En el pasado, la seguridad de la información se consideraba principalmente una responsabilidad del departamento de TI. Las organizaciones consideraban que la gestión de los riesgos de seguridad de la información consistía principalmente en la implementación de medidas técnicas y se basaban en la protección de sus infraestructuras de TI mediante cortafuegos, seguridad de terminales, sistemas de detección y prevención de intrusiones o segmentación de redes. Este enfoque se complementaba con medidas de seguridad física y formación en concienciación para reforzar el «cortafuegos humano», con el fin de demostrar un enfoque estructurado en la gestión de los riesgos de seguridad de la información.

Desde entonces, el enfoque se ha ampliado considerablemente. Hoy en día, la ciberseguridad ya no significa únicamente proteger los activos de información relacionados con las TI, sino también evitar pérdidas económicas, mantener la continuidad del negocio, salvaguardar los servicios críticos y las cadenas de suministro; en resumen: reforzar la resiliencia de una organización. Casi nada ilustra este cambio de paradigma tan claramente como la Directiva NIS2 de la Unión Europea.

¿Qué es la NIS2?

NIS2 es la Directiva actualizada de la Unión Europea sobre seguridad de las redes y de la información (Directiva (UE) 2022/2555), que establece obligaciones armonizadas en materia de ciberseguridad y notificación de incidentes para las organizaciones medianas y grandes de sectores clave como la energía, la industria química, la industria manufacturera, el transporte, la sanidad, infraestructura digital y otros sectores económicos críticos. Una vez transpuesta a la legislación nacional de los Estados miembros de la Unión Europea, exigirá a las organizaciones afectadas que apliquen medidas de ciberseguridad basadas en el riesgo, que cumplan con estrictos plazos de notificación de 24 o 72 horas y que se enfrenten a multas sustanciales en caso de infracciones graves.

Aunque la NIS2 es una directiva de la UE, su impacto práctico se extiende mucho más allá de las fronteras de la Unión. Los fabricantes, los proveedores de tecnología, las empresas de logística y los proveedores de servicios que forman parte de las cadenas de valor europeas se enfrentan cada vez más a expectativas específicas en materia de ciberseguridad y a requisitos de acreditación por parte de sus clientes. La certificación ISO 27001 se está convirtiendo en un indicador clave en este contexto: demuestra que una organización gestiona los riesgos de seguridad de la información de forma sistemática y de acuerdo con una norma reconocida internacionalmente.

Para muchas organizaciones, esto plantea una cuestión estratégica:

Si queremos participar de forma fiable en las cadenas de suministro europeas, ¿se está convirtiendo la certificación ISO 27001 en un requisito de acceso?

La norma ISO 27001 como puerta de entrada a las cadenas de suministro europeas

A partir de un número cada vez mayor de licitaciones y evaluaciones de proveedores, se perfila una imagen clara:

  • La norma ISO 27001 proporciona una base reconocida y auditable para muchas de las expectativas en materia de ciberseguridad y gobernanza que surgen a raíz de la Directiva NIS2.
  • Para acceder a relaciones con clientes exigentes y a cadenas de suministro críticas, la certificación se considera cada vez más una expectativa mínima, más que un factor diferenciador.
  • Las organizaciones que cuentan con un SGSI maduro y certificado están mejor preparadas para responder a los cuestionarios, auditorías y actividades de diligencia debida impulsadas por la NIS2 a lo largo de la cadena de suministro.

En este sentido, la certificación ISO 27001 se está convirtiendo en una vía de acceso eficaz a las cadenas de suministro europeas, no porque por sí sola cumpla todas las obligaciones de la NIS2, sino porque proporciona el marco estructurado y verificable que muchos clientes europeos esperan ahora como requisito mínimo.

El creciente coste de las interrupciones cibernéticas

Hoy en día, los incidentes cibernéticos rara vez quedan aislados: se propagan en cascada a lo largo de las cadenas de suministro, paralizan las operaciones y exponen a las organizaciones al escrutinio regulatorio mucho tiempo después de la brecha inicial.

En los sectores de la fabricación, la sanidad, el transporte y las infraestructuras críticas, las organizaciones se han enfrentado a paradas operativas que han durado días o incluso semanas: las líneas de producción se han detenido, las redes logísticas se han paralizado y los servicios de atención al cliente han dejado de estar disponibles.

Lo que hace que muchos de estos incidentes sean especialmente preocupantes es que no siempre comenzaron con ataques muy sofisticados. En muchos casos, los atacantes aprovecharon debilidades en los ecosistemas de proveedores, sistemas sin parches, una supervisión insuficiente o una respuesta tardía ante los incidentes.

Para los líderes empresariales, una lección ha quedado clara:
la cuestión clave ya no es si una organización puede prevenir todos los incidentes cibernéticos, sino si puede seguir operando cuando se produce uno.

Este cambio de mentalidad constituye el núcleo de la NIS2.

Por qué la NIS2 es importante para los consejos de administración

  • La ciberseguridad se ha convertido en un asunto de los consejos de administración, más que en una cuestión puramente informática: los órganos de gestión deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad.
  • Las leyes nacionales que transponen la NIS2 pueden imponer multas al nivel del RGPD: hasta 10 millones de euros o el 2 % de la facturación anual global para las entidades esenciales, y hasta 7 millones de euros o el 1,4 % para las entidades importantes.
  • Los miembros del órgano de dirección pueden ser considerados responsables de una supervisión inadecuada de la gestión de riesgos de ciberseguridad, con arreglo a las normas nacionales en materia de responsabilidad.

La NIS2 concede gran importancia a la gobernanza, la rendición de cuentas y la resiliencia organizativa. Las organizaciones que entran en el ámbito de aplicación de la Directiva deben demostrar, entre otras cosas:

  • La participación activa de la alta dirección en la aplicación y el seguimiento de las medidas de ciberseguridad,
  • Procesos eficaces de notificación de incidentes de seguridad significativos,
  • una gestión estructurada de los riesgos de ciberseguridad,
  • controles de seguridad eficaces en la cadena de suministro,
  • Disposiciones de continuidad del negocio 

La norma ISO 27001 proporciona una base sólida

Las organizaciones certificadas según la norma ISO 27001 ya cuentan con un marco estructurado para la gestión de riesgos, la gobernanza y la gestión de incidentes, elementos todos ellos que respaldan los requisitos de la Directiva NIS2.

En esencia, la norma ISO 27001 se basa en una selección de medidas de control basada en el riesgo y relacionada con los procesos de negocio de una organización, en responsabilidades y políticas de gobernanza claras, y en la mejora continua (el ciclo PDCA). Estos principios pueden aplicarse directamente a las medidas organizativas y técnicas establecidas en la normativa NIS2.

Las organizaciones que cuentan con un sistema de gestión de la seguridad de la información (SGSI) maduro suelen disponer ya de lo siguiente:

  • Estructuras de gobernanza para la seguridad de la información
  • Procesos eficaces para la evaluación y el tratamiento de riesgos
  • Políticas de seguridad documentadas y responsabilidades claramente definidas
  • Procedimientos para la gestión de incidentes
  • Ciclos de auditorías internas y revisiones de la dirección
  • Medidas de gestión de la cadena de suministro
  • Planes de recuperación ante desastres y de continuidad del negocio

Estos elementos constituyen una base sólida para la aplicación de las medidas clave de gestión de riesgos de la NIS2.

Cuando la norma ISO 27001 por sí sola puede no ser suficiente

La norma ISO/IEC 27001:2022 es una norma internacional, no una ley. La certificación ISO 27001 no garantiza el cumplimiento de la NIS2. Hay tres ámbitos —la seguridad de la cadena de suministro, la responsabilidad de la dirección y la obligación legal de notificar incidentes de seguridad— que, por lo general, requieren medidas y pruebas que van más allá de lo que puede demostrar por sí sola una certificación ISO 27001.

La norma ISO 27001 es una norma internacional de carácter voluntario, mientras que la NIS2 es legislación europea vinculante. Por lo tanto, la certificación no sustituye automáticamente al cumplimiento de todas las obligaciones de la NIS2, en particular en lo que respecta a la seguridad de la cadena de suministro, las obligaciones de notificación y la responsabilidad de la dirección.

El artículo 21, apartado 2, de la NIS2 define diez categorías de medidas de gestión de riesgos de ciberseguridad que las organizaciones afectadas están legalmente obligadas a aplicar. El contenido de la norma ISO/IEC 27001:2022 y los controles enumerados en el anexo A pueden relacionarse con la mayoría de estas categorías, aunque sin corresponderse con ellas de forma unívoca como requisitos legales:

Seguridad de la cadena de suministro

La Directiva NIS2 exige a las organizaciones que evalúen y gestionen los riesgos de ciberseguridad a lo largo de toda su cadena de suministro, y no solo dentro de los límites de su propia empresa.

Los recientes incidentes de ciberseguridad han demostrado en repetidas ocasiones que los atacantes se aprovechan de la cadena de suministro para obtener acceso no autorizado a redes de clientes más amplias. Al fin y al cabo, el principio de eficiencia —«¡lograr el máximo alcance con el mínimo esfuerzo!»— también se aplica aquí.

En consecuencia, el artículo 21, apartado 2, letra d), de la NIS2 exige la seguridad de la cadena de suministro, lo cual es coherente con los requisitos 5.19 a 5.23 del anexo A de la norma ISO 27001:

  • Seguridad de la información en las relaciones con los proveedores
  • Abordar la seguridad de la información en los acuerdos con los proveedores
  • Gestión de la seguridad de la información en la cadena de suministro de las TIC
  • Supervisión, auditoría y gestión de cambios en los servicios de los proveedores
  • Seguridad de la información en el uso de servicios en la nube

Responsabilidad de los directivos

En virtud de la Directiva NIS2, la ciberseguridad ya no se considera una cuestión puramente técnica que pueda delegarse al departamento de TI.

La Directiva estipula que el órgano de dirección de la organización debe asumir la responsabilidad de aprobar, supervisar y revisar periódicamente la aplicación de las medidas de gestión de riesgos de ciberseguridad. En la práctica, se espera que la alta dirección:

  • Comprenda los riesgos cibernéticos y se implique activamente en ellos,
  • Participar en las actividades de gobernanza y en los procesos de toma de decisiones relacionados con la ciberseguridad,
  • Proporcione recursos adecuados para las medidas de resiliencia, y
  • Supervisar la preparación para la respuesta ante incidentes y las obligaciones de notificación.

En función de la aplicación nacional de la Directiva NIS2 y de la normativa corporativa y de responsabilidad pertinente, los miembros del órgano de dirección también pueden enfrentarse a consecuencias personales si no cumplen adecuadamente con sus obligaciones en materia de ciberseguridad. La gobernanza de la ciberseguridad se está convirtiendo, por tanto, en una responsabilidad clave de la dirección, con posibles implicaciones normativas y financieras en caso de que no se demuestre de forma convincente una supervisión suficiente.

Notificación de incidentes

La NIS2 establece plazos legalmente vinculantes: las organizaciones deben presentar una notificación inicial de alerta temprana a la autoridad competente en un plazo de 24 horas desde que tengan conocimiento de un incidente significativo, seguida de un informe más detallado en un plazo de 72 horas y de un informe final en una fase posterior, tal y como se define en la legislación.

Actualmente, muchas organizaciones carecen de los procesos documentados, las responsabilidades claramente asignadas y los procedimientos probados necesarios para cumplir estos plazos de forma fiable. Los marcos de gestión de incidentes existentes dentro de un SGSI suelen requerir ajustes específicos para reflejar los plazos reglamentarios y las obligaciones de notificación externa introducidas por la NIS2.

En la práctica, esto suele implicar subsanar tres carencias concretas. En primer lugar, definir y documentar un criterio claro que marque el momento en que el «tener conocimiento» de un incidente significativo pone en marcha el plazo de 24 horas; la mayoría de los procedimientos de los SGSI se centran en la clasificación interna de la gravedad, en lugar de en los plazos reglamentarios. En segundo lugar, designar una función específica responsable de la notificación de alerta temprana y del enlace directo con el CSIRT nacional o la autoridad competente, independiente de la función que dirige la respuesta interna. En tercer lugar, establecer un registro de pruebas auditable —que incluya registros con marca de tiempo, copias de las notificaciones y la justificación de la evaluación inicial de la gravedad— que pueda presentarse si una autoridad de supervisión revisa posteriormente cómo se cumplieron los plazos de 24 y 72 horas establecidos por la NIS2.

Resiliencia operativa

Los reguladores y los clientes esperan cada vez más pruebas de que las medidas de resiliencia se han puesto a prueba, y no solo que estén documentadas sobre el papel.

Por lo tanto, se espera que las organizaciones demuestren que pueden mantener o restablecer rápidamente las operaciones críticas durante incidentes disruptivos, en lugar de limitarse a presentar planes escritos. Esto suele incluir:

  • Planificación de la continuidad del negocio y pruebas periódicas
  • Ejercicios de recuperación ante desastres para sistemas y datos críticos
  • Simulacros realistas de respuesta ante incidentes
  • Procedimientos de gestión de crisis definidos y ensayados

En conjunto, estos elementos ponen de manifiesto si la resiliencia está verdaderamente integrada en las operaciones cotidianas.

¿Está su organización evaluando también necesidades más amplias en materia de resiliencia de la ciberseguridad?

La norma ISO 22301 (Gestión de la continuidad del negocio) ofrece un marco complementario para demostrar la continuidad operativa en situaciones de presión.

Más in­fo­r­ma­ción

Nuevas preguntas que plantean los clientes y socios

La certificación ISO 27001 se está convirtiendo en un requisito previo para las negociaciones con los proveedores. Los clientes europeos esperan no solo un certificado ISO 27001, sino también pruebas de una resiliencia demostrada.

Las empresas de la cadena de suministro deben abordar las siguientes preguntas:

  • ¿Con qué rapidez pueden recuperarse de un incidente cibernético grave?
  • ¿Cómo se evalúan los riesgos de seguridad de los proveedores críticos y de terceros?
  • ¿Qué papel desempeña la alta dirección en la gobernanza de la ciberseguridad?
  • ¿Con qué frecuencia se prueban los planes de respuesta ante incidentes y de continuidad del negocio?
  • ¿Qué medidas se han adoptado para garantizar la continuidad del negocio durante una interrupción?

Las empresas que pueden demostrar tanto su certificación como una resiliencia operativa contrastada destacan en mercados altamente competitivos.

Lo que deben tener en cuenta los equipos directivos

El enfoque más eficaz consiste en utilizar un SGSI (Sistema de Gestión de la Seguridad de la Información) conforme a la norma ISO 27001 ya existente como base para un cumplimiento más amplio de la NIS2 y, a continuación, identificar y subsanar las deficiencias específicas que la certificación por sí sola no aborda.

Las organizaciones no tienen por qué elegir entre el cumplimiento de la norma ISO 27001 y el de la NIS2. En la mayoría de los casos, la norma ISO 27001 proporciona la plataforma del sistema de gestión; la NIS2 y sus leyes nacionales de aplicación elevan el listón en áreas específicas. La clave está en comprender en qué aspectos las prácticas actuales ya se ajustan a esos requisitos legales y en cuáles siguen siendo necesarias mejoras específicas.

Preguntas útiles que deben plantearse los equipos directivos:

  • ¿Aborda nuestro programa de ciberseguridad de forma adecuada los riesgos en todo nuestro ecosistema de proveedores?
  • ¿Participan activamente los directivos en la gobernanza de la ciberseguridad, o simplemente se les informa a posteriori?
  • ¿Podemos demostrar resiliencia operativa más allá de los meros procedimientos documentados?
  • ¿Se prueban periódicamente los procesos de respuesta ante incidentes y de recuperación en escenarios realistas?
  • ¿Contamos con procesos documentados que cumplan los plazos de notificación de 24 y 72 horas establecidos por la NIS2?
  • ¿Esperan nuestros clientes y socios comerciales algo más que una certificación como prueba de resiliencia?

¿Cómo se corresponden entre sí los requisitos de la NIS2 y la norma ISO 27001?

Descarga el informe técnico de DQS para obtener una comparación detallada de las obligaciones de la NIS2 y los controles de la norma ISO 27001, diseñado para ayudar a las organizaciones a evaluar en qué aspectos su SGSI ya cumple con las expectativas de la directiva y dónde pueden seguir existiendo lagunas.

De­s­ca­r­gar el informe técnico

Puntos clave

  1. La norma ISO/IEC 27001:2022 respalda una gran parte de las diez medidas de gestión de riesgos establecidas en el artículo 21, apartado 2, de la NIS2, aunque el grado en que esto sea así depende de la madurez y el alcance del SGSI existente.
  2. Las áreas típicas de interés en los SGSI certificados incluyen principalmente: los riesgos de la cadena de suministro que van más allá de los socios contratados directamente; un flujo de trabajo documentado para la notificación de incidentes en un plazo de 24 o 72 horas con criterios de activación claros
  3. Responsabilidad claramente asignada en materia de aceptación de riesgos a nivel de la alta dirección
  4. Medidas de emergencia y de continuidad del negocio que se someten a pruebas periódicas, y no se limitan a una mera descripción.
  5. La norma ISO 27001 asigna la responsabilidad de los riesgos a la alta dirección (incluido en la cláusula 6.1.3(f)), pero no establece una responsabilidad personal por sí misma; esta solo se deriva de la Directiva NIS2 y de la transposición nacional pertinente (por ejemplo, en lo que respecta a los órganos de gobierno y las obligaciones de supervisión).
  6. Los clientes y los equipos de compras consideran la certificación ISO 27001 como un requisito previo para la evaluación de proveedores.
Preguntas y respuestas

Preguntas frecuentes.

¿Qué es la Directiva NIS2?

La NIS2 (la segunda Directiva sobre seguridad de las redes y la información, Directiva (UE) 2022/2555) es una directiva de la UE que se aplica a nivel de la Unión desde enero de 2023 y que los Estados miembros deben transponer a su legislación nacional antes del 17 de octubre de 2024. Establece requisitos obligatorios de ciberseguridad y resiliencia para las organizaciones de una amplia gama de sectores esenciales e importantes en toda Europa, entre los que se incluyen la energía, el transporte, la industria manufacturera, la sanidad y las infraestructuras digitales. Las leyes nacionales que transponen la NIS2 introducen obligaciones legales directas, sanciones económicas que pueden alcanzar hasta 10 millones de euros o el 2 % de la facturación anual global para las entidades esenciales (y 7 millones de euros o el 1,4 % para las entidades importantes), así como una responsabilidad más clara de la alta dirección en la gestión de los riesgos de ciberseguridad y el cumplimiento normativo.

¿Cubre la norma ISO 27001 los requisitos de la NIS2?

La norma ISO/IEC 27001 respalda muchas de las expectativas de la NIS2 a través de su enfoque estructurado y basado en el riesgo para la gestión de la seguridad de la información. Sin embargo, la certificación por sí sola no cumple automáticamente todas las obligaciones de la NIS 2, especialmente en lo que respecta a los plazos legales de notificación de incidentes, la gestión de riesgos de la cadena de suministro y los requisitos específicos de gobernanza y responsabilidad que se imponen a los órganos de dirección en virtud de las leyes nacionales basadas en la NIS 2.

¿Es obligatoria la norma ISO 27001 en el marco de la NIS2?

No. La NIS2 no exige la certificación ISO 27001. Sin embargo, muchas organizaciones utilizan la norma ISO/IEC 27001 como marco reconocido para estructurar y demostrar sus prácticas de gestión de riesgos de ciberseguridad, lo que puede contribuir de manera significativa a sus esfuerzos por cumplir con las obligaciones de la NIS2 y satisfacer las expectativas de los clientes y de los reguladores.

¿Cuál es la principal diferencia entre la norma ISO 27001 y la Directiva NIS2?

La norma ISO/IEC 27001 es una norma internacional voluntaria de sistemas de gestión que las organizaciones pueden adoptar para demostrar una gobernanza estructurada de la seguridad de la información. La NIS2 es una directiva de la UE que, una vez transpuesta a la legislación nacional, establece obligaciones legales vinculantes en materia de gestión de riesgos de ciberseguridad, resiliencia, notificación de incidentes y supervisión a nivel directivo, con sanciones potencialmente importantes en caso de incumplimiento.

¿A qué sanciones se pueden enfrentar las organizaciones en virtud de la NIS2?

En el marco de la NIS2, las legislaciones nacionales pueden prever multas administrativas para las entidades esenciales de hasta 10 millones de euros o el 2 % de la facturación anual global, lo que sea mayor, y para las entidades importantes de hasta 7 millones de euros o el 1,4 % de la facturación anual global, lo que sea mayor. La alta dirección también puede enfrentarse a consecuencias en virtud de la legislación nacional aplicable en materia de sociedades y responsabilidad civil si descuida gravemente sus obligaciones de supervisión en materia de ciberseguridad.

¿Cuáles son los requisitos de notificación de incidentes de la NIS2?

La NIS2 exige a las organizaciones afectadas que sigan un calendario de notificación por niveles ante la autoridad nacional competente o el CSIRT. Por lo general, esto incluye una notificación de alerta temprana en un plazo de 24 horas desde que se tenga conocimiento de un incidente significativo, una notificación más detallada del incidente en un plazo de 72 horas y un informe final dentro de un plazo posterior (a menudo de un mes) establecido en la legislación nacional. Las organizaciones que carezcan de procesos documentados, responsabilidades asignadas y procedimientos probados para estos pasos pueden tener dificultades para cumplir estos plazos legalmente vinculantes.

¿Puede la norma ISO 27001 ayudar a mejorar la resiliencia operativa?

Sí. La norma ISO/IEC 27001 respalda la gestión de riesgos, los procedimientos de respuesta a incidentes, los controles de seguridad de los proveedores y las prácticas de gobernanza que, en conjunto, contribuyen a una mayor resiliencia organizativa. Para las organizaciones que deseen demostrar su resiliencia de acuerdo con las expectativas de la NIS2 y de sus clientes, un SGSI basado en la norma ISO 27001 y correctamente implementado constituye un punto de partida valioso y ampliamente reconocido.

Descubre en qué consiste la certificación ISO 27001

Descubra los servicios de certificación ISO 27001 de DQS, desde la evaluación inicial hasta la certificación y la supervisión continua.

Descubra los se­r­vi­cios de ce­r­ti­fi­ca­ción de DQS
Autor

Markus Jegelka

Experto en DQS para sistemas de gestión de la seguridad de la información (SGSI) y auditor desde hace muchos años para las normas ISO 9001, ISO/IEC 27001 y catálogo de seguridad de TI según el apartado 11.1a/b de la Ley alemana de la industria energética (EnWG) con competencia en procedimientos de prueba para § 8a (3) BSIG

Loading...

Artículos y eventos relevantes

También podría interesarle esto
Blog
Loading...

Evaluación TISAX® de nivel 2: por qué la opción más barata no siempre es la más rentable

Blog
Loading...

Ley de la IA de la UE: lo que su organización necesita saber en 2026

Blog
Loading...

Ciberseguridad en los dispositivos médicos: lo que los fabricantes deben saber