NIS2 Compliance Cloud: Requisitos y Checklist 2025

En enero de 2025, una mediana empresa de energía en la UE perdió 3,2 millones de euros en 14 horas de inactividad en su plataforma de gestión de activos desplegada en AWS. La causa: un fallo en la configuración de seguridad de su entorno de nube que violaba los nuevos requisitos de la Directiva NIS2. Este escenario ya no es una excepción: con la transposición completa de NIS2 en octubre de 2024 y su aplicación efectiva en 2025, cualquier organización que opere servicios digitales en la nube pública debe demostrar cumplimiento técnico detallado.

¿Qué es la NIS2 y por qué impacta directamente en tu estrategia de nube?

La Directiva NIS2 (Network and Information Security Directive 2) es la actualización de la normativa europea sobre seguridad de redes e información. Su ámbito se amplía a entidades esenciales (energía, transporte, salud, agua, infraestructura digital) y entidades importantes (proveedores de servicios digitales, nubes, centros de datos). La clave para los equipos de arquitectura cloud es que NIS2 establece medidas técnicas y organizativas que deben implementarse “de manera proporcionada al riesgo”, lo que en la práctica significa que los controles de seguridad nativos de AWS, Azure y Google Cloud deben configurarse explícitamente para cubrir cada requisito.

Según el informe de ENISA 2024, el 68 % de las entidades cubiertas por NIS2 ya han adoptado una estrategia cloud‑first, pero solo el 31 % contaba con un mapeo completo de controles NIS2 a servicios de nube pública. Esto deja un hueco crítico que los arquitectos deben cerrar antes de las auditorías de 2025.

Requisitos técnicos de la NIS2 para entornos cloud

NIS2 desglosa sus obligaciones en 10 dominios técnicos. En un entorno de nube pública, los más relevantes son:

1. Inventario y clasificación de activos – Saber qué recursos (máquinas virtuales, contenedores, bases de datos, funciones serverless) existen y su criticidad.
2. Políticas de control de acceso – Autenticación multifactorial (MFA), principio de mínimo privilegio, gestión de identidades Privileged Access Management (PAM).
3. Cifrado de datos – En reposo (AES‑256, AWS KMS, Azure Key Vault, GCP Cloud KMS) y en tránsito (TLS 1.3 mínimo).
4. Monitorización y detección de anomalías – Logs centralizados, SIEM nativo, correlación de eventos de seguridad.
5. Gestión de incidentes – Detección, clasificación, respuesta y reporte (24 h para incidentes significativos, 72 h para los graves).
6. Resiliencia y continuidad – Plan de recuperación ante desastres (DRP), réplicas multi‑zona, pruebas periódicas.
7. Seguridad de la cadena de suministro – Evaluación de proveedores de IaaS/PaaS, certificaciones (ISO 27001, SOC 2), clauses contractuales.
8. Seguridad de redes – Segmentación, firewalls virtuales, listas de control de acceso (ACL), VPN site‑to‑site.
9. Gestión de vulnerabilidades – Escaneo de imágenes de contenedores, parches automáticos, gestión de configuraciones.
10. Auditoría y documentación – Registros de auditoría, políticas de retención, evidencia de cumplimiento.

Mapeo de NIS2 a los servicios nativos de AWS, Azure y Google Cloud

Cada requisito NIS2 tiene una correspondencia directa con los servicios de los tres grandes proveedores. A continuación se muestra cómo mapearlos:

Detalles técnicos clave

• AWS Security Hub ofrece un plan Standard gratuito y un plan Advanced a 0,001 USD por recurso al día, que incluye correlación de hallazgos con NIST CSF.
• Microsoft Defender for Cloud (antes Azure Security Center) tiene planes Defender por nodo a partir de 15 USD/nodo/mes e incluye оценка уязвимостей (vulnerability assessment) para máquinas virtuales y contenedores.
• Google Cloud Security Command Center tiene niveles Standard (gratuito) y Premium (precios por evento, consultar la calculadora de GCP). La versión Premium integra Chronicle SIEM para correlación avanzada.
• AWS Config permite evaluar más de 120 reglas gestionadas (como iam-user-mfa-active) a un coste aproximado de 0,001 USD por configuración por mes.
• Azure Defender incluye Just‑In‑Time (JIT) para acceso a máquinas virtuales, reduciendo la superficie de ataque en un 92 % según datos de Microsoft 2024.
• GCP Cloud Armor ofrece reglas de protección contra DDoS con un SLA del 99,99 % para la capa de red.

Checklist de cumplimiento NIS2 para cloud en 2025

1. Realiza un inventario completo de activos

   • Ejecuta AWS Resource Explorer, Azure Resource Graph o GCP Asset Inventory.
   • Clasifica recursos por criticidad (alta, media, baja) y asigna etiquetas (tags) que reflejen el dominio NIS2 (p. ej., nis2:essential, nis2:important).
   • Genera un informe mensual de activos y guárdalo en un bucket S3, Blob Storage o Cloud Storage con versionado.

2. Refuerza la gestión de identidades y accesos

   • Activa MFA para todos los usuarios con acceso privilegiado.
   • Implementa el principio de mínimo privilegio con políticas de IAM (AWS), RBAC (Azure) o IAM (GCP).
   • Usa AWS SSO, Azure AD Conditional Access o Google Cloud Identity para federar identidades corporativas.
   • Configura sesiones de just‑in‑time (p. ej., Azure PIM approval workflow) para reducir la exposición.

3. Aplica cifrado en todas las capas

   • Habilita cifrado en reposo con claves gestionadas por el proveedor (AWS KMS, Azure Key Vault, GCP Cloud KMS).
   • Configura TLS 1.3 en todos los balanceadores (ALB, Application Gateway, Cloud Load Balancing).
   • Implementa cifrado en bases de datos: RDS Transparent Data Encryption (TDE), Azure SQL Always Encrypted, Cloud SQL customer‑managed encryption keys.

4. Centraliza logs y configura detección

   • Envía CloudTrail, Azure Activity Logs y Cloud Audit Logs a un destino de almacenamiento con vida útil mínima de 12 meses (requisito NIS2 para auditoría).
   • Activa GuardDuty, Defender for Cloud y Security Command Center para recibir alertas automáticas de anomalías.
   • Integra con un SIEM (Azure Sentinel, AWS Security Hub + Splunk, GCP Chronicle) para correlación y respuesta orquestada.

5. Define y automatiza la respuesta a incidentes

   • Crea un playbook de incidentes en AWS Systems Manager Incident Manager, Azure Logic Apps o GCP Cloud Functions.
   • Configura notificaciones en tiempo real via SNS, Service Bus o Pub/Sub.
   • Establece el SLA interno de 24 h para reporte inicial a la autoridad competente, tal como exige NIS2.

6. Diseña resiliencia multi‑zona y disaster recovery

   • Despliega aplicaciones críticas en al menos dos zonas de disponibilidad (AZ) en AWS, zonas en Azure o regiones en GCP.
   • Usa AWS Elastic Disaster Recovery, Azure Site Recovery o GCP Velostrata para pruebas trimestrales de recuperación.
   • Documenta el RPO y RTO en el plan de DR y revísalo con las partes interesadas.

7. Evalúa la seguridad de la cadena de suministro

   • Solicita los informes de SOC 2 Type II y ISO 27001 de tu proveedor IaaS/PaaS y archívalos.
   • Revisa las cláusulas contractuales sobre data residency y sub‑processors (GDPR + NIS2).
   • Si usas contenedores, escanea imágenes con Amazon Inspector, Defender for Cloud Container Registry scanning o GCP Container Analysis.

8. Implementa segmentación de red y controles perimetrales

   • Aplica Security Groups (AWS), NSGs (Azure) y VPC firewall rules (GCP) siguiendo el modelo de mínimo privilegio.
   • Despliega AWS Network Firewall, Azure Firewall o Cloud Armor para protección contra DDoS y filtrado de tráfico.
   • Configura Private Link o Private Service Connect para acceder a servicios PaaS sin exponer tráfico a Internet.

9. Automatiza la gestión de vulnerabilidades

   • Programa escaneos semanales con Amazon Inspector, Defender for Cloud y GCP Security Command Center.
   • Implementa parches automatizados con Systems Manager Patch Manager, Azure Update Management o GCP OS Config.
   • Registra los findings en un dashboard y define umbrales de severidad (crítico → remediación en 48 h, alto → 7 días).

10. Prepara la documentación para auditores

    • Genera informes de cumplimiento con AWS Artifact, Azure Security Center Regulatory compliance y GCP Security Command Center Compliance reports.
    • Mantén un registro de cambios de configuración (AWS Config, Azure Resource Graph, GCP Cloud Asset Inventory) con historial de 12 meses.
    • Documenta las políticas de acceso, cifrado y monitorización en un Security Policy Document (SPD) accesible para auditorías internas y externas.

Errores comunes y cómo evitarlos

• Subestimar el alcance de activos: Muchas organizaciones solo inventarian VMs y olvidan funciones serverless, buckets S3, o tablas DynamoDB. Solución: usa resource discovery automático y filtra por tags NIS2.
• No activar MFA en cuentas de servicio: Las cuentas de servicio (service accounts) sin MFA son un vector frecuente. Implementa Workload Identity Federation (AWS), Managed Service Identity (Azure) o Workload Identity Pool (GCP) para eliminar secrets estáticos.
• Logs insuficientes: Guardar solo los logs de auditoría por defecto (90 días) no satisface la retención de 12 meses. Configura exportación a S3/Blob/Cloud Storage con políticas de ciclo de vida.
• Olvidar la cadena de suministro: Usar imágenes de contenedores de terceros sin escaneo expone a vulnerabilidades conocidas. Establece una política de only‑approved images y automatiza el escaneo en tu CI/CD (p. ej., Amazon ECR, Azure Container Registry, Artifact Registry).
• No probar el plan de DR: Un DRP sin ejercicios periódicos es inútil. Programa simulacros trimestrales con métricas reales de RPO/RTO.

Conclusión

Cumplir la NIS2 compliance cloud en 2025 no es un ejercicio burocrático; es una necesidad operativa que impacta directamente en la continuidad del servicio y en la confianza de tus clientes. La buena noticia es que los proveedores de nube pública ofrecen herramientas nativas que, correctamente configuradas, cubren la mayoría de los requisitos de la directiva. La clave está en:

1. Inventariar y clasificar todos los recursos con etiquetas NIS2.
2. Aplicar controles de acceso, cifrado y monitorización de forma granular.
3. Automatizar la detección y respuesta a incidentes para cumplir los plazos de reporte.
4. Validar la resiliencia con despliegues multi‑zona y ejercicios de DR.
5. Gestionar la cadena de suministro de forma proactiva.

Siguiendo este cloud requirements checklist 2025 y mapeando cada paso a los servicios de AWS, Azure y Google Cloud, tu organización estará lista para superar las auditorías de NIS2 y, al mismo tiempo, fortalecer su postura de seguridad en la nube.