FRAMEWORK · NIS2

NIS2 — Directiva UE 2022/2555.
Cumple en semanas, no en meses.

Obligatorio desde octubre 2024 para entidades esenciales e importantes. Multas de hasta 10 millones € o 2% del volumen anual. Itamite cubre los requisitos técnicos del Art. 21 con evidencia firmada para tu autoridad competente (CCN-CERT en España).

Ver precios Demo NIS2

¿A quién aplica NIS2?

Entidades esenciales e importantes de sectores críticos UE: energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable y residual, infraestructura digital, gestión de servicios TIC B2B, espacio, AAPP digital, servicios postales, gestión de residuos, productos químicos, alimentación, manufactura crítica, fabricación digital, investigación.

Umbrales típicos: 50+ empleados o > 10M€ facturación anual. En España, el listado oficial lo publica el INCIBE-CERT. Si tienes dudas, INCIBE proporciona herramienta de auto-evaluación pública.

Multas: hasta 10M€ o 2% volumen anual (entidades esenciales), hasta 7M€ o 1,4% (entidades importantes). Responsabilidad personal del consejo de dirección por incumplimiento.

REQUISITOS ART. 21 — MEDIDAS TÉCNICAS

Mapeo NIS2 ↔ controles Itamite

Lo que exige NIS2 vs lo que Itamite recoge automáticamente.

Art. 21.2.a — Análisis de riesgos y políticas SI

Itamite cubre: Inventario completo de activos como input al análisis de riesgos. Postura de seguridad medida que alimenta la matriz de riesgo. Fuera de alcance: el análisis de riesgos formal y las políticas escritas son trabajo organizativo.

Art. 21.2.b — Gestión de incidentes

Itamite cubre: Auditoría inmutable hash-chain con trazabilidad completa. Detección de incidentes via alertas (cambio de configuración, desviación de postura). Comunicación con SIEM (Splunk, Sentinel, Elastic).

Art. 21.2.c — Continuidad de negocio

Itamite cubre: Inventario actualizado disponible para BCP/DRP. Itamite SLA Enterprise con RTO 1h, RPO 1h. Fuera de alcance: el BCP/DRP de tu organización en sí.

Art. 21.2.d — Seguridad cadena de suministro

Itamite cubre: SBOM público SPDX 2.3 + CycloneDX. SLSA Level 2 con build provenance. Sub-procesadores documentados públicamente. Detección de software EOL en tu flota.

Art. 21.2.e — Adquisición y mantenimiento de sistemas

Itamite cubre: Detección de parches pendientes, software EOL, versiones vulnerables conocidas (CVE). Despliegue centralizado de actualizaciones. Políticas declarativas que mantienen configuración correcta de forma continua.

Art. 21.2.f — Eficacia de medidas (medible)

Itamite cubre: Score de postura 0-100 medido objetivamente, comparable mes a mes. KPIs por control (qué % de activos pasa cada control). Tendencia temporal con evidencia. Esto es exactamente lo que NIS2 pide: "medidas eficaces y medibles".

Art. 21.2.g — Higiene básica + formación

Itamite cubre (parte higiene): antivirus, firewall, parches, cifrado disco, screen lock, configuración Office macros, USB control. Todos medidos automáticamente por agente. Fuera de alcance: formación del personal.

Art. 21.2.h — Cifrado

Itamite cubre: Detección de cifrado de disco (BitLocker, FileVault, LUKS) en cada activo. TPM versión, Secure Boot. Cifrado in-transit y at-rest de la propia plataforma. BYOK opcional.

Art. 21.2.i — Control de acceso y MFA

Itamite cubre: Detección cuentas administrador locales, cuenta Guest, auto-login, política contraseñas. SSO/SAML para acceso a la propia consola Itamite. MFA obligatorio para administradores. Auditoría de accesos.

Art. 21.2.j — Comunicaciones seguras de emergencia

Itamite cubre (próximo): Integración con Syphrax (mensajería voz/vídeo cifrada E2E) prevista Q4 2026. Mientras tanto: notificaciones via email cifrado, Slack, Teams.

PROCESO PRÁCTICO

De cero a NIS2-ready en 4-6 semanas

Semana 1: despliegue agente + inventario

Despliegue del agente Itamite vía GPO/Intune en tu parque. En 24-48h tienes inventario completo de hardware, software, configuración, parches.

Semana 2: activación NIS2 + medición baseline

Activas el framework NIS2 en Cumplimiento → Frameworks. Itamite mapea automáticamente los controles del agente a artículos NIS2. Tienes el baseline de cumplimiento actual.

Semanas 3-4: remediación

Aplicas correcciones masivas vía comandos remotos y políticas declarativas (BitLocker, antivirus, parches, configuración SMB). Itamite recomienda el orden por mayor impacto en porcentaje de cumplimiento.

Semana 5: documentación organizativa

Mientras Itamite mantiene las medidas técnicas, tu equipo prepara las políticas escritas, formación del personal, plan de continuidad, registro de proveedores TIC. Esto es trabajo organizativo no automatizable.

Semana 6: informe final + comunicación

Generas el informe NIS2 firmado SHA-256 desde Itamite. Lo combinas con la documentación organizativa. Comunicas a tu autoridad competente (INCIBE-CERT en España) tu conformidad.

PREGUNTAS FRECUENTES

Dudas habituales sobre NIS2

¿Mi empresa está sujeta a NIS2?

Si operas en sectores: energía, transporte, banca, sanidad, agua, infraestructura digital, gestión TIC B2B, AAPP digital, alimentación, química, manufactura crítica, espacio, postal, residuos, investigación. Y tienes 50+ empleados o 10M€+ facturación. Algunas microempresas también si son críticas.

¿NIS2 obliga a usar herramienta concreta como Itamite?

No. NIS2 es agnóstica de proveedor. Pero exige medidas técnicas eficaces y medibles, lo que en la práctica obliga a tener algún tipo de plataforma de gestión de activos y postura. Itamite es una opción europea y soberana diseñada específicamente para cubrir NIS2 con evidencia firmada.

¿La autoridad competente acepta el informe Itamite?

Sí. El informe NIS2 que Itamite genera incluye evidencia técnica con firma SHA-256 verificable, formato compatible con plantillas INCIBE-CERT. Aceptado en auditorías y verificaciones de conformidad realizadas hasta la fecha.

¿Qué pasa si tengo un incidente NIS2?

NIS2 obliga a notificar al CSIRT en 24h (alerta temprana), 72h (informe completo), y 1 mes (informe final). Itamite te ayuda con la auditoría inmutable que sirve como evidencia técnica del incidente, pero la notificación administrativa la debes gestionar tú.

¿Itrion Software es proveedor TIC sujeto a NIS2?

Sí. Itrion es entidad importante por categoría "proveedor de servicios gestionados TIC". Cumplimos NIS2 internamente: auditoría externa, plan de respuesta a incidentes, comunicación 24h al CSIRT, reportes semestrales a autoridad. Documentación bajo NDA disponible para clientes Enterprise.

¿Tienes auditoría NIS2 este año?

Demo de 45 min con caso real. Te enseñamos el informe NIS2 firmado y el plan de remediación.