Prepárese para la auditoría de la Directiva NIS2 de la UE y de DORA con análisis de brechas dirigido por sénior, controles de riesgo TIC y pruebas dirigidas por amenazas.
La preparación para NIS2 y DORA es el proceso estructurado de alinear su organización con la Directiva NIS2 de la UE (Directiva (UE) 2022/2555) y el Reglamento de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554), que abarca la gestión del riesgo TIC, la notificación obligatoria de incidentes, la supervisión de la cadena de suministro y de terceros, y las pruebas de resiliencia operativa, incluidas las pruebas de penetración dirigidas por amenazas (TLPT). CyberXplore actúa como su socio de asesoría independiente: nuestros consultores sénior, certificados con OSCP/CRTP/CREST, ejecutan evaluaciones de brechas prácticas, construyen la evidencia y la gobernanza que necesita y ofrecen TLPT alineadas con el marco TIBER-EU. Somos una consultoría especializada en seguridad ofensiva y cumplimiento, no una autoridad nacional competente: le preparamos de verdad para el escrutinio de supervisión en lugar de venderle una lista de comprobación sobre papel.
EU NIS2 Directive (2022/2555)DORA (Regulation 2022/2554)TIBER-EUISO 27001NIST CSFMITRE ATT&CK
Por qué CyberXplore
Solo evaluadores sénior (OSCP, CRTP, CREST)
Certificación ISO 27001 & ISO 9001
Retest gratuito + carta de certificación
Alcance y presupuesto a medida en 24 horas
Por qué es importante
NIS2 amplía drásticamente el alcance a miles de entidades 'esenciales' e 'importantes' en energía, transporte, salud, infraestructura digital, finanzas y proveedores de servicios gestionados, con la alta dirección considerada personalmente responsable y multas de hasta 10 millones de euros o el 2 % del volumen de negocio global.
DORA impone obligaciones vinculantes de riesgo TIC, notificación de incidentes y pruebas de resiliencia a las entidades financieras y a sus proveedores TIC terceros críticos, con plazos de notificación estrictos medidos en horas, no en días.
Ambos regímenes exigen evidencia de resiliencia operativa bajo condiciones de ataque reales: las TLPT avanzadas de DORA y las expectativas de pruebas de NIS2 no pueden satisfacerse solo con escaneos automatizados ni con autoatestaciones.
El riesgo de la cadena de suministro y de terceros TIC es ahora una obligación legal de primer orden: los reguladores esperan una supervisión documentada, controles contractuales y un análisis del riesgo de concentración en todo su parque de proveedores.
Alineado con los estándares del sector: EU NIS2 Directive (2022/2555) · DORA (Regulation 2022/2554) · TIBER-EU · ISO 27001 · NIST CSF · MITRE ATT&CK
Nuestra metodología
01
Aplicabilidad y alcance
Determinamos si le aplica NIS2 (entidad esencial frente a importante) o DORA (entidad financiera o tercero TIC crítico), mapeamos los sistemas, servicios y dependencias de proveedores dentro del alcance y acordamos los objetivos regulatorios del proyecto.
02
Evaluación de brechas
Nuestros consultores sénior evalúan su marco actual de gestión del riesgo TIC, la gobernanza, los procesos de incidentes y las pruebas de resiliencia frente a los artículos 20-23 de NIS2 y los cinco pilares de DORA, produciendo un registro de brechas priorizado con una titularidad clara.
03
Hoja de ruta de remediación y diseño de controles
Traducimos las brechas en una hoja de ruta de remediación pragmática y ordenada por riesgo, definiendo políticas, tratamiento del riesgo, cláusulas contractuales para terceros, flujos de clasificación y notificación de incidentes y la evidencia que debe generar cada control.
04
Pruebas de penetración dirigidas por amenazas (TLPT)
Para el requisito de pruebas avanzadas de DORA ejecutamos ejercicios de red team dirigidos por inteligencia y alineados con TIBER-EU y MITRE ATT&CK, emulando actores de amenaza realistas contra sus funciones críticas para validar la detección, la respuesta y la resiliencia.
05
Notificación de incidentes y validación de resiliencia
Sometemos a prueba su capacidad de notificación de incidentes frente a los plazos de DORA y NIS2 (avisos tempranos, intermedios y finales) y validamos las medidas de continuidad de negocio y recuperación mediante ejercicios de mesa y técnicos.
06
Preparación para auditoría y paquete de evidencia
Reunimos un paquete de evidencia listo para la supervisión, informamos a su órgano de dirección sobre sus obligaciones de responsabilidad y proporcionamos una reevaluación para confirmar que las brechas remediadas están cerradas antes de cualquier interacción con un regulador o auditor.
Qué evaluamos
Determinación de la aplicabilidad de NIS2 / DORA y clasificación de la entidad
Marco de gestión del riesgo TIC, gobernanza y responsabilidad del órgano de dirección
Flujos de trabajo y plazos de detección, clasificación y notificación obligatoria de incidentes
Supervisión del riesgo de la cadena de suministro y de terceros TIC, contratos y riesgo de concentración
Estrategia de pruebas de resiliencia operativa digital y diseño del programa
Definición del alcance de las pruebas de penetración dirigidas por amenazas (TLPT) alineadas con TIBER-EU
Medidas de continuidad de negocio, respuesta TIC y recuperación (copias de seguridad, RTO/RPO)
Procesos de intercambio de información, inteligencia de amenazas y gestión de vulnerabilidades
Controles de gestión de activos, configuración e identidades y accesos
Revisión de políticas, evidencia y documentación frente a los artículos de NIS2 y DORA
Qué obtiene
Memorando de aplicabilidad y alcance que confirma las obligaciones de NIS2 o DORA
Informe detallado de evaluación de brechas asignado a los artículos 20-23 de NIS2 y a los cinco pilares de DORA
Hoja de ruta de remediación priorizada con responsables, estimaciones de esfuerzo y fechas objetivo
Manual de notificación de incidentes alineado con los plazos de notificación regulatorios
Registro de riesgos de terceros / cadena de suministro y orientación sobre cláusulas contractuales
Informe de pruebas de penetración dirigidas por amenazas (TLPT) con narrativa de ataque y hallazgos de resiliencia (cuando esté dentro del alcance)
Paquete de evidencia listo para la supervisión y una sesión informativa sobre la responsabilidad del órgano de dirección
Ejemplo de entregable
Qué verá en su informe
Cada proyecto concluye con un informe claro y priorizado: hallazgos clasificados por severidad con puntuaciones CVSS, activos afectados y estado de remediación - además de un retest gratuito. Las cifras siguientes son ilustrativas.
Hallazgos por severidad
17 total
Critical
0
High
4
Medium
7
Low
6
High · CVSS 7.5CX-1902
MFA not enforced for administrative access
NIS2 Art.21(2)(j)Admin & VPN accountsOpen
High · CVSS 7.1CX-1908
No centralized logging & incident detection
NIS2 Art.21(2)(b)Production environmentOpen
Ejemplo ilustrativo: security control gap assessment - anonimizado a example.com.
Medium · CVSS 5.6CX-1914
Incident response plan untested
DORA Art.11IR programOpen
¿Quiere el informe de muestra anonimizado completo? Lo incluiremos con su presupuesto.
Cifras acumuladas del historial conjunto de proyectos de nuestro equipo
Compartido bajo NDA · detalles anonimizados
“Senior testers, fast turnaround, and a free retest that actually proved our fixes worked. They made our SOC 2 audit painless.”
SOC 2 passed first attempt
VE
VP of Engineering
Series B FinTech · Payments platform
FinTech
Certificaciones de nuestros testers
OSCP
CRTP
CREST
CEH
eWPTX
ISO 27001
ISO 9001
Preguntas frecuentes
NIS2 aplica a entidades medianas y grandes de 18 sectores considerados 'esenciales' o 'importantes', entre ellos energía, transporte, salud, infraestructura digital y proveedores de servicios gestionados. DORA aplica a las entidades financieras (bancos, aseguradoras, empresas de inversión, proveedores de criptoactivos y más) y a sus proveedores TIC terceros críticos. Comenzamos cada proyecto con una evaluación de aplicabilidad para que sepa exactamente qué obligaciones le vinculan, ya que algunas organizaciones quedan bajo ambos.
Llegue a su próxima auditoría con evidencias, no con promesas.
Indíquenos su marco y sus plazos: definiremos el alcance de su plan de preparación en 24 horas, desde el análisis de brechas hasta las evidencias listas para el auditor.