Cuando la norma ISO 27001 por sí sola puede no ser suficiente
La norma ISO/IEC 27001:2022 es una norma internacional, no una ley. La certificación ISO 27001 no garantiza el cumplimiento de la NIS2. Hay tres ámbitos —la seguridad de la cadena de suministro, la responsabilidad de la dirección y la obligación legal de notificar incidentes de seguridad— que, por lo general, requieren medidas y pruebas que van más allá de lo que puede demostrar por sí sola una certificación ISO 27001.
La norma ISO 27001 es una norma internacional de carácter voluntario, mientras que la NIS2 es legislación europea vinculante. Por lo tanto, la certificación no sustituye automáticamente al cumplimiento de todas las obligaciones de la NIS2, en particular en lo que respecta a la seguridad de la cadena de suministro, las obligaciones de notificación y la responsabilidad de la dirección.
El artículo 21, apartado 2, de la NIS2 define diez categorías de medidas de gestión de riesgos de ciberseguridad que las organizaciones afectadas están legalmente obligadas a aplicar. El contenido de la norma ISO/IEC 27001:2022 y los controles enumerados en el anexo A pueden relacionarse con la mayoría de estas categorías, aunque sin corresponderse con ellas de forma unívoca como requisitos legales:
Seguridad de la cadena de suministro
La Directiva NIS2 exige a las organizaciones que evalúen y gestionen los riesgos de ciberseguridad a lo largo de toda su cadena de suministro, y no solo dentro de los límites de su propia empresa.
Los recientes incidentes de ciberseguridad han demostrado en repetidas ocasiones que los atacantes se aprovechan de la cadena de suministro para obtener acceso no autorizado a redes de clientes más amplias. Al fin y al cabo, el principio de eficiencia —«¡lograr el máximo alcance con el mínimo esfuerzo!»— también se aplica aquí.
En consecuencia, el artículo 21, apartado 2, letra d), de la NIS2 exige la seguridad de la cadena de suministro, lo cual es coherente con los requisitos 5.19 a 5.23 del anexo A de la norma ISO 27001:
- Seguridad de la información en las relaciones con los proveedores
- Abordar la seguridad de la información en los acuerdos con los proveedores
- Gestión de la seguridad de la información en la cadena de suministro de las TIC
- Supervisión, auditoría y gestión de cambios en los servicios de los proveedores
- Seguridad de la información en el uso de servicios en la nube
Responsabilidad de los directivos
En virtud de la Directiva NIS2, la ciberseguridad ya no se considera una cuestión puramente técnica que pueda delegarse al departamento de TI.
La Directiva estipula que el órgano de dirección de la organización debe asumir la responsabilidad de aprobar, supervisar y revisar periódicamente la aplicación de las medidas de gestión de riesgos de ciberseguridad. En la práctica, se espera que la alta dirección:
- Comprenda los riesgos cibernéticos y se implique activamente en ellos,
- Participar en las actividades de gobernanza y en los procesos de toma de decisiones relacionados con la ciberseguridad,
- Proporcione recursos adecuados para las medidas de resiliencia, y
- Supervisar la preparación para la respuesta ante incidentes y las obligaciones de notificación.
En función de la aplicación nacional de la Directiva NIS2 y de la normativa corporativa y de responsabilidad pertinente, los miembros del órgano de dirección también pueden enfrentarse a consecuencias personales si no cumplen adecuadamente con sus obligaciones en materia de ciberseguridad. La gobernanza de la ciberseguridad se está convirtiendo, por tanto, en una responsabilidad clave de la dirección, con posibles implicaciones normativas y financieras en caso de que no se demuestre de forma convincente una supervisión suficiente.
Notificación de incidentes
La NIS2 establece plazos legalmente vinculantes: las organizaciones deben presentar una notificación inicial de alerta temprana a la autoridad competente en un plazo de 24 horas desde que tengan conocimiento de un incidente significativo, seguida de un informe más detallado en un plazo de 72 horas y de un informe final en una fase posterior, tal y como se define en la legislación.
Actualmente, muchas organizaciones carecen de los procesos documentados, las responsabilidades claramente asignadas y los procedimientos probados necesarios para cumplir estos plazos de forma fiable. Los marcos de gestión de incidentes existentes dentro de un SGSI suelen requerir ajustes específicos para reflejar los plazos reglamentarios y las obligaciones de notificación externa introducidas por la NIS2.
En la práctica, esto suele implicar subsanar tres carencias concretas. En primer lugar, definir y documentar un criterio claro que marque el momento en que el «tener conocimiento» de un incidente significativo pone en marcha el plazo de 24 horas; la mayoría de los procedimientos de los SGSI se centran en la clasificación interna de la gravedad, en lugar de en los plazos reglamentarios. En segundo lugar, designar una función específica responsable de la notificación de alerta temprana y del enlace directo con el CSIRT nacional o la autoridad competente, independiente de la función que dirige la respuesta interna. En tercer lugar, establecer un registro de pruebas auditable —que incluya registros con marca de tiempo, copias de las notificaciones y la justificación de la evaluación inicial de la gravedad— que pueda presentarse si una autoridad de supervisión revisa posteriormente cómo se cumplieron los plazos de 24 y 72 horas establecidos por la NIS2.
Resiliencia operativa
Los reguladores y los clientes esperan cada vez más pruebas de que las medidas de resiliencia se han puesto a prueba, y no solo que estén documentadas sobre el papel.
Por lo tanto, se espera que las organizaciones demuestren que pueden mantener o restablecer rápidamente las operaciones críticas durante incidentes disruptivos, en lugar de limitarse a presentar planes escritos. Esto suele incluir:
- Planificación de la continuidad del negocio y pruebas periódicas
- Ejercicios de recuperación ante desastres para sistemas y datos críticos
- Simulacros realistas de respuesta ante incidentes
- Procedimientos de gestión de crisis definidos y ensayados
En conjunto, estos elementos ponen de manifiesto si la resiliencia está verdaderamente integrada en las operaciones cotidianas.