Referencia · Artículo 21Última revisión el 05 may 2026
Las 21 medidas, explicadas con claridad.
El artículo 21 de la Directiva (UE) 2022/2555 enumera diez categorías de medidas de gestión del riesgo de ciberseguridad. Las hemos desglosado en 21 puntos de control concretos, agrupados según lo que su equipo debe entregar realmente.
§ 01
Gobernanza
- M.01Políticas de seguridad de la información — aprobadas a nivel de consejo
- M.02Roles, responsabilidades y rendición de cuentas formalmente documentados
- M.03Formación de los administradores sobre el riesgo de ciberseguridad
- M.04Revisión independiente anual del programa de seguridad
§ 02
Gestión de riesgos
- M.05Metodología de análisis de riesgos y registro de riesgos actualizado
- M.06Inventario de activos: sistemas de información y datos
- M.07Planes de continuidad de negocio y de gestión de crisis
- M.08Copias de seguridad: procedimientos de restauración probados
§ 03
Medidas técnicas
- M.09Autenticación multifactor en todos los accesos críticos
- M.10Política de criptografía y cifrado
- M.11Segmentación de red y principios de zero-trust
- M.12Gestión de vulnerabilidades y cadencia de parcheo
- M.13Detección y respuesta en endpoints (EDR)
- M.14Ciclo de desarrollo de software seguro
§ 04
Cadena de suministro
- M.15Evaluaciones de seguridad de proveedores
- M.16Cláusulas de seguridad contractuales para proveedores críticos
- M.17Monitorización continua de la exposición a terceros
§ 05
Gestión de incidentes
- M.18Playbooks de detección, clasificación y escalado
- M.19Alerta temprana 24 h al CSIRT
- M.20Notificación de incidente a 72 h con evaluación de gravedad
- M.21Informe final en el plazo de un mes
Acción · Iniciar la autoevaluación§ Acción
¿Listo para poner cifras a esto?
Haga la autoevaluación de 21 puntos. Puntuación en dos minutos. Salga con un plan de acción priorizado, listo para presentar a su consejo.