\/wp\/v2\/tags?post=115926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}