Artículo 21(2).

Las organizaciones deben establecer y mantener políticas de análisis de riesgos y seguridad de los sistemas de información. Esto incluye definir un marco de gobernanza, realizar evaluaciones de riesgos periódicas, mantener un registro de riesgos y establecer ciclos de revisión de las políticas de seguridad. La evaluación de Konforme cubre la madurez de las políticas, la completitud del registro de riesgos y la estructura de gobernanza.

Procedimientos para la prevención, detección y respuesta ante incidentes, incluyendo rutas de escalamiento y obligaciones de notificación. NIS2 introduce plazos estrictos de notificación de incidentes — una alerta temprana en 24 horas, una notificación de incidente en 72 horas y un informe final en un mes. Konforme realiza el seguimiento de la madurez de su gestión de incidentes y la preparación de su plan de respuesta.

Gestión de la continuidad de negocio, incluyendo la gestión de copias de seguridad, la recuperación ante desastres y la gestión de crisis. Las organizaciones deben garantizar que pueden mantener las funciones esenciales durante y después de un incidente. Konforme escanea sus configuraciones de copias de seguridad en la nube y evalúa la madurez de su documentación de BCP/DRP.

Aspectos relacionados con la seguridad en las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos. Esto incluye la evaluación del riesgo de proveedores, los requisitos contractuales de seguridad y la supervisión de la cadena de suministro en busca de vulnerabilidades. Konforme evalúa sus procesos de gestión de riesgos de proveedores y los controles de terceros.

Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluyendo la gestión y divulgación de vulnerabilidades. El escáner técnico de Konforme verifica sus configuraciones de AWS y Azure contra controles mapeados a NIS2 para segmentación de red, reglas de firewall, seguridad de VPC y gestión de vulnerabilidades.

Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad. Las organizaciones deben probar y evaluar regularmente su postura de seguridad. Konforme proporciona una puntuación continua que muestra exactamente dónde están sus brechas de cumplimiento y cómo evolucionan con el tiempo.

Prácticas básicas de higiene cibernética y formación en ciberseguridad para el personal. NIS2 requiere explícitamente que los órganos de dirección también reciban formación. Las campañas de formación de empleados de Konforme le permiten asignar reconocimientos de políticas y cuestionarios de seguridad, hacer seguimiento de la completitud y crear una pista de auditoría.

Políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado. El escáner técnico de Konforme verifica las configuraciones de cifrado en reposo y en tránsito en toda su infraestructura en la nube — buckets de S3, instancias de RDS, volúmenes de EBS, Azure Storage y más.

Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos. Esto cubre el ciclo de vida completo del empleado, desde la incorporación hasta la desvinculación, el control de acceso basado en roles y los principios de privilegio mínimo. Konforme verifica las configuraciones de IAM, las políticas de contraseñas y evalúa sus procesos de seguridad de RRHH.

El uso de soluciones de autenticación multifactor o autenticación continua, comunicaciones seguras de voz, vídeo y texto, y sistemas de comunicación de emergencia seguros dentro de la entidad. Konforme verifica la aplicación de MFA en sus cuentas en la nube y evalúa su postura de autenticación de forma integral.