Reglyze está por debajo del umbral pyme de NIS2 del artículo 2(1).
Aplicamos voluntariamente las medidas del artículo 21 usando Reglyze (el producto) como sujeto y herramienta a la vez. Esto es dogfooding, no una obligación regulatoria. Publicamos esta página para que pueda verificar qué aspecto tiene realmente una base de evidencias NIS2 construida con IA antes de comprar.
Nuestra propia base de evidencias NIS2 — a la vista
Cada política, registro de formación, entrada de proveedor y KPI de eficacia de abajo se generó, puntuó y revisó dentro de Reglyze el producto, por el fundador de Reglyze la empresa, con el mismo plan que usan nuestros clientes de pago.
Documentamos toda nuestra base de evidencias NIS2 en menos de 1 hora.
Estimación manual de consultoría, a título comparativo: 80–120 horas.
Minutos de reloj del registro de tiempos de dogfooding (docs/research/self-compliance-timing.md). Incluye la generación por IA, la edición de Cyril y el paquete de revisión. Excluye la pausa nocturna de 36 horas entre fases.
La base manual es el límite inferior de los encargos típicos de consultoría NIS2 en la UE para pymes (5–25 empleados): 10–15 días de consultor sénior a 80–100 €/hora. Fuente: presupuestos de mercado de las redes de miembros de CLUSIF, Clusit y APDC (2025–2026).
19 May 2026
19 Aug 2026
Autoauditoría trimestral según el artículo 21(2)(f). El ciclo Q2-2026 se ejecutó el 19-05-2026 — 5 KPI revisados, 4 en objetivo + 1 por encima del objetivo, sin desviaciones por debajo. El ciclo sustituye los PDF anteriores en esta misma página; la métrica y las fechas se actualizan con cada ciclo.
Qué significa esta página
Reglyze (entidad legal) es una empresa de 5 personas y menos de 10 M€ de facturación — explícitamente por debajo del suelo de pequeña empresa que el artículo 2(1) de la Directiva NIS2 usa para incluir entidades en su ámbito. No podríamos presentar una notificación de incidente del artículo 23 ni queriendo; estamos fuera del ámbito de la directiva. Las razones honestas por las que aun así publicamos esta base de evidencias:
- Dogfooding. Si nuestros clientes recorren el producto Reglyze para construir una base de evidencias NIS2, el fundador debe recorrerlo primero. Los problemas encontrados en ese recorrido se convierten en tareas de producto (véase el brief del plan open source).
- Marketing. Quien evalúa una plataforma NIS2 construida con IA merece ver lo que la IA produce realmente. Una base de evidencias real aunque censurada es más honesta que una demo sintética.
- Futuras contrataciones. El día que Reglyze supere los 50 empleados o los 10 M€ de facturación, la directiva se aplicará. Las políticas de esta página forman la línea base contra la que seremos auditados. Construirlas ahora es más barato que construirlas contra reloj.
- Cadencia trimestral. El artículo 21(2)(f) pide una revisión periódica de eficacia. Nuestra cadencia voluntaria es trimestral — la misma que recomendamos a los clientes de pago.
Políticas y evidencias del artículo 21
Los 14 artefactos siguientes cubren las diez medidas de gestión de riesgos de ciberseguridad del artículo 21(2), más la formación del órgano de dirección del artículo 20(2) y las pruebas de eficacia del artículo 21(2)(f). Cada fila enlaza al PDF censurado cuando está publicado; las tarjetas marcadas Solo resumen llevan únicamente el extracto hasta que Cyril complete la pasada de censura por PDF.
Política de Seguridad de la Información
Política marco: análisis de riesgos, gobernanza, roles y responsabilidades. Aprobada por Cyril (único miembro del órgano de dirección) para la entidad Reglyze.
Plan de Respuesta a Incidentes
Detección → triaje → contención → erradicación → recuperación → lecciones aprendidas. El canal de comunicación con la autoridad es voluntario para Reglyze (fuera de ámbito según el artículo 2(1)), pero está documentado por exhaustividad.
Plan de Continuidad de Negocio
Objetivos RTO/RPO por nivel de servicio, rutas de conmutación (Hetzner primario + copia fría en Google Drive) y cadencia de ejercicios de simulación para el propio SaaS de Reglyze.
Plan de Copias de Seguridad y Recuperación ante Desastres
Volcados diarios de PostgreSQL vía rclone a Google Drive; rotación de 7 días en el servidor; simulacro de restauración en deploy-rollback.md. Dimensionado para el alcance de un fundador en solitario.
Política de Seguridad de la Cadena de Suministro
Lista de diligencia debida de proveedores, expectativas de DPA y cascada de notificación de brechas. Se aplica a la pila SaaS de 7 proveedores (Cloudflare, Hetzner, Anthropic, Stripe, GitHub, Resend, Google Drive).
Política de Control de Acceso
Modelo de mínimo privilegio, MFA en todas las superficies SaaS, flujo de altas/cambios/bajas (formalmente trivial con 5 personas, pero documentado). Fija el techo de la política para futuras contrataciones.
Política de Criptografía
TLS 1.3 en tránsito, AES-256 en reposo (PostgreSQL, MinIO, copia en GDrive), cadencia de rotación de claves, nada de criptografía casera. Heredada de los proveedores SaaS cuando procede.
Política de Gestión de Activos
Perímetro del inventario de activos (portátil + cuentas cloud), etiquetado, ciclo de vida y baja. Autodeclarada a escala individual; revisada trimestralmente.
Política de Seguridad del Personal
Lista de seguridad de incorporación, plantilla de NDA, requisito de formación y pasos de revocación de accesos a la salida. Dimensionada para la primera contratación; estado actual autodeclarado.
Política de Gestión de Vulnerabilidades
Dependabot + alertas de seguridad de GitHub como canal de entrada; SLA por severidad (crítica < 7 días, alta < 30 días); evidencia de parches en el historial de commits.
Política de MFA y Comunicaciones Seguras
MFA obligatoria en todas las superficies SaaS; aplicación de autenticación preferida (sin respaldo por SMS); matriz de canales seguros para comunicaciones sensibles (Signal para incidentes, GitHub para código).
Política de Pruebas de Eficacia
Cadencia de autoauditoría trimestral, definiciones de KPI (hoy: Mean Time To Detect < 2 días), evidencia de revisión almacenada junto a la fecha de última auditoría de esta página.
Plan de Formación en Ciberseguridad
Currículo anual de formación para el órgano de dirección (artículo 20(2)) y el personal (artículo 21(2)(g)). Con 5 personas es Cyril; marcado para validación por terceros en la próxima contratación.
Certificado de formación del órgano de dirección — artículo 20(2)
Cyril completó la formación del órgano de dirección de Reglyze el 17-05-2026 (a su ritmo, autodeclarada). Válida hasta el 17-05-2027. Honesta sobre su limitación a escala individual.
Registro de formación (artículo 20(2) + artículo 21(2)(g))
El órgano de dirección de Reglyze completó la formación del artículo 20(2) dentro del producto el 17-05-2026. Con 5 personas y un único fundador, el órgano de dirección es una sola persona; lo señalamos honestamente como una limitación de escala individual que activará formación validada por terceros en la próxima contratación.
NIS2 Article 20(2) — Management-Body Training
- Participante:
- Cyril Poder
- Completada:
- Válida hasta:
Escala individual, a su ritmo, autodeclarada. Validación por terceros marcada para la próxima contratación.
Registro de proveedores (artículo 21(2)(d))
Reglyze funciona sobre una pila SaaS de 7 proveedores. El registro recoge los datos compartidos, la puntuación de riesgo residual y la cadencia de revisión por proveedor. Publicamos los nombres abiertamente — véase la página Trust para la vista en vivo.
| Proveedor | Servicio | Criticidad |
|---|---|---|
| Cloudflare | CDN, DNS, WAF, terminación TLS | Crítica |
| Hetzner Online GmbH | Infraestructura cloud / alojamiento | Crítica |
| Anthropic | IA / LLM (API de Claude para la generación de documentos) | Crítica |
| Stripe | Procesamiento de pagos y facturación | Crítica |
| GitHub | Alojamiento del código fuente y CI/CD | Crítica |
| Google Workspace + Drive (vía rclone) | Destino de copias de seguridad externas | Alta |
| Resend | Entrega de correo transaccional | Media |
El registro completo, con puntuaciones de riesgo residual y fechas de revisión, vive en el producto. La clasificación de criticidad de arriba se corresponde con el campo audit_classification (critical / important / standard) que usa el cron de recordatorio de revisión de proveedores.
Pruebas de eficacia (artículo 21(2)(f))
El ciclo Q2-2026 (la primera auditoría trimestral del artículo 21(2)(f)) registró 5 KPI de eficacia frente a sus objetivos declarados: Mean Time To Detect (MTTD), Mean Time To Restore (MTTR), cumplimiento del SLA de parches críticos, ejecución del simulacro de restauración de copias y compleción de la revisión de proveedores. El número de KPI crecerá con las nuevas políticas — la espina dorsal está fijada.
| KPI | Subcontrol del artículo 21(2)(f) | Objetivo | Observado Q2-2026 | Estado |
|---|---|---|---|---|
Mean Time To Detect (MTTD) Tiempo desde que ocurre un evento de ciberseguridad hasta que Reglyze lo detecta. Monitor de disponibilidad de Hetzner + healthchecks de Docker a escala de CTO en solitario; sin SOC/SIEM. | nis2.21.2.f.1 | < 2 días | 0 incidentes | En objetivo |
Mean Time To Restore (MTTR) Tiempo desde la detección del incidente hasta el servicio totalmente restaurado. Copia previa al despliegue + rollback automático validados en dos simulacros de 2026-05 en menos de 3 minutos de reloj. | nis2.21.2.f.2 | < 4 horas | 0 incidentes | En objetivo |
Cumplimiento del SLA de parches críticos Porcentaje de PR de seguridad de Dependabot críticas/altas fusionadas en 7 días. Q2-2026: 3/3 (drizzle-orm, Next.js, @xmldom/xmldom). | nis2.21.2.f.3 | 100% | 100% | En objetivo |
Ejecución del simulacro de restauración de copias Simulacros de restauración con éxito por trimestre. Restauración en staging el 03-05-2026 + RESTORE_DB automático ante fallo de smoke validado el 15-05-2026. | nis2.21.2.f.4 | ≥ 1 / trimestre | 2 simulacros | Por encima del objetivo |
Compleción de la revisión de proveedores Porcentaje de proveedores dentro de la cadencia de revisión. 7/7 proveedores tienen next_review_due_at en el futuro a fecha de auditoría. | nis2.21.2.f.5 | 100% | 100% | En objetivo |
Los hallazgos por KPI y las acciones correctivas se registran en effectiveness_reviews en la base de producción (idempotente, solo-anexar). El próximo ciclo se cierra el 19-08-2026.
Los KPI no probados (MTTD, MTTR, cadencia de revisión de proveedores) son artefactos honestos de dogfooding — Reglyze tuvo cero incidentes de ciberseguridad en Q2-2026, así que los controles de detección y restauración no pudieron validarse empíricamente. El SLA de parches y el simulacro de restauración están validados cuantitativamente.
Resumen del ciclo de auditoría
Una única fila de audit_logs sella el cierre del ciclo. La firma del revisor es digital — la promesa del dogfooding: el órgano de dirección es Cyril, el único administrador que pasó por todas las pantallas.
Reglyze está fuera del ámbito de NIS2 según el artículo 2(1); esta auditoría es voluntaria. Cadencia fijada en trimestral — la misma recomendación que hacemos a los clientes de pago.
Garantías de integridad
Esta página forma parte del sitio web de Reglyze, se sirve como ruta estática de Next.js y los PDF censurados viven en control de versiones junto a ella. Cualquiera puede verificar la cronología:
- Fuente: apps/web/src/app/[locale]/compliance/page.tsx en el repositorio público de Reglyze.
- PDF: apps/web/public/compliance-artifacts/ — cada commit muestra el artefacto censurado + su fecha de aprobación.
- Métrica de horas ahorradas: registro fila a fila en docs/research/self-compliance-timing.md; el total citado arriba es la suma de reloj del agente en las tareas 1.2 – 1.7 de la Fase 1.
- Cadencia trimestral: docs/research/self-compliance/task-3.1/applied.sql es el recibo SQL idempotente del ciclo Q2-2026 (effectiveness_kpis + effectiveness_reviews + una fila de audit_logs action=effectiveness.quarterly_audit_completed). Reejecutarlo produce cero filas nuevas.
- Según la cadencia del artículo 21(2)(f), esta página se reaudita trimestralmente; las fechas de Última auditoría y Próxima auditoría son las anclas del ciclo.
¿Lo quiere para su empresa?
Inicie una evaluación de ámbito gratuita en cinco minutos. Si está fuera de ámbito según el artículo 2(1), como nosotros, puede construir igualmente la base de evidencias voluntaria en el plan Free. Si está en ámbito, el plan Pro de Reglyze cubre toda la superficie del artículo 21 con generación de documentos por IA, registro de proveedores y auditorías trimestrales.