¿Podrá sobrevivir a NIS 2 si su TI más crítica no puede soportar MFA o el registro?
La TI heredada es el problema que todos ven, pero pocos quieren tener. Ya sea que distribuya agua a las ciudades, suministre energía a fábricas o utilice equipos clínicos, es casi seguro que su organización depende de endpoints o servidores que no han recibido un parche de seguridad en años. La incómoda verdad: NIS 2 pone estos activos “inmigrables” del fondo operativo al foco de atención, asignando un riesgo personal a cada ciclo de vida no administrado y brecha de control. (ENISA, 2023). Ya no basta con justificar estos problemas con la continuidad del negocio o las limitaciones de los proveedores tradicionales. La normativa exige una gobernanza activa y controles exigibles, incluso cuando los principios básicos de seguridad, como la autenticación multifactor (MFA) o los registros de eventos utilizables, no son técnicamente posibles.
Ya han visto el impacto: renovaciones estancadas, consultas sobre seguros intensificadas, juntas directivas inquietas y clientes presionando para obtener pruebas. De repente, la hoja de cálculo que registra los "servidores antiguos" parece menos una deuda técnica y más una multa de auditoría futura. La paradoja central es clara: ¿Cómo asegurar y demostrar control sobre los activos que más le cuesta cambiar?
Cada riesgo heredado es una pregunta abierta que exige una respuesta documentada, no una excusa pasiva.
Lo que está en juego no es teórico. No demostrar la gobernanza de riesgos en los sistemas heredados no solo conlleva multas regulatorias; puede convertirse en un problema de reputación en la junta directiva, frustrar acuerdos en la debida diligencia o invalidar un seguro tras un incidente. Y a medida que la responsabilidad de estos riesgos pasa del equipo de TI a la junta directiva, las antiguas zonas de confort se desvanecen. NIS 2 examina cada dispositivo, cada sistema y cada hoja de cálculo oculta que parecía segura en la oscuridad, lo que requiere un manual donde lo “irreparable” no sea un punto ciego, sino un llamado al liderazgo, a la decisión y a un movimiento creíble hacia adelante.
Por qué las excepciones tradicionales ya no le compran tiempo ni confianza
Si ha gestionado marcos de cumplimiento normativo durante más de un año, probablemente esté familiarizado con la dinámica: exponer la brecha existente, registrarla, proponer una futura actualización hipotética y esperar que los reguladores, las aseguradoras o los clientes acepten la excusa de la necesidad. La NIS 2 transforma esta dinámica en una coreografía de rendición de cuentas. El artículo 21(2) es explícito: cada riesgo, incluidos aquellos debidos a sistemas heredados u obsoletos, debe asignarse a un propietario, revisarse formalmente a nivel de directorio y demostrarse que se está mitigando activamente o que se le han asignado recursos para su cierre. (EUR-Lex). Si no puedes mostrar este hilo...excepción aumentó, propietario nombrado, controles mapeado, plan registrado, revisado por parte de la junta: su postura de cumplimiento es objetivamente inadecuada.
La nueva lente: Las excepciones ya no son “permiso para quedarse quieto”: son mechas encendidas.Las aseguradoras lo han notado, al igual que los equipos de compras y los inspectores. Si presenta un activo heredado de alto riesgo sin un próximo hito ni una revisión certificada por la junta directiva, prepárese para primas más altas, cláusulas de cobertura o la pérdida total del negocio. La razón es simple: sin estructura, se asume que el riesgo heredado no está gestionado, y el riesgo no gestionado no es asegurable (AGCS).
El regulador ve el registro de excepciones como una promesa viviente, no un cementerio de inacción.
Los fallos en las auditorías en el mundo real se deben cada vez más a la falta de claridad: quién asume el riesgo, cuál es el control provisional y cómo se impulsa el cierre. Considere este resumen del inventario de riesgos:
| Activo heredado | Propietario | Puntuación de riesgo | Plan de remediación/migración | Revisión de la Junta/Firmado |
|---|---|---|---|---|
| Ventanas 2008 servidor | Operaciones de TI | Alta | “Desmantelamiento del segundo trimestre de 2025” | Sí (acta) |
| PLC al final de su vida útil | Director de plantas | Medio-alto | Segmento de red + monitor | Sí (2024) |
| PC de rayos X sin parche | Clínico | Alta | Doble cierre, reemplazar '26 | Marcado |
Cualquier línea que carezca de un propietario designado, un plan viable o la aprobación correspondiente es ahora un detonante inmediato para una deficiencia en la auditoría. Ninguna justificación técnica compensa un vacío en la propiedad de la gobernanza.
Domine NIS 2 sin el caos de las hojas de cálculo
Centralice el riesgo, los incidentes, los proveedores y la evidencia en una plataforma limpia.
Qué cuenta y qué falla cuando controles como MFA o el registro no son posibles
La regulación moderna no ignora las limitaciones de la tecnología operativa (TO), la atención médica, los servicios públicos y la manufactura. No se espera que todos los activos heredados admitan mágicamente la MFA, la integración completa con SIEM o la retirada instantánea. Sin embargo, Las directrices NIS 2 y ENISA lo dejan claro: si no puede implementar un control estándar (como MFA o registro), debe documentar un control compensatorio temporal en capas y establecer una fecha de vencimiento que demuestre una gobernanza activa en lugar de una rendición técnica. (ENISA).
Trampas comunes de auditoría:
- Registros de acceso manual sin revisor: “Los supervisores de turno firman una hoja de papel”. Pases solo a corto plazo. if Hay evidencia de que se está revisando, firmando y se eliminará gradualmente.
- Aislamiento de red sin supervisión: "Lo trasladamos a una VLAN". Solo funciona si se documenta, se valida periódicamente y se asigna a las entradas del registro de riesgos.
- Registros de excepciones no revisados: “Llevamos una hoja de cálculo”. Falla sin ciclos de revisión claros, asignación de propietarios e hitos de cierre.
Controles compensatorios esenciales cuando lo “moderno” no encaja:
- *Segmentación de red con auditoría periódica y revisión de acceso.*
- *Control dual (aprobación de dos personas) para todos los cambios o acceso privilegiado.*
- *Monitorización por vídeo de zonas de acceso, especialmente en entornos OT.*
- *Libros de registro manuales, revisados y firmados por la gerencia en los intervalos prescritos.*
- *Controles en capas: nunca confíes en una única solución provisional.*
| baza | ¿MFA? | ¿Explotación florestal? | Control de compensación | Fecha de revisión | Plan de Cierre |
|---|---|---|---|---|---|
| Aplicación de facturación heredada | No | No | Libro de registro de turnos + doble aprobación | Q2 2024 | Reemplazar el primer trimestre de 2025 |
| PLC industriales | No | Parcial | Registros de acceso de supervisor segmentados | Mensual | Actualización de firmware en el '25 |
Recuerde: Los controles manuales o alternativos son siempre “temporales y sujetos a revisión obligatoria”. La postura de ENISA es tajante: las soluciones alternativas ganan tiempo, no garantizan el cumplimiento normativo. Cuanto más antiguo o vulnerable sea el activo, más estricta será la revisión y más urgente el plan de cierre.
Una medida provisional es una cuenta regresiva, no una red de seguridad. Su señal es la ambición de la dirección, no la inercia operativa.
Cómo estructurar controles de compensación: correspondencia con ISO 27001 y NIS 2
Es tentador tomar atajos y declarar una excepción "aceptada" cuando el departamento de TI no puede implementar la autenticación multifactor (MFA) o el registro. Pero en la práctica, el escrutinio regulatorio y de seguros se centra en... estructuraISMS.online e ISO 27001:2022 le ofrecen un modelo: cada brecha de control debe corresponderse con:
- Una entrada en el registro de riesgos (describiendo explícitamente el activo, la brecha y el posible impacto).
- Una entrada de Declaración de Aplicabilidad (SoA) (identificando el control afectado y por qué no se cumple).
- Control(es) compensatorio(s) aplicado(s), documentado(s) y estratificado(s) (más de una línea de defensa).
- Propietario de activos designado y auditor o administrador revisor.
- Evidencia de revisión periódica, progreso y remediación final o aceptación de riesgos a nivel de junta.
Ejemplo de puente ISO 27001:
| Expectativa | Operacionalización | ISO 27001 / Anexo A Ref. |
|---|---|---|
| Responsabilidad de la junta directiva | Aprobación nombrada, puntuación de riesgo | 5.3, A.5.4, A.5.36 |
| Seguimiento de riesgos específicos de cada activo | Estado del sistema + propietario explícito en el registro | 6.1, A.5.9, A.8.10 |
| Controles de compensación | Documentado, en capas, temporal | 6.1.3, A.8.15, A.8.34 |
| Ciclo de revisión y cierre | Hito de registro, evidencia revisada por la junta | A.5.35, A.8.34 |
| rastro de evidencia | Registros de aprobación, actualización de SoA, registro de cierre | A.5.19–A.5.21 |
Minitabla de trazabilidad:
| Desencadenar | Actualización de riesgos | Enlace de control/SoA | Evidencia registrada |
|---|---|---|---|
| Artículo NIS 2, auditoría | Excepción abierta | A.5.19, A.8.15 | Excepción, despedida |
| El personal se mueve, el sistema está en marcha | El propietario cambió | Registro de riesgos, SoA | Actas de la junta, plan |
| Activo mejorado | Excepción cerrada | Actualización de SoA | Plan de migración, señal |
Un control fuerte tiene menos que ver con la perfección técnica y más con Progresión documentada y revisada hacia el cierre del riesgo, con evidencia en cada enlace para auditores, aseguradores y juntas directivas.
Esté preparado para NIS 2 desde el primer día
Comience con un espacio de trabajo y plantillas comprobadas: simplemente personalice, asigne y listo.
Supervivencia práctica en auditorías: de la excepción al rastro de evidencia
Ninguna historia sobre cumplimiento de TI heredados termina con una clara declaración de intenciones. La preparación para una auditoría es la suma de un rastro de evidencia viva que demuestra que cada excepción es reconocida, revisada, financiada y obligada a cerrarse a una cadencia definida. (BSI). ISMS.online integra este ciclo directamente en los espacios de trabajo y paneles de control de la plataforma:
1. Identificación y propiedad
- Cada activo heredado se ingresa en un registro rastreable, etiquetado por el propietario técnico y el revisor de la junta.
- Los controles de compensación, aunque sean manuales, se asignan explícitamente y se organizan en capas.
2. Documentación y controles temporales
- Todos los controles se enumeran como “temporales” con fechas de vencimiento, revisión y escalada codificadas en la plataforma.
- La SoA está vinculada para cada excepción, con referencias a activos, riesgos y evidencia.
3. Revisión activa y firma
- Se requiere la aprobación de la gerencia, no solo durante la actualización de riesgos, sino en cada ciclo de revisión; no hay registros “silenciosos”.
- Cada excepción debe tener un plan de cierre; las excepciones indefinidas predeterminadas se marcan, no se ocultan.
4. Cierre o aceptación del riesgo
- La migración o desmantelamiento de activos se registra con prueba.
- Cuando la migración es imposible, la aceptación del riesgo debe contar con la aprobación del directorio o del nivel ejecutivo, registrada tanto en la SoA como en el registro de riesgos para la trazabilidad de la auditoría.
Lista de verificación para sobrevivir a una auditoría o revisión de seguros:
- ¿Cada brecha en el registro de riesgos, el SoA y el registro de aprobaciones?¿Y coinciden las fechas, firmas e hitos?
- ¿Se revisan, firman y limitan los registros manuales o las soluciones alternativas según el vencimiento planificado?
- ¿Puede exportar instantáneamente esta evidencia a auditores, aseguradores o clientes?
La historia de cumplimiento más sólida se cuenta desde la evidencia, no desde la intención.
Gestión de la vida útil de los registros manuales y las compensaciones
Los registros manuales, las hojas de cálculo y las hojas de credenciales no son planes de cumplimiento: son temporizadores de cuenta regresiva. Su vida útil está determinada por la visibilidad, la revisión y la fuerza de cierre.
Aceptabilidad inspeccionada por auditoría para evidencia manual:
| Tipo de evidencia manual | Auditoría de vida útil | Condición de aceptación |
|---|---|---|
| Libro de registro firmado | ≤ 12 meses (máximo) | Vinculado al control de riesgos, revisado, plan de cierre |
| Hojas de credenciales/acceso | ≤ 6 meses | Doble verificación, revisión periódica, cierre programado |
| Lista de verificación de la hoja de cálculo | 1 ciclo de auditoría | Actualizado, firmado y puesto en práctica en cada revisión. |
| Registros/archivos no revisados | Ninguna | Señal de alerta/fallo inmediato |
Cada vez que una excepción pasa a revisión y no se cierra, o al menos avanza hacia su cierre, su valor probatorio disminuye. Un control compensatorio sin revisar pasa de activo a pasivo en tan solo un trimestre. La “prueba” es siempre lo cerca que estás del cierre, no lo bien que justificas la inacción.
En caso de duda, pregunte: si nuestro reclamo de seguro o acuerdo con un cliente se basara en este registro, ¿un revisor externo vería el recorrido hasta el cierre?
Todos tus NIS 2, todo en un solo lugar
Desde los artículos 20 a 23 hasta los planes de auditoría: ejecutar y demostrar el cumplimiento de principio a fin.
Superposiciones sectoriales y nacionales: cuando el NIS 2 es solo la línea de base
La realidad es simple: Las normas sectoriales y nacionales a menudo eclipsan los mandatos básicos de la UEPara los sectores de energía, sanidad, fabricación crítica y ciertos proveedores nacionales (Alemania, España, Reino Unido), el listón es considerablemente más alto. Su registro de excepciones debe reflejar tanto... Plantilla local más estricta y núcleo NIS 2.
Ejemplos de superposición nacional:
| Sector | Regla nacional | Frecuencia de revisión de excepciones | Propietario | Fuente de la plantilla |
|---|---|---|---|---|
| NHS (Reino Unido) | NCSC NHS Digital | Minuto anual, aprobación de la junta | CIO | nhsdigital.nhs.uk |
| Energía alemana | BSI IT-SiG3 | Chequeo anual + mensual | CISO | bsi.bund.de |
| Servicios públicos españoles | Real Decreto 43/2021 | Mensual, liderazgo regulatorio | Regulatorio | mincotur.gob.es |
Su SGSI debe importar, ampliar o adaptar estas estructuras, además de los requisitos europeos fundamentales. Asuma que las auditorías y las aseguradoras aplicarán la superposición más estricta y relevante a nivel local, no solo la norma NIS 2 por defecto.
Creación de una hoja de ruta defendible para TI heredada: reemplazar, aislar o documentar la mitigación
Un plan de riesgo heredado moderno es un sistema vivoNo una hoja de cálculo de fin de año. La disciplina operativa requería:
- Catalogar todos los activos: Por propietario, riesgo, control compensatorio, cronograma de revisión y plan de cierre.
- Mapa de controles: Vincular cada activo y excepción a las referencias del artículo 21(2) de la norma ISO 27001 o NIS 2.
- Cadencia de revisión de fuerza: La verificación, la asignación de recursos o la migración deben imponerse en un plazo determinado a nivel de directorio mediante recordatorios impulsados por el sistema.
- Automatizar el registro de evidencias: Cada aprobación del propietario, marca del revisor o actualización del plan es visible en un registro de auditoría digital, no enterrado en correos electrónicos o archivos dispersos.
- Actualizaciones de plantillas: Los planes nacionales de superposición y los informes específicos del sector deben vincularse a su SGSI y no existir como procesos paralelos.
Cuando llegan las revisiones del directorio o del regulador, su hoja de ruta debe desplegarse como una serie de excepciones en vivo, asignadas por el propietario e impulsadas por el cierre, que demuestren impulso y responsabilidad. Un legado sin dueño es ahora un pasivo contractual, financiero y estratégico.
Haciendo que el bucle de riesgos sea visible y resiliente: la ventaja de ISMS.online
Existe una diferencia operativa entre “cumplir con las normas en el papel” y “estar listo para auditoría en acción”. ISMS.online ofrece más que un registro de riesgos: automatiza los cruces entre activos, propietarios, pasos de mitigación, registros de aprobación, entradas de SoA y evidencia de cierre, lo que permite la rendición de cuentas y hace que las excepciones sean una pieza central del ciclo de cumplimiento en lugar de un punto ciego..
Beneficios en la práctica diaria:
- Los paneles muestran el estado de cada activo: migrado, mitigado o pendiente de aceptación.
- La junta o el regulador pueden rastrear cada excepción por propietario, riesgo, controles establecidos y ciclo de revisión, con todas las firmas e hitos registrados en el tiempo y disponibles al instante.
- Las superposiciones de sectores de cruce y NIS 2 se gestionan a través de registros vinculados, bancos de evidencia y notificaciones basadas en plantillas.
- Las revisiones de auditorías y seguros pasan del pánico a la vitrina: un mapa de resiliencia, no una disculpa por las excepciones.
Llamada a la acción final:
Su TI heredada no solo se tolera, sino que es fundamental para el nombre y la reputación de su empresa. Domine el ciclo de excepciones. Haga que cada riesgo sea responsable, visible y esté listo para su cierre, no quede estancado en mantenimiento para siempre. Demuestre a cada auditor, cliente y miembro de la junta directiva que su gestión de excepciones está activa, estructurada y reduce el riesgo en cada ciclo. El cumplimiento moderno no se mide por la utopía técnica, sino por su viaje auditable desde la brecha hasta el cierre: haga que ese viaje sea real, medible y visible para la junta con ISMS.online.
Cuando el legado queda sin dueño, el riesgo domina el negocio. Cuando el bucle de excepciones es tuyo, el riesgo se convierte en tu prueba de control.
Preguntas Frecuentes
¿Quién es responsable de las brechas de cumplimiento de TI heredadas bajo NIS 2 y qué cambios implican para los directorios y la administración?
La NIS 2 asigna la responsabilidad directa de los riesgos de TI heredados al consejo de administración y a la dirección ejecutiva, no solo a la dirección de TI, lo que convierte cualquier deficiencia no resuelta en una preocupación de la junta directiva. El artículo 21(2) de la directiva exige que cada activo heredado "irreparable" (servidores sin soporte, PLC obsoletos, equipos de red heredados) tenga un propietario designado, un ritmo de revisión y un plan de mitigación o aceptación de riesgos registrado formalmente a nivel de gestión. Esto va más allá de un mero procedimiento: si la propiedad o el progreso son imprecisos, los reguladores y auditores ahora esperan investigar a la dirección, no al departamento de TI, sobre los riesgos persistentes.
El liderazgo ya no se mide por las firmas en una política, sino por el progreso transparente en cada brecha abierta.
La gestión de riesgos heredados se ha convertido en una prueba de liderazgo visible. Las hojas de cálculo o los registros sin firmar son insuficientes: cada excepción debe atribuirse a una responsabilidad ejecutiva específica, con planes de acción documentados y revisados periódicamente. Ahora se espera que las juntas directivas pasen de la aprobación pasiva de excepciones a una revisión proactiva, donde el cierre de excepciones y el progreso de la mitigación formen parte del cumplimiento continuo.
Tabla de propiedad de activos heredados
| Activo heredado | Propietario | Siguiente revisión | Plan de mitigación |
|---|---|---|---|
| Servidor de pagos 2010 | CTO | 2024-10-01 | Segregación; no es posible un MFA |
| PLC de fábrica (Línea 2) | Jefe de Operaciones | 2024-07-15 | Jubilación planificada T1 2025 |
| Enrutador heredado | Líder de red | 2024-09-01 | Acceso solo con credencial, aislamiento de red |
¿La moraleja? Las juntas directivas deben mantener planes de responsabilidad y acción rastreables y revisables para cada excepción, o se arriesgan a una exposición directa durante las auditorías o revisiones de incidentes.
¿Qué controles de compensación se consideran lo suficientemente fuertes para los sistemas heredados y cuáles son los límites?
Los controles compensatorios genuinos se aceptan para los activos heredados solo si se consideran puentes temporales, no lagunas legales permanentes. Tanto los auditores como los reguladores esperan ahora un enfoque complejo y defendible, que incluya (entre otros):
- Estrictos controles de acceso físico (credenciales, biometría, habitaciones cerradas),
- Segmentación de red reforzada (VLAN aisladas con restricciones de firewall),
- Aprobación de dos personas (dual) para acciones administrativas críticas,
- Libros de registro manuales con revisión y aprobación programadas por la gerencia,
- Cambios periódicos de contraseña obligatorios,
- Revisiones programadas a nivel de junta y actualizaciones documentadas sobre cada excepción.
Sin embargo, estos controles sólo se aceptan si la evidencia demuestra:
- Cada excepción está justificada formalmente, no sólo administrada por TI.
- Los controles se revisan y se avanzan o se retiran en intervalos planificados.
- Existen planes de cierre o migración y se les hace seguimiento.
- La supervisión de la dirección es auditable, no implícita.
Los auditores confían en lo que pueden rastrear: los controles compensatorios sin límites de tiempo se convierten en debilidades de cumplimiento.
Instantánea de control de compensación
| baza | Control aplicado | Ubicación de la evidencia de auditoría | Siguiente revisión |
|---|---|---|---|
| Servidor de nóminas (heredado) | Sala de servidores cerrada | Registro de insignias, cierre de sesión | 2024-11-01 |
| Interruptor obsoleto | VLAN segmentada | Documentos de configuración de red | 2024-09-15 |
| PLC (Línea 2) | Libro de registro manual | Registro de turno, firmado | 2024-07-15 |
Los directorios deben esperar que se cuestionen los controles compensatorios y deben demostrar un movimiento regular hacia el cierre de riesgos o la migración de activos.
¿Cómo deben documentarse las excepciones para la tecnología heredada para las auditorías NIS 2 y las revisiones de seguros cibernéticos?
La gestión de excepciones bajo NIS 2 es ahora una prueba de trazabilidad y defensa. En lugar de registros de aprobación estáticos o excepciones generales, se espera un registro dinámico:
- Cada sistema heredado debe estar incluido en su registro de riesgos,
- La brecha técnica y la justificación comercial deben ser claras,
- Los controles de compensación específicos están documentados y probados,
- Se asigna una propiedad designada (idealmente con visibilidad de la junta/administración),
- Se programan y evidencian las fechas de revisión y los hitos de progreso (firmas, actas de reuniones, registros exportados),
- Los objetivos de cierre o migración son explícitos, no sólo un lenguaje de “hoja de ruta”.
Todo esto se vincula con su Declaración de Aplicabilidad (DdA), vinculando las excepciones a controles como el Anexo A.8.8 de la norma ISO 27001:2022 o cláusulas análogas (ISO/IEC 27001:2022). Plataformas integradas como ISMS.online pueden automatizar este proceso conectando datos de activos, registros de riesgos, registros de control de compensación, aprobaciones y evidencia de respaldo en un solo lugar, lo que permite que las excepciones estén listas para auditoría al instante.
El cumplimiento maduro se mide por el número de excepciones cerradas, no por las excusas registradas.
Tabla de trazabilidad de excepciones
| Desencadenar | Referencia del registro de riesgos | Enlace SoA | Control aplicado | Evidencia |
|---|---|---|---|---|
| Fin de la vida útil de los activos | A.8.8 brecha | Activo_x123 | VLAN, registros manuales | Junta directiva, paquete de auditoría T2 |
La falta de registros de excepciones activos y revisados es ahora una señal de alerta tanto para los auditores como para las aseguradoras cibernéticas. Cada excepción debe indicar una fecha de cierre o migración programada.
¿Cómo cambian las normas nacionales o industriales el cumplimiento del sistema heredado NIS 2?
El cumplimiento no se detiene en las fronteras de la UE: la mayoría de los países y sectores regulados ahora agregan superposiciones o reglas más estrictas a NIS 2. Algunos ejemplos críticos:
- Servicio Nacional de Salud (NHS) digital del Reino Unido: Exige la aprobación anual a nivel de junta directiva, planes de desmantelamiento y documentación completa de activos y progreso para los sistemas de atención médica.
- BSI de Alemania: Requiere evidencia revisada mensualmente por la junta y asignación de propietario único para los sectores de energía/infraestructura.
- Real Decreto 43/2021 de España: Impone revisión de excepciones mensuales y evidencia regulatoria para empresas de servicios públicos/proveedores.
El éxito de un país puede ser negativo en otros, especialmente si las revisiones sectoriales exigen mayor frecuencia, documentación adicional o plantillas de informes especiales. Mantenga paquetes con control de versiones para cumplir con las auditorías de la UE y sectoriales/nacionales, y revise periódicamente los próximos cambios regulatorios.
Las superposiciones nacionales ya no son un lujo en términos de cumplimiento: ahora son un territorio de riesgo central.
Tabla comparativa de superposiciones
| baza | País | Sector | Ciclo de revisión | Plantilla regulatoria |
|---|---|---|---|---|
| Escáner de resonancia magnética | UK | Sector Sanitario | Anual | Cumplimiento digital del NHS |
| Mainframe SCADA | Alemania | Energía | Mensual | BSI KritisV |
| Servidor de utilidades | España | Utilidades | Mensual | Real Decreto 43/2021 |
Para las organizaciones multinacionales, la integración de superposiciones debe ser parte de su SoA y del ciclo de revisión interna.
¿Se siguen aceptando los registros manuales o las hojas de cálculo como evidencia del control heredado? ¿Y cuál es el umbral de auditoría?
Los registros manuales y las hojas de cálculo se aceptan bajo NIS 2 únicamente como evidencia de transición a corto plazoNunca como medidas de cumplimiento permanentes. Los auditores exigen:
- Vinculación directa con el registro de riesgos y el SoA,
- La gerencia (no solo TI) aprueba y revisa en cada intervalo definido (trimestral como mínimo),
- Un plan de cierre establecido con una fecha límite concreta para migrar a soluciones automatizadas y seguras,
- Registros y evidencias que se revisan periódicamente y se actualizan periódicamente (BSI Group, 2024).
Las hojas de cálculo permanentes y sin revisar ahora representan un riesgo para el cumplimiento normativo, no una solución alternativa. La vida útil habitual es de un ciclo de auditoría o de 6 a 12 meses. La caducidad, la revisión y la transición a una solución más robusta de las hojas de cálculo deben documentarse y las pruebas deben presentarse ante la junta directiva.
Las hojas de cálculo que se vuelven permanentes heredan la responsabilidad de cada registro perdido y aprobación sin firmar.
Tabla de evidencia manual
| Tipo de evidencia | Intervalo de revisión | Desencadenante de cierre planificado |
|---|---|---|
| Hoja de registro de insignias | 3 – 6 meses | Migración programada |
| Hoja de riesgos de Excel | Ciclo de auditoría | Registros automatizados implementados |
| Libro de registro firmado | <12 meses | Activo dado de baja |
Para cada uno, vincule el vencimiento a una migración o un cambio de activo; nunca lo deje como una medida abierta.
¿Cuál es el proceso a nivel de directorio para cerrar los riesgos de TI heredados y cómo ISMS.online pone en práctica las acciones NIS 2/ISO 27001?
Una hoja de ruta defendible para el directorio frente al riesgo de TI heredado combina:
- Catálogo completo de activos con una puntuación de brecha/criticidad,
- Asignación clara de propietario técnico y ejecutivo a cada sistema heredado,
- Mapeo de excepciones a controles específicos de la norma ISO 27001 / Anexo A y del artículo 21(2) del NIS 2,
- Flujo de trabajo de evidencia-revisar hitos, registros de acciones, seguimiento de cierres y exportaciones listas para auditoría/aseguradoras,
- Automatización -con plataformas como ISMS.online que proporcionan paneles para el cierre activo de excepciones, recordatorios programados y prueba de progreso exportable ((https://es.isms.online/solutions/legacy-systems-and-isms/)).
El cumplimiento dirigido por la junta significa que cada activo en riesgo tiene un nombre, una fecha de revisión, una acción y un registro de cierre que hace avanzar cada auditoría.
Tabla de hitos de cumplimiento
| Paso | Salida |
|---|---|
| Inventario de activos | Activos registrados, lagunas críticas |
| Asignación de propietario | Matriz en vivo con revisiones programadas |
| Mapeo de excepciones | Vínculo SoA/riesgo con cada excepción |
| Seguimiento de evidencias | Revisar registros, exportaciones listas para auditoría |
| Progreso del cierre | Estado + fechas, firmado por la gerencia |
ISMS.online hace que cada paso sea rastreable, sin papel y listo para la revisión de la junta o de auditoría: no más excepciones perdidas en el ruido.
¿Cómo ISO 27001:2022 y NIS 2 convierten la gestión de excepciones en un proceso procesable y listo para auditoría?
Tanto la norma ISO 27001:2022 como la NIS 2 exigen trazabilidad, rendición de cuentas basada en roles y evidencia para cada brecha tecnológica y excepción. Comience por asignar las excepciones activas y los registros de activos a sus puntos de control del Anexo A y la NIS 2, asigne responsables, establezca ciclos de revisión automatizados y vincule cada acción con registros de aprobación/exportación. El objetivo es crear una cadena de evidencia que pueda moverse instantáneamente del activo a la excepción y a la fecha de cierre, lista para el escrutinio documental en cualquier auditoría, reunión de la junta directiva o de la aseguradora (ISO/IEC 27001:2022).
Su siguiente paso: implementar (o actualizar) un registro de excepciones asignado a todos los controles relevantes, integrarlo con los flujos de trabajo de evidencia y los calendarios de revisión de la junta, y automatizar los recordatorios para que el estado de las excepciones nunca se vuelva obsoleto. ISMS.online ofrece herramientas listas para usar para conectar cada brecha, aprobación y acción en un único registro visible para la junta.
Cada excepción cerrada convierte el riesgo heredado en liderazgo de cumplimiento: cada acción es un punto de prueba.
Haga público su proceso de excepciones, vincúlelo con los calendarios de la junta directiva y demuestre un progreso continuo impulsado por el cierre. Esa es la nueva clave para las auditorías y la confianza de las aseguradoras según las normas NIS 2 e ISO 27001:2022.
