El que la llei li demana a la teva àrea
RGPD, NIS2, ENS, ISO 27001… noms diferents, exigències semblants. Això és el que toquen del teu terreny:
De la norma al control
L'articulat no diu "FIDO2" — però l'auditor sí que l'espera. Així traduïm la lletra de la llei a controls verificables i a l'evidència que et demanaran:
| Norma / article | Control tècnic esperat | Evidència que demana un auditor |
|---|---|---|
| NIS2 art. 21.2(j)Autenticació multifactor | MFA resistent al phishing —FIDO2/WebAuthn, passkeys— en accessos privilegiats i remots. OTP per app com a mínim acceptable a la resta; SMS, no. |
Política de control d'accés + export de configuració de l'IdP (Entra ID, Okta, Google Workspace) mostrant l'enforcement per grup. |
| NIS2 art. 21.2(c)Continuïtat i còpies | Backups 3-2-1 amb almenys una còpia immutable (object lock / WORM) o offline, i proves de restauració periòdiques contra RTO/RPO definits. |
Informe de test de restore datat, amb temps mesurats respecte a l'objectiu i qui el va executar. |
| RGPD art. 32Seguretat del tractament | Xifratge en trànsit (TLS 1.2+, idealment 1.3) i en repòs (AES-256); discos de portàtils amb FileVault/BitLocker gestionat centralment. |
Inventari de xifratge per sistema + procediment de gestió de claus (qui les custodia i com roten). |
| ENS op.accControl d'accés | Mínim privilegi: comptes d'administració separats, revisió periòdica de permisos i PAM quan hi ha escala. Baixes d'usuari el mateix dia. | Matriu de rols i permisos revisada, amb data, responsable i resultat de l'última revisió. |
| NIS2 art. 23Notificació d'incidents | Capacitat de detectar i classificar incidents significatius: alerta primerenca en 24 h i notificació en 72 h al CSIRT de referència (INCIBE-CERT / CCN-CERT). | Runbook de resposta amb rols i terminis + registre d'incidents, encara que sigui a zero. |
| NIS2 art. 21.2(e)Gestió de vulnerabilitats | Pegats prioritzats per explotabilitat real: CVSS com a base, corregit amb EPSS i el catàleg KEV de CISA. SLA per severitat. |
Informe mensual de vulnerabilitats amb SLAs complerts i excepcions justificades per escrit. |
| CorreuNIS2 art. 21.2 · higiene bàsica | SPF + DKIM + DMARC en p=reject, passant abans per p=none i p=quarantine mentre es monitoren els informes agregats. |
Registres DNS publicats + informes DMARC (rua) de l'últim trimestre. |
| NIS2 art. 21.2(d)Cadena de subministrament | Avaluació TPRM de proveïdors amb accés a dades o sistemes, clàusules de seguretat al contracte i encàrrec de tractament (RGPD art. 28) on toqui. | Registre de proveïdors avaluats amb criticitat, data i resultat de l'última revisió. |
| ENS op.exp.8Registre d'activitat | Logs centralitzats de sistemes crítics, retenció definida, rellotges sincronitzats per NTP i accés restringit al mateix log. | Política de logging + evidència de retenció i de qui pot llegir (i no esborrar) els registres. |
Mostra representativa, no el mapa complet. El Gap Analysis creua el teu abast real —actius, dades, sector, mida— amb l'articulat que de debò t'aplica.
Amb quins frameworks treballem
Prioritzar sense un marc de referència és opinar. Aquests són els nostres — i per a què fem servir cadascun:
La nostra base per ordenar la feina. Comencem per IG1 —la higiene essencial, 56 salvaguardes— i pugem a IG2 segons mida i exposició. Cada recomanació es traça fins a una salvaguarda concreta, no a un "best practice" genèric.
Mapem cada control CIS als 93 controls d'ISO 27002:2022 i a les mesures de l'ENS (categoria bàsica o mitjana, segons el cas). Implementes una vegada i cobreixes diversos marcs — sense feina duplicada.
Per al que exposes al web: ASVS com a llista de requisits verificables, nivell L1 o L2 segons la criticitat de l'aplicació. Requisits concrets i testejables, no un top-10 de titulars.
Com encaixem amb tu
Ni auditors que arriben per suspendre't, ni consultors que t'envien un PDF i desapareixen.
El teu stack és teu.
Recomanem de manera agnòstica: criteris i opcions, no marques. Tu tries l'eina — o mantens la que ja tens, si compleix el requisit. No cobrem comissió de ningú.
Propostes concretes.
Cada troballa arriba amb severitat, esforç estimat i una alternativa econòmica quan existeix. Res de "hauries de reforçar la seguretat": què canviar, en quin ordre i per què.
Nosaltres documentem.
Tu implementes; les polítiques, les evidències i les respostes als auditors les preparem nosaltres amb la plataforma. La paperassa del compliment deixa de ser el teu problema.
Parlem del teu stack?
Explica'ns què tens muntat i et tornem el mapa: què et demana la norma, què tens ja cobert i quina evidència falta. De tècnic a tècnic, sense fum.
hola@tria.consultingPrefereixes començar pel teu compte? Fes la revisió gratuïta (castellà) →