¿Eres esencial o importante? Autoevaluación rápida con respaldo de autoridad.
Necesita una certeza absoluta, no solo una corazonada, sobre cómo se clasifica su organización según el NIS 2. La condición de entidad esencial o importante es más que una simple etiqueta; determina la frecuencia de sus auditorías, las obligaciones de registro, los límites máximos de las sanciones y su visibilidad ante los reguladores relevantes. No se trata de una teoría: su puesto define la asignación de recursos, la reputación de su marca y cómo se abren o cierran las puertas de las contrataciones.
No hay sustituto para la claridad. El estatus NIS 2 define el riesgo, los desencadenantes, y la especulación sobre la reputación genera problemas.
La vía más rápida para obtener claridad es seguir el rastro de la evidencia: sector, tamaño, servicios prestados y el propio texto de la Directiva. Comprender con precisión en qué categoría encaja usted, en lugar de dejar que los reguladores o los clientes decidan, le otorga poder de negociación y confianza en las auditorías.
¿Qué dicen realmente las normas? Definiciones regulatorias, sectores y casos extremos
Resulta tentador interpretar las normativas al pie de la letra o basarse en la situación del año pasado, pero el NIS 2 es un conjunto de obligaciones en constante evolución. Los términos «esencial» e «importante» se definen en la legislación de la UE, pero la interpretación que las autoridades nacionales hacen de estas normas puede variar a medida que se publiquen nuevas directrices o se den casos excepcionales que generen situaciones de prueba.
Cuando la distinción no está clara, solo la evidencia y su justificación documentada lo mantendrán alejado del lado equivocado de una carta de cumplimiento.
Desglosando las definiciones de la UE
- Regla del sector primero: Energía, salud, infraestructura digital y banca (Anexo I) significan estatus *esencial* a menos que esté excluido por ley; el tamaño es irrelevante (lista de sectores de la UE).
- Anulación de la red troncal digital: Operando como servicio DNS, IXP, nube, Registro de TLD¿O cualquier otra columna vertebral digital? Sigues siendo esencial, incluso si solo tienes unos pocos empleados (Noerr).
- Administración Pública: La legislación nacional aclara la asignación de fondos. Si su entidad local o regional no alcanza el umbral mínimo, podría estar exenta, pero consulte los cambios nacionales (Norton Rose Fulbright).
- Organizaciones híbridas/grupales: Siempre se aplica el estatus más estricto. Si su grupo incluye desencadenantes esenciales e importantes, se le clasifica según el riesgo más alto (Travers Smith).
- Excepciones temporales/adquiridas: Las exenciones pasadas rara vez resisten el escrutinio regulatorio o del consumidor sin evidencia actualizada aprobada por la junta (Fieldfisher).
Añade un cheque recurrente a tu calendario anual. El NIS 2 está sujeto a interpretaciones periódicas de la Comisión Europea, por lo que lo que era válido hace 12 meses podría estar obsoleto hoy.
Domine NIS 2 sin el caos de las hojas de cálculo
Centralice el riesgo, los incidentes, los proveedores y la evidencia en una plataforma limpia.
¿Cómo se prueba? Mapeo de evidencia en tres pasos que resiste la auditoría
Declarar su estatus sin documentación de respaldo ya no es suficiente; es una invitación abierta a problemas regulatorios o bloqueos en las compras. Independientemente de si es esencial o importante, debe poder presentar un registro transparente y actualizado que justifique su estatus, evidencie quién lo firmó y demuestre que fue revisado recientemente.
Si desea que los auditores o los clientes confíen en su estatus, primero reúna su cadena de evidencia.
Edificio a prueba de auditorías
- Prepare su paquete de evidencia: Esto significa estatutos, organigramas, registros de FTE, nóminas, diagramas sectoriales, licencias y copias de cualquier resolución de la junta o aprobación de la gerencia (Brodies).
- Revisión por pares y aprobación: No permita que la gestión del estado recaiga en un solo responsable de cumplimiento. Transfiera la decisión a la junta directiva o al comité de riesgos y registre ese proceso mediante actas de reuniones y registros de gestión (Holland Hart).
- Combine la automatización con la confirmación humana: Los sistemas de seguimiento son útiles, pero siempre es necesario verificar (y registrar) los cambios de estado, especialmente después de cualquier fusión, desinversión o adjudicación de un contrato importante. Nada reemplaza una revisión manual en eventos clave (Clarke Mairs).
- Archivar todas las pruebas juntas: Almacene archivos de mapeo y evidencia de aprobación de forma accesible. La documentación ágil, en respuesta a una consulta regulatoria o de un cliente, minimiza el riesgo (Squire Patton Boggs).
- Actualizar después de cada activación: Cualquier evento (fusión y adquisición, un nuevo contrato importante, crecimiento del personal) desencadena un nuevo registro de estado, con fundamentos y evidencia de respaldo (Ashurst).
Tabla de supervivencia de auditoría
La defensa más confiable es simple: aquí está nuestra justificación, firmada y archivada.
| Paso | Omitir esto es bajo su propio riesgo | Lo que quiere el regulador | Ejemplo de evidencia |
|---|---|---|---|
| Construcción de paquetes | Lógica de estado oculta o poco clara | Toda la evidencia visible | Archivo de nóminas, organigrama |
| Registro de revisión | Culpan individualmente al cumplimiento | Aprobación de la junta/equipo | Actas firmadas, registro de mapeo |
| Automatización | Perdido cambio regulatorios | Documentación viva | Exportación del sistema + comprobación manual |
¿Qué pasa si te equivocas? Riesgos, sanciones y exposición pública.
Un paso en falso en su clasificación no es sólo un asunto privado: bajo el NIS 2, los errores pueden afectar los registros públicos, provocar revisiones de contratos o escalar a multas sustanciales y rendición de cuentas a nivel de junta directivaUn solo error en el mapeo de estado puede volverse visible para clientes, proveedores y reguladores de la noche a la mañana.
Los errores de cumplimiento rara vez quedan en secreto: se reflejan en las cadenas de compras y los registros de riesgos.
Cronología de los problemas: cómo se multiplican los errores
Supongamos que su empresa SaaS se autodenomina “importante” porque cree (erróneamente) que su operación en la nube no está incluida en “infraestructura digital.” Una brecha de seguridad desencadena una investigación. En breve:
- Día 1: El regulador solicita un mapeo de sectores, tamaños y funciones, con actas de la junta y nómina por tres años.
- Día 2–4: La empresa debe entregar fundamentos y pruebas, corrigiendo cualquier deficiencia dentro de un plazo determinado.
- Día 5–10: Pistas de auditoría están incompletos; la justificación no está documentada; la empresa figura en un registro público de “incumplimiento” (Data Protection Ireland).
- Sanción emitida: Las sanciones por clasificar erróneamente como importante en lugar de esencial son sustanciales; los fallos repetidos agravan la sanción (Cleary Gottlieb).
- Junta nombrada: El director que aprobó el mapeo anterior aparece en el resumen publicado del regulador; los clientes comienzan a cuestionar el cumplimiento en la renovación del contrato (Kingsley Napley).
Saltarse o improvisar la documentación debilita su posición en cualquier disputa o negociación. La solución: implementar el mapeo y la revisión como un proceso continuo.
Esté preparado para NIS 2 desde el primer día
Comience con un espacio de trabajo y plantillas comprobadas: simplemente personalice, asigne y listo.
¿Son los grupos y las filiales una puerta trasera? Orientación especial para organizaciones multientidad
En organizaciones complejas o grupos con filiales, la tentación puede ser promediar el estatus o pensar que una exención superior lo cubre todo. Con la NIS 2, esta forma de pensar invita al escrutinio: los reguladores exigen un mapeo y una disciplina narrativa separados en cada nivel.
Las agencias reguladoras esperan que el mapeo de grupos sea tan robusto como el de cualquier entidad individual. Los accesos directos exponen a todo el grupo.
Mapeo central versus subsidiario
- Se requiere mapeo dual: Tanto el grupo como cada filial/unidad necesitan un registro de estado documentado y firmado. No asuma que el estado del grupo "incluye" a la filial (Mills & Reeve).
- Cuestiones jurisdiccionales: La sede de la administración, la ubicación de las operaciones clave y el lugar donde “residen” sus datos influyen en la autoridad reguladora nacional (Eversheds Sutherland).
- Filiales digitales: Cualquier sub que califique como DNS, nube o servicio de confianza siempre es esencial, independientemente del estado del grupo más amplio (WilmerHale).
- Documentar todo: Cualquier cambio (fusión, reestructuración, hallazgo de auditoría) debe tener versión, firmarse y archivarse tanto a nivel de entidad como de grupo (Simkins).
- Registro de cada evento: Cada cambio “material” (nuevo contrato, incorporación importante de personal, reorganización) desencadena una actualización en todos los registros de mapeo y bases de datos de evidencia (Addleshaw Goddard).
El estándar de oro: mapee cada evento grupal o subsidiario con una verificación de estado nueva, un registro firmado y una instantánea versionada en su archivo.
Tabla típica de mapeo de grupos
| Acontecimiento desencadenante | Registro para actualizar | Expectativa de auditoría |
|---|---|---|
| Fusión/Adquisición | Mapeo/registros para todas las unidades nuevas | Prueba de estatus, justificación del mapeo |
| Escisión/Desinversión | Mapeo/registros de la entidad saliente | Salida de estado firmada |
| Desafío del regulador | Mapeo en el evento y después | Actualizaciones de procedimientos/archivos, nota de la junta |
| Reestructuración importante | Mapeo/registros actualizados, versionados | Versiones de justificación, partes interesadas |
¿Cuándo deberías actualizar? Factores desencadenantes y tiempos para las revisiones de estado
El cumplimiento de NIS 2 no es una tarea estática que se establece y se olvida: el cumplimiento continuo implica programar actualizaciones periódicas y responder a cambios materiales, tanto internos como externos.
Un estado estático representa un riesgo de cumplimiento continuo. Los registros de estado activo brindan protección cuando las regulaciones cambian o surgen nuevos riesgos.
Activadores y tiempos de actualización
- Grandes eventos: Nombramiento de directores, adquisición o desinversión de filiales, lanzamiento de nuevos productos, superación de umbrales clave de ingresos o de FTE.
- Revisión anual: Al menos una vez cada 12 meses, incluso sin cambios notables, se realizará una revisión formal del directorio y un nuevo registro.
- Latido del corazón del tablero: Utilice las reuniones de la junta para registrar los ciclos de revisión y obtener reconocimientos de los directores (Walker Morris).
- Activadores externos: Nueva legislación o interpretaciones (UE, autoridad nacional), términos contractuales significativos de clientes, cuestionarios de proveedores.
- Prueba portátil: Cree paquetes compatibles con auditorías y exportaciones que faciliten las transiciones, las auditorías o debida diligencia del proveedor rápido e indoloro (Burges Salmon).
Su sistema debe garantizar que cuando se le pregunte "¿Quién realizó esta llamada de estado y qué lógica utilizó?", pueda responder en minutos, no en días.
Todos tus NIS 2, todo en un solo lugar
Desde los artículos 20 a 23 hasta los planes de auditoría: ejecutar y demostrar el cumplimiento de principio a fin.
¿Qué buscan las auditorías? Aprobar con registros, no solo con reclamaciones.
Los auditores son cada vez más intolerantes al papeleo que se trata como un evento periódico de cumplimiento en lugar de un proceso vivo y versionado. El estado de su entidad es un punto de control que debe evidenciarse, firmarse, recuperarse y justificarse ante cualquier cambio sustancial.
Las auditorías las aprueban aquellos cuya documentación está siempre activa, no aquellos que tienen una plantilla bien intencionada acumulando polvo.
Tabla de Trazabilidad ISO 27001: Expectativa a Evidencia
Un mapeo conciso y listo para auditoría para reforzar las decisiones de estado:
| Expectativa | Cómo se pone en práctica | Anexo A/Cláusula |
|---|---|---|
| Revisión del estado formal | Aprobación de la junta, minutos registrados | A.5.2, Cláusula 5.3 |
| Paquete de pruebas | Nómina, organigrama, registros de ingresos | A.5.1, A.5.18 |
| Reevaluación del cambio | Registro de actualización de estado, archivo de justificación | A.5.28, Cláusula 6.1 |
| Ciclos de actualización | Revisión programada, certificada | A.5.36, Cláusula 9.3 |
Minitabla de trazabilidad
| Desencadenar | Actualización de riesgos | Enlace de control/SoA | Evidencia registrada |
|---|---|---|---|
| Cambio de tablero | Registro de riesgo, Nota de SoA | A.5.2 | Minutos, registro |
| M&A | Nueva revisión de mapas | Cláusula 4.3 | Organigrama, justificación |
| Lanzamiento del producto | Actualización de mapas | Cláusula 6.1 | Plan de proyecto, doc |
La mejor respuesta de auditoría es un archivo dinámico. Las autorizaciones versionadas, las búsquedas rápidas de justificaciones y los enlaces digitales a la plataforma son indicadores de un cumplimiento sólido y creíble.
Comience ISMS.online hoy mismo
SGSI.online ofrece un camino desde "esperar que sea suficiente" hasta un sistema donde la evidencia de estado, la justificación y las aprobaciones son automáticas, exportables y con control de versiones. Refuerce su confianza en cada revisión interna, presentación a la junta directiva, negociación de adquisiciones y compromiso regulatorio. El cumplimiento no se trata solo de aprobar auditorías, sino también de... resiliencia operacional, confianza y reputación.
- Mapeo de estado automatizado: Nuestra plataforma reúne y vincula todos los eventos de mapeo, aprobaciones y evidencia, creando un sistema versionado. pista de auditoría Listo en cualquier momento (Grupo BSI).
- Registros de evidencia en vivo: Los recordatorios continuos impulsan revisiones del estado; los registros de mapeo se actualizan con cada evento o disparador.
- Confianza multiestándar: Conecte instantáneamente la asignación NIS 2 a ISO 27001,, SOC 2, ISO 27701 y más allá, construyendo una base para futuros marcos (Gartner).
- Exportaciones de auditoría bajo demanda: Extraiga archivos de auditoría, evidencia contractual o informes listos para el regulador al instante, sin necesidad de buscar registros antiguos (CSO Online).
- Con la confianza de la Junta Directiva y el Regulador: Su junta directiva y las autoridades externas ven un sistema vivo de registro: cada decisión, cada registro, cada justificación (PwC Alemania).
- Cumplimiento sostenible: La automatización incorporada ayuda a que cada actualización de mapeo y evidencia impulse su próxima ola de logros de cumplimiento, no solo satisfaga la auditoría actual (Comisión Europea).
Su proceso de cumplimiento debe ser repetible, defendible y verdaderamente a prueba de auditorías.
Comience con ISMS.online: asegúrese de que el estado de su entidad nunca se convierta en una responsabilidad y que cada cambio se convierta en un paso hacia un cumplimiento sostenible y resiliente.
Preguntas Frecuentes
¿Cómo identificar rápidamente el estado “esencial” o “importante” del NIS 2 y por qué es importante antes de su próxima auditoría?
Usted determina su estatus NIS 2 comparando su sector y actividades comerciales con los Anexos I y II, y luego midiendo el tamaño de su organización y los roles digitales específicos, documentando cada paso. El estatus "Esencial" se aplica a sectores como el energético, el financiero, el de la salud y... infraestructura digital Los proveedores del Anexo I, pero los pequeños proveedores de nube, DNS y de confianza también son "esenciales" debido a su función, no solo a su tamaño. La mayoría de los demás sectores se consideran "importantes" si cumplen los requisitos de tamaño del Anexo II, pero las exenciones para las microempresas son estrictas y exigen pruebas legales y justificadas.
La falta de evidencia de estatus o la falta de ella pueden frustrar una auditoría, intensificar la supervisión y generar sanciones inmediatas. Los reguladores y auditores ya no aceptan la frase "no estamos seguros" ni el "mapeo del año pasado"; desean ver evidencia actualizada y defendible que demuestre el estatus de su entidad en tiempo real.
Los reguladores recurren a sus registros, no a su memoria: su mapeo debe defenderse, no solo explicarse.
Evaluación del estado de la vía rápida
- Asigne la actividad principal al Anexo I (esencial) o al Anexo II (importante); la columna vertebral digital (nube, confianza, DNS) activa “esencial” independientemente del tamaño.
- Verifique el FTE y la facturación con datos actuales, no con las cuentas del año pasado.
- Si abarca varios sectores (“híbrido”), se aplica el estado más estricto y cada entidad legal debe asignarse por separado.
- Guarde la documentación del tablero firmado y la lógica de mapeo; las listas ad hoc invitan a riesgos.
- Actualice el mapeo después de cualquier evento clave (fusión y adquisición, nuevo servicio importante o pico de crecimiento); no solo una vez al año.
Referencia: garantiza que su clasificación esté anclada en la última aplicación nacional.
¿En qué aspectos las clasificaciones NIS 2 suelen fallar y qué definiciones causan dolores de cabeza en las auditorías?
La confusión sobre el tipo de entidad se origina por tres razones: un mapeo poco claro del sector y las actividades digitales, datos obsoletos de ETP/facturación, y una mala comprensión de a quién se aplican las anulaciones de "actividad". Por ejemplo, un pequeño operador de DNS es "esencial" incluso con menos de 50 empleados, mientras que una filial de fabricación puede ser "importante" solo si es lo suficientemente grande, o "esencial" si el mapeo de grupos la retrasa.
Las organizaciones híbridas, las filiales y los grupos son un punto crítico en la regulación: el mapeo debe ser específico para las entidades legales, no para los promedios del grupo, y el "establecimiento principal" es donde se realizan las operaciones digitales principales. Los errores de clasificación a menudo se deben a revisiones anuales, cambios sectoriales no detectados o suposiciones erróneas sobre la condición de exento.
- Reglas de la columna vertebral digital: La actividad supera al tamaño: los proveedores de nube de cinco personas son “esenciales”.
- Ambigüedad de grupo/subgrupo: Se asigna cada entidad jurídica y se aplica el estado más estricto si las categorías se superponen.
- Lagunas heredadas cerradas: El estatus NIS 1 o las exenciones nacionales pasadas son nulas: comience desde cero.
- Mandato de frecuencia: Cada evento material, no solo el de fin de año, desencadena una actualización del mapeo.
No actualizar después de una fusión y adquisición, la obtención de un cliente importante, una reestructuración legal o incluso un nombramiento en la junta directiva invita a tener problemas de auditoría: la evidencia debe basarse en eventos, no solo en ciclos.
Ver: Además, la justificación de su mapa debe tener marca de tiempo y estar archivada.
¿Qué paquete de evidencias protege su estatus en una auditoría regulatoria NIS 2?
Una auditoría NIS 2 no se aprueba con hojas de cálculo estáticas; requiere una cadena de evidencia viva, respaldada por la revisión ejecutiva y actualizaciones frecuentes y versionadas. Se examinará minuciosamente no solo su mapeo actual, sino también el historial de cambios, las actualizaciones activadas por eventos (p. ej., nuevos servicios, fusiones) y las solicitudes de exención registradas a nivel de junta directiva. Cada solicitud, ya sea esencial, importante o exenta, debe estar documentada y ser recuperable en minutos.
Elementos esenciales de la evidencia de auditoría
| Tipo de evidencia | Proposito | Ejemplo de artefacto |
|---|---|---|
| Registro de mapeo | Justificación de los registros, actualizaciones con marca de tiempo | Registro versionado y fechado por evento |
| Actas de aprobación de la junta | Muestra supervisión y clasificación | Acta firmada, documento de aprobación |
| Documentación de FTE/facturación | Confirma los umbrales actuales | Panel de nóminas, pérdidas y ganancias y RR.HH. |
| Prueba de sector/actividad | Estado de la entidad de anclajes | Declaración de mapeo regulatorio |
| Registros de exención | Apoyo legal para reclamaciones | Declaración de la junta, memorando legal |
La evidencia viva, vinculada y firmada, convierte el mapeo del riesgo en resiliencia.
Mantenga los artefactos centralizados dentro de su SGSI, listos para su divulgación instantánea; trate cada cambio de estado como un disparador de cumplimiento, no como un registro histórico.
Referencia: Las mejores prácticas de auditoría exigen niveles de preparación para auditoría de Holland & Hart, 2024.
¿Cuál es el riesgo si el mapeo se retrasa, aparecen errores o el estado de la entidad es incorrecto?
Un mapeo incorrecto u obsoleto conlleva medidas regulatorias rápidas: correcciones obligatorias, advertencias públicas y multas de hasta 10 millones de euros para entidades "esenciales". El impacto va más allá: los registros públicos de errores socavan las licitaciones, bloquean las fusiones y adquisiciones y erosionan la confianza, mientras que los fallos frecuentes implican un aumento de las auditorías y la pérdida de... confianza de la pareja.
Su mejor defensa no es la perfección, sino la rapidez y la minuciosidad: si el mapeo es incorrecto, corríjalo en cuestión de días, registre la acción y obtenga la aprobación de la junta. Solo se considera "buena fe" si sus registros demuestran acciones en tiempo real y son anteriores a la auditoría.
La verdadera brecha de cumplimiento no es un solo error, sino la ausencia de evidencia cuando más importa.
Escalera de consecuencias:
- Aplicación: Correcciones obligadas por plazos, multas importantes y divulgación pública del incumplimiento.
- Impacto en el mercado: El riesgo para la reputación de clientes y socios dura más que los períodos de penalización.
- Arrastre operativo: Pérdida de agilidad empresarial en licitaciones o diligencias debidas, condiciones de seguro más duras y auditorías más frecuentes.
- Remediación: Una acción rápida y archivada por el tablero puede mitigar las sanciones, pero sólo si los registros existían antes de la infracción.
Otras lecturas: CGSH, 2024.
¿Cómo se adapta el mapeo NIS 2 a grupos, subsidiarias o modelos de negocios rápidamente cambiantes, especialmente los transfronterizos?
Debe recopilar información sobre el mapeo y las pruebas de cada entidad legal; ningún mapeo promedio de grupo ni de alcance general supera la inspección de un regulador. El establecimiento principal se refiere a donde se toman las decisiones digitales, no a la sede central. Si una sola entidad "esencial" se encuentra en su grupo, la sobrecarga regulatoria de todo el grupo podría aumentar. Siempre archive las instantáneas del mapeo después de eventos como nuevos lanzamientos, entradas al mercado, fusiones y adquisiciones o cambios de liderazgo.
Un enfoque a prueba de balas registra tanto el evento (qué sucedió) como el resultado del mapeo (qué cambió), aprueba dentro del ciclo del tablero y almacena cada exportación para una auditoría posterior.
Desencadenantes de mapeo no negociables
- Nuevo servicio o mercado regulado, aunque sea piloto o de nicho.
- Cambios en la propiedad, fusión o estructura del grupo.
- La entidad supera el umbral de tamaño para FTE o facturación.
- Cambio importante en la junta directiva o en el ejecutivo.
Al regulador no le interesa su razonamiento, sólo el registro de eventos, la marca de tiempo y la firma.
Las revisiones mensuales y los registros basados en eventos son su escudo. Si las autoridades nacionales discrepan sobre la interpretación, registre toda la correspondencia y el asesoramiento legal para su futura defensa.
Para mapeo avanzado: Mills y Reeve, 2024.
¿Cómo se mantiene un mapeo NIS 2 verdaderamente “vivo” y quién es el propietario del proceso?
El mapeo dinámico implica una revisión regular por parte de los líderes después de cualquier evento significativo, con registros firmados y archivados en cada ocasión. Designe a un responsable de cumplimiento normativo (normalmente el CISO o similar) que realice el mapeo al menos trimestralmente y después de cualquier desencadenante importante. Los MSP y SaaS pueden ayudar a preparar los registros, pero solo la entidad puede firmar y demostrar la propiedad.
El mapeo proactivo significa que usted puede demostrar el cumplimiento no solo en una auditoría, sino también a pedido, convirtiendo el mapeo de un factor estresante en una insignia de liderazgo.
Las organizaciones con mapeo viviente convierten la ansiedad por auditoría en una ventaja competitiva: lo reactivo ya no es necesario y la resiliencia es el nuevo punto de partida.
Disciplina del mapeo viviente:
- Revise el mapeo después de cada evento clasificatorio o trimestralmente, lo que ocurra primero.
- Almacene registros de mapeo versionados, vinculados a las aprobaciones del tablero, dentro de su plataforma ISMS.
- Exporte y archive cada ciclo de mapeo; la preparación siempre supera a la perfección.
- Los MSP y SaaS respaldan la preparación, pero la firma y la palabra final son suyas.
Lista de verificación: Pájaro y Baker, 2024.
ISO 27001 / Anexo A: Tabla de expectativas de mapeo de estado
| Expectativa | Acción requerida | Referencia ISO/Anexo |
|---|---|---|
| Autocomprobación de sector y tamaño | Árbol de mapeo, FTE, artefactos del sector | 4.1, A.5.1, A.5.2, A.5.36 |
| A prueba de supervisión de la junta | Actas, revisión de la gestión, aprobación | 5.1, 5.3, 6.1, 9.3, A.5.35 |
| Actualizaciones de mapas en tiempo real | Registros, exportaciones de decisiones con marca de tiempo | 8.3, 9.1, 10.1, A.5.36 |
| Cobertura multientidad | Registros a nivel de entidad, instantáneas de grupo | 4.3, 5.2, 6.1.3, A.5.2, A5.21 |
Tabla de trazabilidad NIS 2
| Acontecimiento desencadenante | ¿Actualización de riesgos? | Referencia de control | Evidencia registrada |
|---|---|---|---|
| Nuevo servicio digital | Sí (sector) | A.5.1, A.5.35 | Registro de mapeo + minutos |
| Actividad de fusiones y adquisiciones | Sí (grupo) | A.5.2, A.5.21 | Tablero/legal, registro de mapeo |
| Cambio de tablero | Sí | 5.1, 5.3, A.5.35 | Actas de la junta firmadas |
| Superando la banda FTE | Sí (tamaño) | A.5.36, 9.1, 10.1 | Nómina, registros actualizados |
Su proceso de mapeo —propiedad del liderazgo, activado por eventos y con control de versiones— es su mejor defensa y ventaja competitiva para NIS 2. ISMS.online estructura, registra y automatiza estos flujos de trabajo para que pueda pasar del cumplimiento reactivo al liderazgo resiliente. Haga de su próxima auditoría una prueba de competencia, no solo un punto de control.
