NIS2 y DORA han hecho algo que pocas regulaciones consiguen: mover la responsabilidad de ciberseguridad hacia arriba en el organigrama. Ya no es un asunto del departamento de IT. Es una responsabilidad del Consejo de Administración. Y ahí está el problema: muchos consejos no saben con qué nivel de madurez están gestionando esa responsabilidad, o directamente no saben que la tienen.

NIS2MM es una herramienta creada para responder esa pregunta. En cinco minutos y de forma gratuita, genera un score de gobernanza que mide cómo está supervisando el Consejo los riesgos tecnológicos de la organización, alineado con los requisitos de NIS2 y DORA. Detrás del proyecto está Casimiro Juanes, ex-Head of IT Security en Ericsson, ex-miembro del PSG (Permanent Stakeholders Group) de ENISA y profesor en IE Business School.

El cuestionario prácctico

El cumplimiento de NIS2 se está abordando en muchas organizaciones como un ejercicio documental: tener las políticas escritas, los procedimientos aprobados, las auditorías completadas. Lo que la directiva exige es diferente. Exige que el órgano de gobierno supervise activamente los riesgos tecnológicos, que entienda las capacidades reales de la organización, y que pueda responder ante un incidente con algo más que documentos.

El cuestionario esta pensado para tres roles clave dentro de las organizaciones: Miembro del consejo, Director Ejecutivo (CEO, COO o CHRO) o Director de ciberseguridad o Riesgos; ya que el diagnóstico tiene más valor cuando lo realizan las personas en esos roles.

Una vez elegido nuestro rol el cuestionario tiene unas diez preguntas. No son preguntas de checklist tipo «¿tiene usted política de contraseñas?». Son preguntas sobre capacidades reales de gobernanza.

Por ejemplo:

• ¿Cuál es tu línea de reporte formal y tu capacidad real de influir en decisiones estratégicas? Las opciones van desde «reporto en TI con influencia limitada a operativo» hasta «soy miembro del comité, presento al Consejo, tengo veto técnico documentado».
• ¿Con qué frecuencia y formato reportas al Consejo, y qué decisiones se documentan a partir de ese reporting? Las opciones van desde «no reporto al Consejo» hasta «trimestral + ad hoc, con comité que delibera sobre mis inputs».
• ¿Cómo se integran los riesgos de seguridad con el ERM corporativo? Desde «no existe ERM formal» hasta «co-responsable con CRO, input al mapa estratégico, apetito definido».
• ¿Qué metodología usas para cuantificar riesgo de seguridad y comunicarlo a la dirección? Desde matriz cualitativa Alto/Medio/Bajo hasta integración en pruebas de estrés con back-testing periódico.
• ¿Qué evidencias tienes de que la organización puede responder a un incidente grave? Desde «plan documentado no probado en simulación» hasta «programa continuo de table-top, red team y crisis communication con métricas».
• ¿Cómo gestionas el riesgo de terceros? Desde inventario incompleto hasta TPRM en ERM con concentración cuantificada y monitorización dinámica.
• Cuando identificas una amenaza emergente, ¿termina en decisión de inversión o en informe? Desde gestión reactiva hasta portfolio de opciones build/buy/partner con triggers y presupuesto.

Qué devuelve

El resultado es un score numérico sobre 100. En el ejemplo de la demo, una entidad financiera mediana bajo NIS2 + DORA obtuvo un 26/100, con el benchmark del sector situado entre 55 y 70, y un umbral regulatorio de 58. El diagnóstico fue claro: «por debajo del umbral regulatorio».

Pero lo más útil no es el número, sino lo que viene después. La herramienta identifica la mayor brecha concreta y ofrece una «pregunta para llevar a Dirección»: una pregunta específica que, según el resultado, el responsable debería hacer en su próxima reunión con el Comité o el Consejo.

Los benchmarks están basados en datos de ENISA NIS360 2024 y datos de supervisión de la EBA, lo que le da una referencia real y no genérica.

El valor que añade

NIS2MM no reemplaza una auditoría. Pero en cinco minutos y sin registrarse dice exactamente dónde está el gap más grande, con una pregunta concreta para empezar a trabajarlo. Accesible en nis2mm.eu.