¿Qué es NIS2 y a quién afecta?
La Directiva NIS2 (Directiva UE 2022/2555, en vigor desde octubre de 2024) establece medidas de seguridad obligatorias para entidades esenciales e importantes en la Unión Europea. Sustituye a la Directiva NIS original y amplía significativamente el número de sectores y entidades afectadas.
Sectores obligados por NIS2 Anexo I (entidades esenciales)
- Energía: electricidad, gas, petróleo, hidrógeno, calefacción urbana
- Transporte: aéreo, ferroviario, marítimo, por carretera
- Banca y mercados financieros
- Salud: hospitales, fabricación farmacéutica, laboratorios
- Agua potable y aguas residuales
- Infraestructura digital: IXPs, DNS, TLD, proveedores cloud, data centers
- Gestión de servicios TIC (MSSP)
- Administración pública
- Espacio
Artículo 21 de NIS2: Medidas de gestión de riesgos
El Artículo 21 de la Directiva NIS2 establece las medidas técnicas y organizativas mínimas que deben implementar las entidades obligadas. Las siguientes aplican directamente al control de rondas de seguridad física:
Artículo 21(2)(a)
Políticas de análisis de riesgos y seguridad de los sistemas de información
Relevancia: Los registros de rondas son parte del análisis de riesgos físicos. La ausencia de registros verificables es un riesgo documentado.
Cobertura rondas.offline: rondas.offline genera logs firmados que alimentan el análisis de riesgos.
Artículo 21(2)(b)
Gestión de incidentes
Relevancia: Los incidentes detectados durante rondas (accesos no autorizados, equipos dañados) deben registrarse y reportarse en < 24 h al CSIRT nacional.
Cobertura rondas.offline: Alertas post-sync con timestamp verificable. Exportación en Syslog/CEF para integración SIEM.
Artículo 21(2)(c)
Continuidad de las actividades y gestión de crisis
Relevancia: Las rondas de seguridad deben continuar aunque los sistemas de información fallen. El modo offline es un requisito implícito.
Cobertura rondas.offline: rondas.offline opera 100% offline. Las rondas continúan aunque el SaaS esté caído.
Artículo 21(2)(e)
Seguridad de la cadena de suministro
Relevancia: Los proveedores de seguridad física son parte de la cadena de suministro. Sus herramientas deben cumplir requisitos de cifrado y auditoría.
Cobertura rondas.offline: AES-256-GCM en reposo, TLS 1.3 en tránsito, logs firmados HMAC-SHA256.
Artículo 21(2)(g)
Prácticas básicas de ciberhigiene y formación en ciberseguridad
Relevancia: Los vigilantes que usan apps de rondas son parte de la superficie de ataque. La app debe minimizar el riesgo.
Cobertura rondas.offline: Sin datos sensibles en el dispositivo salvo los de ronda. Autenticación MFA opcional (obligatoria en plan Complete).
Artículo 21(2)(h)
Políticas y procedimientos relativos al uso de criptografía
Relevancia: Los registros de rondas deben cifrarse con algoritmos reconocidos.
Cobertura rondas.offline: AES-256-GCM (cifrado autenticado), TLS 1.3, HMAC-SHA256 para firma de eventos.
Artículo 21(2)(i)
Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos
Relevancia: El acceso a las herramientas de ronda y a los registros debe controlarse mediante roles definidos.
Cobertura rondas.offline: RBAC granular: roles por zona, turno y tipo de evento. MFA en plan Complete.
Seguridad física en NIS2
La NIS2 no es solo ciberseguridad. El Considerando 79 y el Artículo 21(2)(i) mencionan explícitamente la seguridad física como parte de las medidas de gestión de riesgos. Los operadores de infraestructura crítica deben demostrar que sus instalaciones físicas están bajo control y vigilancia documentada.
Trazabilidad de accesos físicos
Los reguladores exigen poder demostrar quién accedió a qué zona, cuándo y con qué propósito. Los registros de rondas son la evidencia primaria para zonas sin cámaras o con cobertura parcial.
Integridad de los registros
Un registro de ronda modificado o eliminado invalida la auditoría. Los timestamps verificables y la firma criptográfica de cada evento son requisitos implícitos de la NIS2.
Continuidad de la vigilancia
La vigilancia física no puede depender de la disponibilidad de sistemas de información. Las rondas deben continuar aunque el sistema central esté caído o no haya conectividad.
Continuidad del servicio y modo offline
El Artículo 21(1)(c) de NIS2 exige que las entidades obligadas implementen medidas para la continuidad de las actividades. Para la seguridad física, esto implica que las rondas deben continuar incluso cuando la infraestructura de TI falla o no hay conectividad.
Corte de internet en la instalación
Si la instalación pierde conectividad, las rondas continúan. Los eventos se almacenan en cola local y se sincronizan al recuperar red.
Fallo del servidor SaaS
Si la plataforma en la nube tiene una incidencia, las rondas continúan. El modo offline no depende del SLA de la plataforma.
Zona sin cobertura celular
Subestaciones eléctricas, sótanos, salas blindadas. Las rondas se certifican offline y se sincronizan al salir de la zona.
Cifrado y auditoría de registros
El Artículo 21(2)(h) exige políticas de criptografía. Estas son las medidas implementadas en rondas.offline:
| Estándar | Descripción | Alcance |
|---|---|---|
| AES-256-GCM | Cifrado autenticado para eventos almacenados en la cola offline (SQLite local). Conforme a NIST SP 800-38D. | Datos en reposo (dispositivo) |
| TLS 1.3 | Protocolo de transporte para toda comunicación entre la app y el servidor. Conforme a RFC 8446. | Datos en tránsito |
| HMAC-SHA256 | Firma de cada evento offline con la clave del token de integridad. Permite verificar que los eventos no han sido modificados. | Integridad de eventos |
| SHA-256 | Checksum de los lotes de sync para verificación end-to-end. | Integridad del sync |
Requisitos de notificación de incidentes
El Artículo 23 de NIS2 establece plazos de notificación de incidentes al CSIRT nacional (en España, el INCIBE-CERT para entidades privadas y el CCN-CERT para la Administración Pública). Los incidentes detectados durante rondas pueden desencadenar estos plazos.
Alerta temprana al CSIRT
Notificación de que se ha producido un incidente significativo. Los logs de ronda post-sync son la evidencia de detección.
Notificación de incidente
Notificación completa con evaluación inicial del impacto. Los registros de ronda aportan el contexto de la detección física.
Informe final
Informe detallado del incidente, incluyendo la línea temporal de eventos. Los logs exportados de rondas.offline en formato CEF son admisibles como evidencia.
Matriz de cumplimiento rondas.offline — NIS2
Mapa de cobertura de los requisitos del Artículo 21 de la Directiva NIS2 con las capacidades de rondas.offline.
| Requisito NIS2 | Cobertura | Plan |
|---|---|---|
| Art. 21(2)(b) — Gestión de incidentes y reporte < 24 h | Alertas post-sync con timestamp verificable. Exportación Syslog/CEF para SIEM. | Pro + Complete |
| Art. 21(2)(c) — Continuidad del servicio | Modo offline 100%: las rondas continúan aunque el SaaS esté caído. | Todos |
| Art. 21(2)(e) — Seguridad de la cadena de suministro | AES-256-GCM, TLS 1.3, logs firmados HMAC-SHA256. Documentación bajo NDA. | Todos |
| Art. 21(2)(h) — Políticas de criptografía | AES-256-GCM (reposo), TLS 1.3 (tránsito), HMAC-SHA256 (firma de eventos). | Todos |
| Art. 21(2)(i) — Control de acceso y RBAC | RBAC por zona, turno y tipo de evento. MFA opcional (Pro) / obligatorio (Complete). | Pro + Complete |
| Art. 21(2)(i) — Seguridad física documentada | Logs de ronda firmados, exportables, con trazabilidad completa de accesos físicos. | Todos |
| Conectores SIEM (Splunk, Sentinel) | Conectores certificados Splunk Enterprise y Microsoft Sentinel. | Complete |
| SLA contractual (RTO, RPO) | SLA 99,9%, RTO 4 h, RPO 15 min. Add-on: 99,95%, 24/7. | Complete |
Esta matriz es orientativa. La conformidad final depende de la implementación específica del cliente y de la evaluación por el CISO y DPO de la entidad. La matriz completa firmada está disponible previa NDA.