Addon NIS2

El paquete de políticas del Addon NIS2 consolida cuatro políticas empresariales desarrolladas rigurosamente, estructuradas para maximizar el cumplimiento organizativo con los requisitos en evolución de la Directiva NIS2 de la Unión Europea. Cada política funciona como un dominio de control específico, permitiendo la adopción a nivel de sistema de mejores prácticas del sector para la gestión de riesgos, las pruebas de seguridad, la divulgación de vulnerabilidades y la autenticación segura en diversas unidades de negocio y tecnología. P41 – Política de gestión de riesgos de dependencia de proveedores ofrece mecanismos sólidos para identificar y mitigar riesgos sistémicos de la cadena de suministro. Detalla cómo las organizaciones deben mantener un registro de dependencia de proveedores, realizar evaluaciones de riesgos periódicas y aplicar límites de riesgo de concentración, incluidas estrategias de diversificación y planificación de contingencias para proveedores críticos. La política exige revisiones anuales y vincula el riesgo de la cadena de suministro directamente con la continuidad del negocio y la planificación de recuperación ante desastres. Los marcos de gobernanza requieren notificación a las autoridades y escalado cuando se produzcan escenarios de dependencia de alto riesgo o incumplimiento de terceros, cumpliendo tanto necesidades regulatorias como prácticas de gestión de riesgos. P40 – Política de pruebas de seguridad y red team estructura un programa integral de validación técnica para redes, aplicaciones e infraestructura. Prescribe escaneos de vulnerabilidades periódicos, pruebas de penetración y ejercicios de red team, cubriendo tanto dominios cibernéticos como físicos cuando corresponda. La política garantiza que todas las pruebas estén correctamente acotadas, autorizadas y registradas, y que los planes de remediación para las vulnerabilidades identificadas se sigan y verifiquen. Los hallazgos de las pruebas alimentan directamente el tratamiento de riesgos, los ciclos de mejora continua, y se revisan en procesos de gestión y auditoría, respaldando los mandatos regulatorios de medición de la eficacia y el aseguramiento técnico. P39 – Política de divulgación coordinada de vulnerabilidades establece un proceso claro para aceptar, revisar, remediar y divulgar vulnerabilidades. Especifica reglas de puerto seguro para informantes externos (incluidos investigadores, socios y clientes), aplica una respuesta rápida mediante un equipo de respuesta a vulnerabilidades dedicado y gestiona las comunicaciones internas y externas para avisos. La política se alinea con NIS2 y la guía de ENISA, garantizando que existan canales públicos para la divulgación, protección legal para informantes de buena fe y que los plazos de remediación y las prácticas de divulgación coincidan con estándares internacionales. Las métricas y las revisiones post mortem son integrales para la mejora continua del proceso. P38 – Política de comunicaciones seguras y autenticación multifactor (tipo PYME) está diseñada para ser desplegable por organizaciones con estructuras de seguridad simplificadas y sin centros de operaciones de seguridad (SOC) dedicados. Exige autenticación multifactor para todos los puntos de acceso y cuentas privilegiadas, y requiere canales cifrados para todas las comunicaciones internas y de emergencia. La política incluye responsabilidades específicas para usuarios, administradores de TI y Alta dirección, y permite excepciones documentadas con controles compensatorios cuando existan limitaciones técnicas. La auditoría continua y la formación periódica refuerzan la adopción, mientras que la gobernanza garantiza actualizaciones rápidas en línea con los cambios regulatorios y del panorama de amenazas. En conjunto, estas políticas crean una base sólida y defendible de cumplimiento de NIS2, con un mapeo estrecho a los requisitos legales, técnicos y de notificación de la UE, y ofrecen manuales operativos detallados para equipos de TI, riesgo, cumplimiento, adquisición, gestión de proveedores y funciones ejecutivas.