{"id":1902,"date":"2026-03-25T16:57:17","date_gmt":"2026-03-25T15:57:17","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/nis2-articulo-21-mapeo-de-controles-ci-cd\/"},"modified":"2026-03-26T09:20:23","modified_gmt":"2026-03-26T08:20:23","slug":"nis2-article-21-ci-cd-controls-mapping","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/nis2-article-21-ci-cd-controls-mapping\/","title":{"rendered":"NIS2 Art\u00edculo 21 \u2014 Mapeo de Controles CI\/CD"},"content":{"rendered":"<h2>Descripci\u00f3n general: NIS2 Art\u00edculo 21 y las medidas de gesti\u00f3n del riesgo de ciberseguridad<\/h2>\n<p>El Art\u00edculo 21 de la Directiva NIS2 establece las medidas de gesti\u00f3n del riesgo de ciberseguridad de referencia que las entidades esenciales e importantes deben implementar. Para las organizaciones que dependen de pipelines CI\/CD para la entrega de software, estos requisitos se traducen directamente en controles de gobernanza de pipeline que los auditores y los responsables de cumplimiento deben evaluar.<\/p>\n<p>El Art\u00edculo 21 exige un <strong>enfoque de todos los riesgos<\/strong> \u2014 lo que significa que los controles deben abordar los riesgos en todo el ciclo de vida de entrega de software, no solo en la infraestructura de producci\u00f3n. Esto incluye entornos de compilaci\u00f3n, automatizaci\u00f3n de despliegue, gesti\u00f3n de artefactos y flujos de trabajo de aprobaci\u00f3n de cambios.<\/p>\n<p>La tabla a continuaci\u00f3n mapea cada requisito del Art\u00edculo 21 a los controles CI\/CD correspondientes y la evidencia que los auditores deben solicitar durante las evaluaciones.<\/p>\n<h2>Requisitos del Art\u00edculo 21 mapeados a controles CI\/CD<\/h2>\n<table>\n<thead>\n<tr>\n<th>Requisito NIS2 Art\u00edculo 21<\/th>\n<th>Control CI\/CD<\/th>\n<th>Evidencia para auditores<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Art. 21(2)(a)<\/strong> \u2014 An\u00e1lisis de riesgos y pol\u00edticas de seguridad de sistemas de informaci\u00f3n<\/td>\n<td>Pol\u00edtica de seguridad de pipeline documentada que abarca las etapas de compilaci\u00f3n, prueba y despliegue; evaluaciones peri\u00f3dicas de riesgos de la infraestructura CI\/CD<\/td>\n<td>Documentos de pol\u00edtica aprobados con historial de versiones; informes de evaluaci\u00f3n de riesgos que hacen referencia a activos CI\/CD; registros de aprobaci\u00f3n por parte de la direcci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(b)<\/strong> \u2014 Gesti\u00f3n de incidentes<\/td>\n<td>Procedimientos de respuesta a incidentes en pipelines; alertas autom\u00e1ticas en fallos de compilaci\u00f3n\/despliegue; mecanismos de reversi\u00f3n<\/td>\n<td>Libros de jugadas de respuesta a incidentes espec\u00edficos para fallos de pipeline; registros de configuraci\u00f3n de alertas; registros de incidentes que muestran los plazos desde la detecci\u00f3n hasta la resoluci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(c)<\/strong> \u2014 Continuidad del negocio y gesti\u00f3n de crisis<\/td>\n<td>Planes de redundancia de pipeline y recuperaci\u00f3n ante desastres; copias de seguridad de configuraciones de pipeline y secretos; objetivos de tiempo de recuperaci\u00f3n para la infraestructura de compilaci\u00f3n<\/td>\n<td>Planes de continuidad del negocio que cubren los sistemas CI\/CD; procedimientos de recuperaci\u00f3n documentados; resultados de pruebas de ejercicios de DR; registros de verificaci\u00f3n de copias de seguridad<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(d)<\/strong> \u2014 Seguridad de la cadena de suministro<\/td>\n<td>Pol\u00edticas de gobernanza de dependencias; registros aprobados y cat\u00e1logos de im\u00e1genes base; evaluaciones de proveedores para los proveedores de herramientas CI\/CD; generaci\u00f3n de Software Bill of Materials (SBOM)<\/td>\n<td>Listas de dependencias aprobadas; registros SBOM por versi\u00f3n; informes de evaluaci\u00f3n de riesgos de proveedores; flujos de trabajo de aprobaci\u00f3n de componentes de terceros<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(e)<\/strong> \u2014 Seguridad en la adquisici\u00f3n, desarrollo y mantenimiento de redes y sistemas de informaci\u00f3n<\/td>\n<td>Est\u00e1ndares de configuraci\u00f3n segura de pipelines; separaci\u00f3n de entornos (dev\/staging\/producci\u00f3n); puertas de an\u00e1lisis de seguridad automatizadas<\/td>\n<td>L\u00edneas base de configuraci\u00f3n de pipelines; documentaci\u00f3n de arquitectura de entornos; pol\u00edticas de puertas de an\u00e1lisis y registros de aprobaci\u00f3n\/rechazo<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(f)<\/strong> \u2014 Pol\u00edticas y procedimientos para evaluar la eficacia de las medidas de gesti\u00f3n del riesgo de ciberseguridad<\/td>\n<td>M\u00e9tricas e indicadores clave de rendimiento (KPI) de seguridad de pipelines; auditor\u00edas peri\u00f3dicas de pipelines; revisiones de eficacia de controles<\/td>\n<td>Informes de panel sobre tasas de aprobaci\u00f3n de puertas de seguridad; hallazgos de auditor\u00eda y seguimiento de remediaci\u00f3n; actas de revisi\u00f3n por parte de la direcci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(g)<\/strong> \u2014 Pr\u00e1cticas b\u00e1sicas de ciberhigiene y formaci\u00f3n en ciberseguridad<\/td>\n<td>Formaci\u00f3n de desarrolladores sobre el uso seguro de pipelines; procedimientos de incorporaci\u00f3n documentados para el acceso a pipelines<\/td>\n<td>Registros de finalizaci\u00f3n de formaci\u00f3n; listas de verificaci\u00f3n de incorporaci\u00f3n; materiales del programa de concienciaci\u00f3n sobre seguridad CI\/CD<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(h)<\/strong> \u2014 Pol\u00edticas y procedimientos relativos al uso de criptograf\u00eda y cifrado<\/td>\n<td>Pol\u00edticas de gesti\u00f3n de secretos; cifrado de artefactos en tr\u00e1nsito y en reposo; requisitos de firma de c\u00f3digo<\/td>\n<td>Atestaciones de configuraci\u00f3n de herramientas de gesti\u00f3n de secretos; pol\u00edticas de cifrado; registros de verificaci\u00f3n de artefactos firmados; registros de gesti\u00f3n de certificados<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(i)<\/strong> \u2014 Seguridad de los recursos humanos, pol\u00edticas de control de acceso y gesti\u00f3n de activos<\/td>\n<td>Control de acceso basado en roles (RBAC) para sistemas de pipeline; inventario de activos de pipeline; procesos de incorporaci\u00f3n\/traslado\/baja para el acceso CI\/CD<\/td>\n<td>Matrices RBAC para herramientas de pipeline; registros de revisi\u00f3n de accesos; registros de activos que listan los componentes CI\/CD; registros de aprovisionamiento y desaprovisionamiento de acceso<\/td>\n<\/tr>\n<tr>\n<td><strong>Art. 21(2)(j)<\/strong> \u2014 Uso de autenticaci\u00f3n multifactor (MFA) y comunicaciones seguras<\/td>\n<td>Aplicaci\u00f3n de MFA en todas las interfaces de administraci\u00f3n de pipelines; canales de comunicaci\u00f3n cifrados entre componentes de pipeline<\/td>\n<td>Atestaciones de configuraci\u00f3n de aplicaci\u00f3n de MFA; registros de autenticaci\u00f3n que muestran el uso de MFA; evidencia de configuraci\u00f3n TLS\/mTLS para comunicaci\u00f3n entre componentes<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Qu\u00e9 deben verificar los auditores<\/h2>\n<h3>Capa de pol\u00edticas y gobernanza<\/h3>\n<ul>\n<li><strong>Existencia y vigencia de pol\u00edticas:<\/strong> Confirmar que existen pol\u00edticas de seguridad de pipeline, que est\u00e1n aprobadas por la direcci\u00f3n correspondiente y que han sido revisadas en los \u00faltimos 12 meses.<\/li>\n<li><strong>Adecuaci\u00f3n del alcance:<\/strong> Verificar que las pol\u00edticas cubren expl\u00edcitamente la infraestructura CI\/CD, no solo los sistemas de producci\u00f3n. Muchas organizaciones pasan por alto los entornos de compilaci\u00f3n en sus marcos de seguridad.<\/li>\n<li><strong>Cobertura de la evaluaci\u00f3n de riesgos:<\/strong> Comprobar que el registro de riesgos de la organizaci\u00f3n incluye riesgos espec\u00edficos de CI\/CD, como la manipulaci\u00f3n de pipelines, la filtraci\u00f3n de secretos y el envenenamiento de dependencias.<\/li>\n<\/ul>\n<h3>Capa de implementaci\u00f3n de controles<\/h3>\n<ul>\n<li><strong>Segregaci\u00f3n de funciones:<\/strong> Verificar que la persona que escribe c\u00f3digo no puede tambi\u00e9n aprobarlo y desplegarlo sin revisi\u00f3n independiente.<\/li>\n<li><strong>Trazabilidad de cambios:<\/strong> Confirmar que cada despliegue en producci\u00f3n puede rastrearse hasta una solicitud de cambio aprobada, una revisi\u00f3n de c\u00f3digo y un an\u00e1lisis de seguridad exitoso.<\/li>\n<li><strong>Controles de acceso:<\/strong> Solicitar evidencia de revisiones peri\u00f3dicas de acceso a las herramientas de administraci\u00f3n de pipelines. Buscar cuentas inactivas y privilegios excesivos.<\/li>\n<li><strong>Gesti\u00f3n de secretos:<\/strong> Confirmar que los secretos no est\u00e1n codificados directamente en las configuraciones de pipeline. Solicitar atestaci\u00f3n de las herramientas de gesti\u00f3n de secretos.<\/li>\n<\/ul>\n<h3>Capa de evidencia y monitorizaci\u00f3n<\/h3>\n<ul>\n<li><strong>Integridad de registros:<\/strong> Verificar que los registros de pipeline capturan qui\u00e9n activ\u00f3 un despliegue, qu\u00e9 se despleg\u00f3, cu\u00e1ndo se despleg\u00f3 y si todas las puertas requeridas pasaron.<\/li>\n<li><strong>Periodos de retenci\u00f3n:<\/strong> Confirmar que la retenci\u00f3n de registros cumple tanto con los requisitos de NIS2 como con la pol\u00edtica propia de la organizaci\u00f3n (normalmente un m\u00ednimo de 12\u201324 meses).<\/li>\n<li><strong>Protecci\u00f3n contra manipulaciones:<\/strong> Comprobar si los registros de pipeline se almacenan en un almacenamiento de solo adici\u00f3n o inmutable para evitar manipulaciones posteriores a los incidentes.<\/li>\n<\/ul>\n<h3>Se\u00f1ales de alerta a vigilar<\/h3>\n<ul>\n<li>Pol\u00edticas de seguridad de pipeline que simplemente hacen referencia a pol\u00edticas generales de TI sin controles espec\u00edficos de CI\/CD<\/li>\n<li>Sin evidencia de revisiones peri\u00f3dicas de acceso a las herramientas de pipeline<\/li>\n<li>Despliegues que omiten las puertas de aprobaci\u00f3n requeridas (buscar registros de despliegue de emergencia o anulaci\u00f3n sin justificaci\u00f3n posterior)<\/li>\n<li>Secretos visibles en los registros de pipeline o archivos de configuraci\u00f3n<\/li>\n<li>Sin gobernanza documentada de la cadena de suministro para dependencias de terceros<\/li>\n<\/ul>\n<h2>Recursos relacionados<\/h2>\n<p>Para una comprensi\u00f3n m\u00e1s profunda de c\u00f3mo los principios de arquitectura de seguridad de NIS2 se aplican a los entornos CI\/CD, consulte <a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/nis2-security-architecture-explained\/\">NIS2 Security Architecture Explained<\/a>.<\/p>\n<p>Para la biblioteca completa de recursos de cumplimiento de NIS2, visite nuestro <a href=\"https:\/\/regulated-devsecops.com\/es\/nis2\/\">NIS2 Compliance Hub<\/a>.<\/p>\n<hr\/>\n<h3>Relacionado para auditores<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/glosario\/\">Glosario<\/a> \u2014 Definiciones en lenguaje sencillo de t\u00e9rminos t\u00e9cnicos<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd\/\">DORA Article 21 Deep Dive<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/comparacion-de-arquitecturas-nis2-vs-dora\/\">NIS2 vs DORA Comparison<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/antes-de-que-llegue-el-auditor-lista-de-preparacion-para-auditorias-ci-cd\/\">Audit Readiness Checklist<\/a><\/li>\n<\/ul>\n<p><em>\u00bfNuevo en la auditor\u00eda CI\/CD? Comience con nuestra <a href=\"https:\/\/regulated-devsecops.com\/es\/por-donde-empezar\/\">Gu\u00eda para Auditores<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El Art\u00edculo 21 de la Directiva NIS2 establece las medidas de gesti\u00f3n del riesgo de ciberseguridad que las entidades esenciales e importantes deben implementar. Esta gu\u00eda mapea cada requisito a los controles CI\/CD correspondientes.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[132,135],"tags":[],"post_folder":[],"class_list":["post-1902","post","type-post","status-publish","format-standard","hentry","category-ci-cd-governance-es","category-regulatory-frameworks-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1902","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=1902"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/1902\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=1902"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=1902"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=1902"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=1902"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}