Lista de Verificación de Auditoría NIS2 — Paquete de Evidencia para Responsables de Cumplimiento

Propósito: Su Guía de Preparación para Auditoría NIS2 Lista para Usar

Esta lista de verificación está diseñada para los responsables de cumplimiento que preparan a su organización para una auditoría de cumplimiento NIS2. Está estructurada en torno a las diez áreas de requisitos especificadas en el artículo 21(2) de la Directiva NIS2 y proporciona, para cada área, los requisitos de control, la evidencia que necesita reunir, dónde encontrar esa evidencia y criterios claros de aprobación/rechazo.

Úsela como documento de trabajo. Imprímala, compártala con sus equipos y úsela para hacer seguimiento del progreso en la recopilación de evidencia. Un auditor evaluará si sus controles no solo están documentados, sino también implementados, efectivos y evidenciados.

Artículo 21(2)(a): Análisis de Riesgos y Políticas de Seguridad de los Sistemas de Información

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Política de seguridad de la información documentada y aprobada por el órgano de dirección	Documento de política firmado con control de versiones y registro de aprobación	Sistema de gestión documental; actas de reuniones del consejo/dirección	Aprobado: La política existe, está vigente (revisada en los últimos 12 meses) y tiene aprobación de la dirección documentada. Rechazado: Sin política, política desactualizada o sin evidencia de aprobación de la dirección.
Metodología de evaluación de riesgos definida y aplicada	Documento de metodología de evaluación de riesgos; evaluaciones de riesgos completadas; registro de riesgos	Plataforma GRC o sistema de gestión de riesgos; registros del equipo de seguridad de la información	Aprobado: La metodología está documentada, se aplica de forma consistente y el registro de riesgos está actualizado. Rechazado: Sin metodología, aplicación inconsistente o registro de riesgos desactualizado.
Planes de tratamiento de riesgos con propietarios asignados	Documentación del plan de tratamiento de riesgos; evidencia de implementación de controles; registros de aceptación del riesgo residual	Registro de riesgos; herramientas de gestión de proyectos; registros de aprobación de la dirección	Aprobado: Cada riesgo por encima del apetito tiene un plan de tratamiento con propietario nombrado y fecha objetivo. Rechazado: Riesgos sin tratar, planes sin propietarios o sin evidencia de progreso.

Artículo 21(2)(b): Gestión de Incidentes

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Plan de respuesta a incidentes que cubra detección, análisis, contención, erradicación y recuperación	Documento del plan de respuesta a incidentes; roles definidos y rutas de escalación; procedimientos de comunicación	Documentación de operaciones de seguridad; plataforma de gestión de incidentes	Aprobado: Existe un plan completo y actualizado que cubre todas las fases. Rechazado: Sin plan, cobertura incompleta o plan no actualizado tras cambios organizativos.
Procedimientos de clasificación y notificación de incidentes alineados con los plazos de NIS2	Documento de criterios de clasificación; procedimiento de notificación con flujos de trabajo de alerta temprana de 24 horas y notificación de 72 horas	Procedimientos de gestión de incidentes; registros de contacto del CSIRT	Aprobado: Existen criterios de clasificación claros; los plazos de notificación cumplen los requisitos de NIS2; los datos de contacto del CSIRT están actualizados. Rechazado: Sin esquema de clasificación, plazos incorrectos o canales de notificación desconocidos.
Evidencia de pruebas de respuesta a incidentes	Registros de ejercicios de mesa; resultados de simulaciones; documentación de lecciones aprendidas; acciones de mejora	Registros del equipo de seguridad; registros de formación; informes post-ejercicio	Aprobado: Al menos un ejercicio realizado en los últimos 12 meses con resultados documentados y acciones de mejora. Rechazado: Sin evidencia de pruebas o pruebas sin mejoras documentadas.

Artículo 21(2)(c): Continuidad de Negocio y Gestión de Crisis

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Plan de continuidad de negocio que cubra gestión de copias de seguridad y recuperación ante desastres	Documentos BCP y DR; RTOs y RPOs definidos; procedimientos de recuperación	Documentación del equipo de continuidad de negocio; registros de operaciones de TI	Aprobado: Existen planes para servicios críticos con RTOs/RPOs definidos y probados. Rechazado: Sin planes, planes no probados u objetivos de recuperación indefinidos.
Gestión de copias de seguridad con pruebas periódicas	Políticas de copia de seguridad; programas y registros de copia de seguridad; resultados de pruebas de restauración	Sistema de gestión de copias de seguridad; registros de operaciones de TI	Aprobado: Copias de seguridad periódicas con pruebas de restauración documentadas y exitosas. Rechazado: Sin política de copia de seguridad, sin pruebas de restauración o pruebas fallidas sin remediación.
Procedimientos de gestión de crisis	Plan de gestión de crisis; árboles de comunicación; procedimientos de notificación a partes interesadas; registros de ejercicios de crisis	Documentación corporativa de gestión de crisis; registros del equipo de comunicaciones	Aprobado: El plan existe con rutas de escalación claras y ha sido ejercido. Rechazado: Sin plan de crisis o sin evidencia de ejercicio.

Artículo 21(2)(d): Seguridad de la Cadena de Suministro

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Requisitos de seguridad en los contratos con proveedores	Cláusulas contractuales estándar de seguridad; contratos firmados con disposiciones de seguridad; registros de evaluación de seguridad de proveedores	Registros de adquisición/legal; plataforma de gestión de proveedores	Aprobado: Los proveedores críticos tienen requisitos de seguridad contractuales; las evaluaciones están documentadas. Rechazado: Sin cláusulas de seguridad en los contratos o sin programa de evaluación de proveedores.
Programa de evaluación de riesgos de proveedores	Metodología de evaluación de riesgos de proveedores; evaluaciones completadas para proveedores críticos; registro de riesgos de proveedores	Plataforma de gestión de proveedores; registros de adquisición; sistema de gestión de riesgos	Aprobado: Proveedores críticos e importantes evaluados con resultados documentados y calificaciones de riesgo. Rechazado: Sin evaluaciones de riesgos de proveedores o cobertura incompleta de proveedores críticos.
Controles de la cadena de suministro de software (SBOM, gestión de dependencias)	Registros de generación de SBOM; resultados de escaneo de dependencias; listas de componentes aprobados; políticas de componentes de terceros	Salidas del pipeline CI/CD; sistemas de gestión de artefactos; herramientas de escaneo de seguridad	Aprobado: SBOMs generados para el software entregado; las dependencias son escaneadas y gestionadas. Rechazado: Sin visibilidad de la composición del software o dependencias no gestionadas.

Artículo 21(2)(e): Seguridad de Redes y Sistemas de Información

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Controles de seguridad de red (segmentación, monitoreo, controles de acceso)	Documentación de arquitectura de red; políticas de segmentación; reglas de firewall; configuración de monitoreo de red	Sistemas de gestión de red; documentación de infraestructura; plataforma SIEM	Aprobado: La red está correctamente segmentada; el monitoreo está activo; los controles están documentados. Rechazado: Red plana, sin monitoreo o arquitectura de red sin documentar.
Monitoreo de seguridad y registro de actividad	Política de registro; configuración de retención de registros; reglas y alertas de monitoreo; paneles SIEM	Plataforma SIEM; infraestructura de registro; registros del centro de operaciones de seguridad	Aprobado: Los sistemas críticos están registrados; los registros se conservan según la política; monitoreo activo con reglas de alerta definidas. Rechazado: Brechas en la cobertura de registro, retención insuficiente o sin monitoreo activo.

Artículo 21(2)(f): Gestión y Divulgación de Vulnerabilidades

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Programa de gestión de vulnerabilidades	Política de gestión de vulnerabilidades; programas y resultados de escaneo; SLAs de remediación y seguimiento; proceso de excepciones	Herramientas de escaneo de vulnerabilidades; sistema de gestión de parches; plataforma GRC	Aprobado: Escaneo periódico con SLAs de remediación definidos; vulnerabilidades críticas atendidas dentro del SLA. Rechazado: Sin programa de escaneo, sin SLAs o incumplimientos crónicos de SLA sin escalación.
Proceso de divulgación coordinada de vulnerabilidades	Política de divulgación de vulnerabilidades (publicada); canal de contacto para investigadores; procedimiento de gestión de divulgación	Sitio web público; procedimientos del equipo de seguridad	Aprobado: Política de divulgación publicada con proceso claro y plazos de respuesta. Rechazado: Sin política de divulgación o sin mecanismo para informes externos de vulnerabilidades.

Artículo 21(2)(g): Políticas y Procedimientos para Evaluar la Efectividad

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Evaluación periódica de la efectividad de las medidas de ciberseguridad	Informes de auditoría interna; resultados de pruebas de penetración; métricas de seguridad y KPIs; registros de revisión de la dirección	Registros del equipo de auditoría interna; informes de pruebas de seguridad; paneles de la dirección	Aprobado: Evaluaciones periódicas realizadas (al menos anualmente) con hallazgos documentados y acciones de mejora. Rechazado: Sin evaluaciones de efectividad o evaluaciones sin acciones de seguimiento.

Artículo 21(2)(h): Criptografía y Cifrado

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Política de criptografía que cubra datos en tránsito y en reposo	Documento de política de criptografía; estándares de algoritmos aprobados y longitudes de clave; procedimientos de gestión de certificados; documentación del ciclo de vida de la gestión de claves	Biblioteca de políticas de seguridad de la información; sistema de gestión de PKI/certificados; sistema de gestión de claves	Aprobado: La política existe con algoritmos aprobados; los datos en tránsito y en reposo están cifrados según la política; el ciclo de vida de la gestión de claves está documentado. Rechazado: Sin política de criptografía, uso de algoritmos obsoletos o claves criptográficas no gestionadas.

Artículo 21(2)(i): Control de Acceso

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Política de control de acceso basada en mínimo privilegio y necesidad de conocer	Política de control de acceso; definiciones de acceso basado en roles; procedimientos de aprovisionamiento y desaprovisionamiento de acceso	Plataforma IAM; registros de incorporación/baja de RRHH; documentación de control de acceso	Aprobado: La política existe; el acceso se basa en roles; el aprovisionamiento/desaprovisionamiento está documentado y es oportuno. Rechazado: Sin política de control de acceso, privilegios excesivos o desaprovisionamiento tardío de las bajas.
Revisiones de acceso periódicas	Programas de revisión de acceso; registros de revisiones completadas; acciones de remediación derivadas de las revisiones	Plataforma IAM; herramienta de revisión de accesos; registros de cumplimiento	Aprobado: Revisiones de acceso realizadas al menos trimestralmente para acceso privilegiado y anualmente para acceso estándar; la remediación es rastreada. Rechazado: Sin revisiones de acceso o revisiones sin seguimiento de remediación.

Artículo 21(2)(i): Gestión de Activos

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
Inventario de activos que cubra todos los sistemas de red y de información	Inventario de activos/CMDB; esquema de clasificación de activos; asignaciones de propiedad de activos	CMDB/sistema de gestión de activos; plataforma de gestión de servicios de TI	Aprobado: Existe un inventario completo con clasificación y propietarios asignados; el inventario se actualiza periódicamente. Rechazado: Inventario incompleto, sin clasificación o propiedad no asignada.

Artículo 21(2)(j): Autenticación Multifactor y Autenticación Continua

Requisito de Control	Evidencia Necesaria	Dónde Encontrarla	Criterios de Aprobación/Rechazo
MFA implementado para acceso privilegiado y acceso remoto	Política de MFA; registros de inscripción en MFA; evidencia de configuración de aplicación de MFA	Configuración de la plataforma IAM/MFA; documentación de políticas de acceso	Aprobado: MFA aplicado para todo acceso privilegiado y remoto; la inscripción está rastreada; las excepciones están documentadas y son limitadas en tiempo. Rechazado: MFA no aplicado para acceso privilegiado, usuarios sin inscribir significativos o excepciones permanentes sin justificación.
Canales de autenticación y comunicación seguros	Configuración del sistema de autenticación; evidencia de canales de comunicación cifrados; políticas de gestión de sesiones	Plataforma IAM; configuración de red; documentación de arquitectura de seguridad	Aprobado: El tráfico de autenticación está cifrado; los controles de gestión de sesiones están implementados; se aplican protocolos seguros. Rechazado: Flujos de autenticación sin cifrar o gestión de sesiones débil.

Señales de Alerta que Indican No Conformidad

Durante la preparación para la auditoría, los responsables de cumplimiento deben buscar activamente las siguientes señales de alerta y abordarlas antes de que llegue el auditor:

• Políticas sin evidencia de implementación: Las políticas existen en papel pero no hay evidencia de que se sigan en la práctica. Los auditores buscarán evidencia operativa, no solo documentos.
• Documentación desactualizada: Evaluaciones de riesgos, políticas o procedimientos que no han sido revisados o actualizados en más de 12 meses.
• Sin participación del órgano de dirección: Sin evidencia de que el órgano de dirección haya aprobado medidas de ciberseguridad, haya recibido informes de riesgos o haya completado la formación requerida (artículo 20).
• Respuesta a incidentes nunca probada: Un plan de respuesta a incidentes que nunca ha sido ejercido mediante un ejercicio de mesa o simulación.
• Revisiones de acceso no realizadas: Sin evidencia de revisiones periódicas de acceso, especialmente para cuentas privilegiadas.
• Inventario de activos desconocido: Incapacidad de producir un inventario actualizado de redes y sistemas de información.
• Sin evaluaciones de seguridad de proveedores: Proveedores críticos sin evaluación de seguridad registrada.
• Evidencia manual sin controles de integridad: Evidencia que podría fácilmente ser fabricada o modificada, sin marcas de tiempo generadas por el sistema ni trazas de auditoría.
• Puntos únicos de fallo en controles clave: Funciones de seguridad críticas dependientes de un único individuo sin plan de respaldo o sucesión.
• Sin métricas de efectividad de controles: Incapacidad de demostrar que las medidas de seguridad están realmente funcionando, no solo desplegadas.

Requisitos de Integridad de la Evidencia

La calidad de su evidencia importa tanto como su existencia. Los auditores evaluarán si la evidencia es fiable y confiable. Para resistir el escrutinio, su evidencia debe cumplir estos estándares:

• Generada por el sistema: En la medida de lo posible, la evidencia debe ser generada automáticamente por los sistemas en lugar de creada manualmente. Los registros, informes y registros generados por el sistema son intrínsecamente más fiables que las hojas de cálculo compiladas manualmente.
• Con marcas de tiempo: Toda la evidencia debe llevar marcas de tiempo precisas que muestren cuándo ocurrieron las acciones, cuándo se realizaron las revisiones y cuándo se otorgaron las aprobaciones. Asegúrese de que los relojes del sistema estén sincronizados (NTP) para mantener la fiabilidad de las marcas de tiempo.
• A prueba de manipulación: La evidencia debe almacenarse en sistemas donde no pueda modificarse fácilmente con posterioridad. Los registros de auditoría inmutables, el almacenamiento de solo escritura y las comprobaciones de integridad criptográfica refuerzan la fiabilidad de la evidencia.
• Atribuible: La evidencia debe identificar claramente quién realizó cada acción. La responsabilidad individual requiere cuentas individuales; las cuentas compartidas socavan la atribución.
• Conservada apropiadamente: La evidencia debe conservarse durante un período suficiente para cubrir los ciclos de auditoría y los requisitos regulatorios. Defina períodos de retención y asegúrese de que se apliquen.

Estructura Sugerida del Paquete de Evidencia

Los responsables de cumplimiento deben organizar su paquete de evidencia en una estructura que se mapee directamente con los requisitos de NIS2, facilitando la navegación del auditor. Se recomienda la siguiente estructura de plantilla:

Estructura de Carpetas

• 01 — Gobernanza y Gestión de Riesgos (Art. 21(2)(a))
  • Política de seguridad de la información (vigente, firmada)
  • Metodología de evaluación de riesgos
  • Registro de riesgos actual con planes de tratamiento
  • Registros de aprobación del órgano de dirección
  • Registros de formación del órgano de dirección (artículo 20)
• 02 — Gestión de Incidentes (Art. 21(2)(b))
  • Plan de respuesta a incidentes
  • Criterios de clasificación de incidentes
  • Procedimientos de notificación y contactos del CSIRT
  • Registros de ejercicios y lecciones aprendidas
  • Registro de incidentes (anonimizado si es necesario)
• 03 — Continuidad de Negocio (Art. 21(2)(c))
  • Plan de continuidad de negocio
  • Plan de recuperación ante desastres
  • Política de copias de seguridad y resultados de pruebas de restauración
  • Procedimientos de gestión de crisis
  • Registros de ejercicios BCP/DR
• 04 — Seguridad de la Cadena de Suministro (Art. 21(2)(d))
  • Política de seguridad de proveedores
  • Registro de proveedores críticos
  • Registros de evaluación de proveedores
  • Cláusulas contractuales de seguridad estándar
  • Muestras de SBOM (para entrega de software)
• 05 — Seguridad de Redes y Sistemas (Art. 21(2)(e))
  • Documentación de arquitectura de red
  • Políticas y evidencia de segmentación
  • Configuración de monitoreo y registro
  • Reglas de alerta SIEM y procedimientos de respuesta
• 06 — Gestión de Vulnerabilidades (Art. 21(2)(f))
  • Política de gestión de vulnerabilidades
  • Programas de escaneo y resultados recientes
  • SLAs de remediación y métricas de cumplimiento
  • Política de divulgación de vulnerabilidades
• 07 — Evaluación de Efectividad (Art. 21(2)(g))
  • Informes de auditoría interna
  • Informes de pruebas de penetración
  • Métricas de seguridad y paneles de KPIs
  • Actas de reuniones de revisión de la dirección
• 08 — Criptografía (Art. 21(2)(h))
  • Política de criptografía
  • Algoritmos aprobados y longitudes de clave
  • Procedimientos de gestión de claves
  • Inventario de certificados
• 09 — Control de Acceso y Gestión de Activos (Art. 21(2)(i))
  • Política de control de acceso
  • Registros de revisión de accesos
  • Extracto de inventario de activos / CMDB
  • Esquema de clasificación de activos
• 10 — Autenticación (Art. 21(2)(j))
  • Política de MFA y evidencia de aplicación
  • Métricas de inscripción en MFA
  • Evidencia de canales de comunicación seguros
  • Registro de excepciones (si las hay)

Recursos Relacionados

Para orientación adicional sobre la preparación para la auditoría NIS2 y el cumplimiento, consulte:

• Descripción General del Cumplimiento NIS2
• Antes de que Llegue el Auditor: Lista de Verificación de Preparación para Auditoría CI/CD

---

Relacionado para Auditores

• Glosario — Definiciones en lenguaje sencillo de términos técnicos
• Playbook del Día de Auditoría
• Lista de Verificación de Preparación para Auditoría
• Cómo los Auditores Revisan los CI/CD

¿Nuevo en la auditoría de CI/CD? Comience con nuestra Guía para Auditores.