NOUS IDF Pro Resilience v1.0 Demo interactiva · Infraestructuras Críticas NIS2 · 8 escenarios multi-sector
01 / 21
Infraestructura de Evaluación Determinista · Resilience
Gobernanza verificable
para sistemas de IA en
infraestructuras críticas.
8 escenarios en 6 sectores NIS2. Energía, agua, transporte aéreo, telecomunicaciones, sanidad y administración pública. Score IDF dimensional, checklist multi-normativo, Panel de Soberanía Digital, evidencia criptográfica. Artefactos audit-ready generados en ~4 segundos.
Pipeline G1→G7 · Motor M5 · Patente solicitada
G1
Ingesta
G2
Multi-run
G3
Dimensional
G4
Normativa
G5
Motor M5★
G6
Sellado
G7
Drift
Índice de escenarios · click para navegar
CUMPLIMIENTO
C1
Chatbot AAPP con GPT-4. Sin DPIA. Datos en EE.UU...
C2
IDS con IA en subestación. 3 falsos negativos...
RIESGO OPERACIONAL
R1
Previsión demanda eléctrica. Error 12% en pico...
R2
Triaje IA en urgencias. Paciente cardíaco clas...
TÉCNICO
T1
Detección fugas en red de agua. Proveedor ya n...
T2
Mantenimiento predictivo telecom. Vendor adqui...
ESTRATÉGICO
E1
Gestión tráfico aéreo asistida por IA. Override...
E2
Portfolio Dashboard. 7 sistemas. 2/7 conformes...
Parámetros del sistema
motorevaluación determinista
dimensiones5 (consistencia · normativa · robustez · integridad · soberanía)
marcosNIS2 · AI Act · ENS · CER · IEC 62443 · RGPD
sectoresenergía · agua · transporte · telecom · sanidad · AAPP
selladocriptográfico · verificable offline
modificaciónninguna — wrapper externo
latencia~4 segundos
Panel de Soberanía Digital
Evaluación determinista de la dependencia de proveedores de IA. Ubicación de procesamiento, control de actualizaciones, plan de contingencia. Primer producto del mercado que mide soberanía de IA verificablemente.
Módulo 01 · Cumplimiento
Cumplimiento
NIS2AI ACTENSRGPDIEC 62443
2 escenarios. Chatbot de AAPP con datos en EE.UU. IDS en subestación eléctrica sin plan de notificación. Evaluación determinista de conformidad regulatoria multi-marco.
C1CUMPLIMIENTOChatbot AAPP con GPT-4. Sin DPIA. Datos procesados en servidores de OpenAI en EE.UU...
AI ACT · ENS · RGPD Art.9 · NIS2 · Ley 40/2015
Chatbot con GPT-4 atiende consultas ciudadanas sobre prestaciones sociales y citas sanitarias.
Sin DPIA. Datos personales sensibles procesados fuera de la UE. Sin registro en inventario IA.
Score IDF
52NO CONFORME
Análisis dimensional · 5 ejes · M5 Resilience
Consistencia operacional68
68
Cumplimiento normativo35
35
Robustez y resiliencia58
58
Integridad cadena custodia62
62
Soberanía y estabilidad28
28
Checklist regulatorio
RGPD Art.35: sin DPIA para tratamiento de datos de salud y situación socioeconómica.
ENS: datos ciudadanos procesados en servidores OpenAI en EE.UU. Nivel alto exige procesamiento en territorio controlado.
AI Act Art.49: sistema no registrado en inventario de IA de la administración.
!
NIS2 Art.21.2.d: cadena de suministro no evaluada. OpenAI puede modificar GPT-4 sin aviso.
Con NOUS: artefacto documenta todos los gaps + plan de remediación priorizado.
Contexto
Comunidad autónoma. Chatbot con GPT-4 atiende 12.000 consultas/día sobre trámites, prestaciones sociales y citas sanitarias. Procesa datos sensibles.
Soberanía
FUERA UE · OpenAI EE.UU.
Sin control sobre actualizaciones. Sin plan de contingencia. Sin alternativa identificada.
Acciones
P0 — Suspender procesamiento datos salud hasta DPIA
P0 — Registrar sistema en inventario IA
P1 — Evaluar alternativa soberana (Mistral/modelo on-premise)
52
Score IDF
€12M
Exposición RGPD+NIS2
estado sellado · íntegro
ante AESIA · AEPD · CCN-CERT
soberanía FUERA UE · sin control
PANEL C1Transferencia internacional — El riesgo invisible
12.000 consultas/día con datos de salud y prestaciones sociales procesados en EE.UU.
SIN NOUS
Datos de 400.000
ciudadanos en
servidores de EE.UU.
Sin DPIA, sin registro, sin evaluación de proveedor. Si AESIA inspecciona: sanción máxima + crisis institucional.
DPIA realizadaNo
Datos en UENo
Exposición regulatoria€12M
Plan contingenciaNo
CON NOUS
Gaps identificados.
Plan de remediación
verificable.
NOUS genera artefacto que documenta todos los gaps, cuantifica exposición, y prioriza acciones. Presentable ante AESIA como evidencia de diligencia debida.
Gaps documentadosTodos
Plan priorizadoP0/P1/P2
Latencia evaluación~4s
Verificable offline
C2CUMPLIMIENTOIDS con IA en subestación eléctrica. 3 falsos negativos. Última actualización: 14 meses...
NIS2 · IEC 62443 · CER · CNPIC · AI Act Art.15
Sistema de detección de intrusiones con IA en subestación eléctrica crítica.
3 falsos negativos en 12 meses. Última actualización del modelo: hace 14 meses. Sin notificación NIS2.
Score IDF
45NO CONFORME
Análisis dimensional · 5 ejes · M5 Resilience
Consistencia operacional52
52
Cumplimiento normativo38
38
Robustez y resiliencia42
42
Integridad cadena custodia65
65
Soberanía y estabilidad35
35
Checklist regulatorio
NIS2 Art.23: 3 incidentes de acceso no autorizado no notificados en 24h.
IEC 62443: modelo IDS accesible desde red IT corporativa. Segregación OT/IT violada.
NIS2 Art.21.2.e: modelo sin actualizar 14 meses. Sin política de parcheo definida.
!
CER Art.12: sin plan de resiliencia específico para fallo del IDS.
Con NOUS: artefacto certifica evaluación del IDS + plan de remediación OT/IT.
Contexto
Subestación eléctrica de 220kV. IDS con modelo ML monitoriza red SCADA. Proveedor: empresa israelí (Claroty). Modelo desplegado on-premise pero sin actualizar.
Soberanía
ON-PREMISE · Vendor Israel
45
Score IDF
€10M
Multa NIS2 máx.
P0 — Segregar IDS de red IT inmediatamente
P0 — Notificar incidentes retroactivamente
P1 — Actualizar modelo + política de parcheo
estado sellado · íntegro
ante CNPIC · CCN-CERT · INCIBE
PANEL C2Segregación OT/IT — Vector de propagación lateral
La prueba que el regulador necesita
Arquitectura del sistema evaluado
ZONA OT · SCADA PLC/RTU IDS IA ⚠ ZONA IT · CORPORATIVA ERP/SCADA HMI API Gateway NOUS IDF Pro · Resilience Evaluación determinista Artefacto verificable Certifica aislamiento + evalúa robustez IDS + genera evidencia NIS2
Hallazgo NOUS
Segregación OT/IT violada
El modelo IDS comparte endpoint API con la red IT corporativa. Un atacante que comprometa la red IT puede acceder al IDS y, a través de él, a la red SCADA de la subestación.
Latencia evaluación~4 segundos
Verificable offline
Presentable anteCNPIC · CCN-CERT
Módulo 02 · Riesgo Operacional
Riesgo
IMPACTO FÍSICOCONTINUIDAD SERVICIOCUANTIFICACIÓN €SEGURIDAD PACIENTES
2 escenarios. Error de previsión eléctrica activa reservas de emergencia. Triaje hospitalario clasifica incorrectamente paciente cardíaco. El riesgo no es solo regulatorio: es operacional.
R1RIESGO OPERACIONALPrevisión de demanda eléctrica con ML. Error del 12% en pico invernal. Reservas de emergencia activadas...
NIS2 · IEC 62443 · CNMC · AI Act (riesgo limitado)
Modelo ML de previsión de demanda eléctrica con drift no detectado.
Error del 12% en pico invernal. Activación de reservas de emergencia: coste €2.3M en un solo día.
Score IDF
71PARCIAL
Análisis dimensional · 5 ejes · M5 Resilience
Consistencia operacional78
78
Cumplimiento normativo72
72
Robustez y resiliencia65
65
Integridad cadena custodia82
82
Soberanía y estabilidad48
48
Impacto operacional cuantificado
Coste directo: €2.3M por activación reservas de emergencia en pico invernal.
!
G7 Drift: Δ = −18 puntos en 6 meses. Degradación no detectada hasta incidente.
!
Soberanía: modelo entrenado por proveedor externo (startup francesa). Sin acceso a pesos.
Con NOUS: G7 habría detectado drift 4 meses antes del incidente.
Contexto
Distribuidora eléctrica. 2.1M clientes. Modelo ML prevé demanda a 24h para planificación de despacho. Entrenado hace 18 meses con datos pre-crisis energética.
Soberanía
UE · Control parcial
71
Score IDF
€2.3M
Coste incidente
P1 — Reentrenar modelo con datos post-crisis
P1 — Activar monitorización NOUS G7 continua
estado sellado · íntegro
ante CNMC · CNPIC · REE
PANEL R1Drift detection — El coste de no monitorizar
G7 habría detectado la degradación 4 meses antes
−18
Puntos de drift en 6 meses
€2.3M
Coste del incidente evitable
4 meses
Anticipación con NOUS G7
Evolución temporal del Score IDF · Previsión de demanda
Ene
Feb
Mar
Abr
May ⚠
Jun
Jul
Ago 💥
NOUS G7 alerta en mayo (Δ > 15 = ALTO). Incidente real en agosto. 4 meses de ventana de actuación perdidos.
R2RIESGO OPERACIONALTriaje automatizado en urgencias. Paciente cardíaco clasificado como urgencia menor...
AI ACT (ALTO RIESGO · ANEXO III.5) · NIS2 SANIDAD · MDR · RGPD Art.9
Sistema de triaje con ML clasifica paciente cardíaco como urgencia menor.
Retraso de 2 horas en atención. Ingreso en UCI evitable. Sin registro trazable de la clasificación.
Score IDF
68PARCIAL
Análisis dimensional · 5 ejes
Consistencia operacional76
76
Cumplimiento normativo62
62
Robustez y resiliencia58
58
Integridad cadena custodia80
80
Soberanía y estabilidad68
68
Riesgo e impacto
AI Act Anexo III.5: sistema de alto riesgo sin evaluación de conformidad.
AI Act Art.14: sin supervisión humana efectiva. Enfermería confía en clasificación IA.
!
AI Act Art.12: sin registro trazable de clasificaciones. Imposible auditar post-incidente.
Con NOUS: cada clasificación es un artefacto trazable. Error detectable y reconstruible.
Contexto
Hospital público. 180.000 urgencias/año. Sistema ML aumenta Manchester Triage con síntomas + constantes + texto libre enfermería. Proveedor: startup española.
Soberanía
UE · On-premise · Control total
68
Score IDF
€35M
Sanción AI Act máx.
P0 — Evaluación conformidad AI Act obligatoria
P0 — Activar registro trazable de clasificaciones
estado sellado · íntegro
ante AESIA · Consejería Sanidad
PANEL R2Seguridad del paciente — Cuando el riesgo es físico
180.000 urgencias/año. Cada clasificación es una decisión con impacto clínico
SIN NOUS
Clasificación opaca.
Sin registro.
Sin trazabilidad.
Clasificaciones trazables0%
Auditoría post-incidenteImposible
Defensa jurídicaSin evidencia
CON NOUS
Cada clasificación,
un artefacto
verificable.
Clasificaciones trazables100%
Auditoría post-incidenteInmediata
Defensa jurídicaArtefacto sellado
Módulo 03 · Técnico
Técnico
MODELO HUÉRFANOVENDOR LOCK-INSUPPLY CHAINSOBERANÍA DIGITAL
2 escenarios. Modelo de agua sin soporte técnico. Proveedor telecom adquirido por empresa china. Cuando el proveedor desaparece o cambia, ¿quién gobierna el modelo?
T1TÉCNICODetección de fugas en red de agua potable. Modelo ML sin soporte — proveedor cerró...
NIS2 · AI ACT · RGPD · REGULACIÓN AGUAS
Modelo ML para detección de fugas en red de agua potable. Proveedor ya no existe.
4 falsos positivos/semana. Modelo entrenado por startup que cerró en 2025. Sin acceso a pesos ni código fuente.
Score IDF
65PARCIAL
Análisis dimensional · 5 ejes
Consistencia operacional72
72
Cumplimiento normativo68
68
Robustez y resiliencia62
62
Integridad cadena custodia78
78
Soberanía y estabilidad32
32
Diagnóstico técnico
Modelo huérfano: sin soporte, sin actualizaciones, sin documentación técnica del proveedor.
NIS2 Art.21.2.d: cadena de suministro rota. Proveedor no existe. Sin continuidad posible.
!
Falsos positivos: 4/semana generan movilización innecesaria de equipos. Coste: €180K/año.
Con NOUS: evalúa el modelo tal como está. Cuantifica degradación. Informa decisión: mantener, sustituir o retirar.
Contexto
Empresa municipal de aguas. 380.000 usuarios. Modelo ML analiza presión y caudal para detectar fugas. Startup proveedora cerró en 2025. Modelo opera como «caja negra huérfana».
Soberanía
HUÉRFANO · Sin proveedor
65
Score IDF
€180K
Coste falsos positivos/año
P1 — Evaluar viabilidad de mantener vs. sustituir
P1 — Documentar modelo con ingeniería inversa
estado sellado · íntegro
ante CCN-CERT · Regulador aguas
PANEL T1Modelo huérfano — El riesgo que nadie gestiona
¿Qué pasa cuando el proveedor desaparece pero el modelo sigue en producción?
"El modelo lleva 14 meses sin actualizar, el proveedor cerró, y nadie sabe exactamente qué hace ni cómo lo hace."
Este escenario afecta al 23% de los operadores NIS2 que adoptaron IA de startups entre 2020-2023.
Decisión informada con NOUS
Opción A — Mantener: NOUS monitoriza drift continuo. Si score > 60, el modelo sigue siendo útil. Coste: €0 + monitorización.
!
Opción B — Sustituir: NOUS evalúa alternativas con mismos inputs. Comparativa determinista. Coste: €80-200K migración.
Opción C — Retirar: volver a detección manual. NOUS documenta la decisión como artefacto ante regulador.
Lo que NOUS aporta
NOUS no resuelve el modelo huérfano. NOUS convierte una situación de incertidumbre total en una decisión informada, documentada y verificable. El operador sabe exactamente en qué estado está el modelo, cuánto está degradándose, y cuál es el coste de cada opción. Eso es gobernanza.
T2TÉCNICOMantenimiento predictivo telecom. Startup francesa adquirida por empresa china...
NIS2 Art.21.2.d · AI ACT · RGPD · SOBERANÍA DIGITAL
Proveedor de modelo predictivo de telecom adquirido por empresa china.
Cambio de propietario sin evaluación de implicaciones. Última auditoría: 22 meses. NIS2 Art.21.2.d no cumplido.
Score IDF
61PARCIAL
Análisis dimensional · 5 ejes
Consistencia operacional80
80
Cumplimiento normativo58
58
Robustez y resiliencia72
72
Integridad cadena custodia68
68
Soberanía y estabilidad22
22
Riesgo de soberanía
Cambio propietario: startup francesa adquirida por Huawei Cloud. Sin evaluación de implicaciones NIS2.
NIS2 Art.21.2.d: cadena de suministro no reevaluada tras cambio de control.
!
Datos de red: topología de estaciones base, patrones de tráfico, ubicaciones de usuarios — datos sensibles en manos de proveedor chino.
Con NOUS: Panel de Soberanía detecta el cambio. Genera artefacto con análisis de riesgo cuantificado.
Contexto
Operador telecom. 8M clientes. Modelo predictivo anticipa fallos en 12.000 estaciones base. Reducción de interrupciones del 30%. Pero proveedor cambió de manos.
Soberanía
FUERA UE · Propietario China
61
Score IDF
€10M
Multa NIS2 máx.
P0 — Evaluar alternativa soberana UE
P1 — Auditoría de datos accesibles por nuevo propietario
estado sellado · íntegro
ante CNMC · CCN-CERT · INCIBE
soberanía RIESGO CRÍTICO
PANEL SOBERANÍAPanel de Soberanía Digital — El elemento diferencial NOUS
Primer producto del mercado que evalúa determinísticamente la soberanía de IA
2/7
Sistemas con soberanía total (UE + control)
2/7
Control parcial o vendor mixto
3/7
Fuera UE o sin control efectivo
SistemaProveedorJurisdicciónDatos UEControl actualizacionesContingenciaSoberanía
Chatbot AAPPOpenAIEE.UU.NoNoNoCRÍTICO
IDS SubestaciónClarotyIsraelSí (on-prem)ParcialNoPARCIAL
Previsión demandaStartup FRFranciaParcialNoPARCIAL
Triaje urgenciasStartup ESEspañaSí (on-prem)SOBERANO
Fugas agua—(cerró)Sí (on-prem)No (huérfano)NoCRÍTICO
Mant. telecomHuawei CloudChinaNo verificadoNoNoCRÍTICO
Tráfico aéreoIndraEspañaSOBERANO
43% de los sistemas de IA de esta organización procesan datos fuera de la UE o no tienen control efectivo sobre el proveedor. Este dato, sellado criptográficamente y verificable offline, es el tipo de evidencia que ningún regulador ha visto antes — y que todo regulador necesita.
Módulo 04 · Estratégico
Estratégico
PORTFOLIO DASHBOARDPRE-INSPECCIÓN READINESSSOBERANÍA DIGITALROI GOBERNANZA
2 escenarios. Gestión de tráfico aéreo con override sin registro. Portfolio completo de 7 sistemas — solo 2/7 conformes. €47M de exposición regulatoria agregada. AESIA inspecciona en Q4 2026.
E1ESTRATÉGICOGestión de tráfico aéreo asistida por IA. Override del controlador sin registro trazable...
AI ACT (ALTO RIESGO · ANEXO III.2) · NIS2 · EASA · ENS
Sistema IA de apoyo a gestión de secuencias de aterrizaje. Override humano sin trazabilidad.
El controlador contradijo la recomendación IA (correctamente), pero no quedó registro. Imposible auditar.
Score IDF
76CONFORME PARCIAL
Análisis dimensional · 5 ejes
Consistencia operacional88
88
Cumplimiento normativo72
72
Robustez y resiliencia82
82
Integridad cadena custodia68
68
Soberanía y estabilidad85
85
Hallazgos
!
AI Act Art.14: supervisión humana existe pero no se registra. Override correcto pero indemostrable.
!
AI Act Art.12: sin logging de decisiones humanas vs. recomendaciones IA.
Proveedor: Indra (España). Soberanía total. Control de actualizaciones. Plan de contingencia.
Con NOUS: cada recomendación IA + cada override humano = artefacto trazable.
Contexto
Aeropuerto internacional. 240.000 operaciones/año. Sistema Indra de apoyo a secuenciación de aterrizaje. AI Act Anexo III.2: infraestructuras críticas de transporte.
Soberanía
SOBERANO · Indra · España
76
Score IDF
€35M
Sanción AI Act máx.
P1 — Implementar logging de override humano
P2 — Integrar NOUS para trazabilidad continua
estado sellado · íntegro
ante AESIA · EASA · AENA
soberanía SOBERANO
PANEL E1Supervisión humana — El registro que falta
El controlador hizo lo correcto. Pero no puede demostrarlo.
EL PROBLEMA
El AI Act exige
supervisión humana.
Pero no define cómo
demostrarla.
Art.14 del AI Act obliga a que los sistemas de alto riesgo permitan supervisión humana efectiva. Pero sin registro trazable, la supervisión es invisible. Un controlador que override la IA correctamente no puede demostrarlo 6 meses después ante EASA.
LA SOLUCIÓN NOUS
Cada interacción
humano-IA es un
artefacto verificable.
NOUS convierte la supervisión humana de un concepto abstracto en evidencia técnica: qué recomendó la IA, qué decidió el humano, cuándo, con qué información, y todo sellado criptográficamente. Es la diferencia entre «tenemos supervisión humana» y «aquí está la prueba».
E2INSTITUCIONALPortfolio completo: 7 sistemas IA. 2/7 conformes. €47M exposición. AESIA inspecciona Q4 2026...
DIRECCIÓN GENERAL · CONSEJO · READINESS INSPECCIÓN
7 sistemas IA. 2 conformes. €47M de exposición regulatoria. AESIA inspecciona en Q4 2026.
Sin NOUS: 18 meses de consultoría, €400K. Con NOUS: 7 artefactos en < 1 hora. Verificables offline.
NOUS IDF Pro · Resilience — Portfolio Dashboard
Sistemas IA · Portfolio
SYS-001 Chatbot AAPP52
SYS-002 IDS Subestación45
SYS-003 Previsión demanda71
SYS-004 Triaje urgencias68
SYS-005 Fugas agua65
SYS-006 Mant. telecom61
SYS-007 Tráfico aéreo76
Score Global
63
Acciones P0
P0 — Suspender chatbot AAPP
P0 — Segregar IDS subestación
P0 — Evaluar vendor telecom
Soberanía
2/7 soberanos
2/7 parciales
3/7 críticos
7 artefactos generados en ~28s · Verificables offline · Presentables ante AESIA, CCN-CERT, CNPIC
estado sellado · íntegro
readiness PARCIAL · 5 acciones P0 pendientes
PANEL E2Sin NOUS / Con NOUS — La diferencia para infraestructuras críticas
SIN NOUS
Opacidad.
Sin evidencia.
Sin soberanía.
Artefactos verificables0
Soberanía evaluadaNo
Exposición regulatoria€47M
Tiempo consultoría18 meses
Coste consultoría€400K
CON NOUS
Gobernanza
verificable.
Soberanía medible.
Artefactos verificablesTodos
Soberanía evaluadaPanel dedicado
Latencia evaluación~4s por sistema
Tiempo implementación< 1 hora
Coste anual NOUS€75K
NOUS Governance Systems SL · Patente solicitada · ConfidencialNOUS IDF Pro · Resilience v1.0 · Motor M5 · Pipeline G1→G7 · Panel de Soberanía Digital