ISO 27001

Análisis de brechas de ISO 27001 a NIS2

Una certificación ISO 27001 cubre aproximadamente el 70% de los requisitos técnicos de NIS2, pero el 30% restante incluye las áreas con el mayor riesgo de aplicación: registro, plazos de notificación de incidentes y responsabilidad personal de la dirección.

Cory HiseyCory Hisey·Laufend geprüft

ISO 27001 es un punto de partida, no una meta

Si su empresa posee una certificación ISO 27001:2022, está por delante de la mayoría de las entidades afectadas por NIS2. El marco del SGSI, la metodología de evaluación de riesgos y los controles del Anexo A se corresponden bien con las diez áreas de medidas de ciberseguridad definidas en el §30(2) BSIG. El BSI ha reconocido explícitamente que la certificación ISO 27001 demuestra una postura de seguridad madura, pero ha declarado con igual claridad que la certificación por sí sola no equivale al cumplimiento de NIS2.

La brecha existe porque NIS2 introduce obligaciones que ISO 27001 nunca fue diseñada para abordar. ISO 27001 es una norma voluntaria de sistema de gestión centrada en la seguridad de la información dentro de una organización. NIS2 es una obligación regulatoria centrada en la resiliencia de las infraestructuras críticas, con notificación a las autoridades, responsabilidad personal de la dirección y sanciones legales. Se trata de paradigmas de cumplimiento fundamentalmente distintos: uno trata sobre buenas prácticas, el otro sobre cumplimiento legal.

La guía de correspondencia de ENISA y los análisis de DataGuard, secuvera y el propio BSI identifican de forma consistente las mismas brechas. Comprender dónde ISO 27001 cubre NIS2, y dónde no, permite a las empresas certificadas construir sobre su SGSI existente en lugar de empezar de cero, garantizando al mismo tiempo que no pasen por alto los requisitos específicamente regulatorios que conllevan el mayor riesgo de aplicación.

Dónde ISO 27001 ya cubre NIS2
Estas áreas de requisitos de NIS2 están sustancialmente cubiertas por un SGSI ISO 27001:2022 bien implementado.

Gestión de riesgos (§30(2)(1) BSIG)

Las cláusulas 6.1 y 8.2 de ISO 27001 exigen la identificación, el análisis, la evaluación y el tratamiento de riesgos, precisamente lo que demanda el §30(2)(1). Una metodología de evaluación de riesgos del SGSI ya existente, si se mantiene correctamente, satisface este requisito. Asegúrese de que su registro de riesgos cubra específicamente los riesgos de la tecnología operativa y de la cadena de suministro, no solo los riesgos de seguridad de la información.

Control de acceso (§30(2)(5) BSIG)

Los controles A.5.15 a A.5.18 y A.8.2 a A.8.5 del Anexo A de ISO 27001 cubren la política de control de acceso, la provisión de acceso de usuarios, la gestión de accesos privilegiados y la restricción del acceso a la información. Esto se corresponde directamente con los requisitos del §30(2)(5) BSIG para el control de acceso a las redes y sistemas de información.

Gestión de incidentes (§30(2)(2) BSIG)

Los controles A.5.24 a A.5.28 del Anexo A de ISO 27001 cubren la planificación, la evaluación, la respuesta y el aprendizaje en la gestión de incidentes. El proceso técnico de gestión de incidentes que exige NIS2 está bien cubierto, aunque los plazos de notificación y la notificación al BSI no forman parte de ISO 27001 (véanse las brechas más abajo).

Continuidad de negocio (§30(2)(3) BSIG)

Los controles A.5.29 y A.5.30 del Anexo A de ISO 27001 abordan la seguridad de la información durante una interrupción y la preparación de las TIC para la continuidad de negocio. Combinado con un BIA adecuado y procedimientos de recuperación probados, esto cubre sustancialmente los requisitos de continuidad de NIS2.

Criptografía (§30(2)(8) BSIG)

El control A.8.24 del Anexo A de ISO 27001 cubre el uso de la criptografía. Un SGSI maduro incluye políticas criptográficas, procedimientos de gestión de claves y estándares de selección de algoritmos que se alinean con los requisitos de criptografía de NIS2.

Relaciones con proveedores (§30(2)(4) BSIG - parcial)

Los controles A.5.19 a A.5.23 del Anexo A de ISO 27001 abordan la seguridad de la información en las relaciones con proveedores, incluyendo la evaluación de proveedores, la supervisión de la prestación de servicios y la gestión de cambios. Esto proporciona una base, pero NIS2 exige una diligencia debida más extensa sobre la cadena de suministro (véanse las brechas).

Formación y concienciación (§30(2)(9) BSIG)

El control A.6.3 del Anexo A de ISO 27001 cubre la concienciación, la educación y la formación en seguridad de la información. Esto se alinea con el requisito general de formación de NIS2, aunque NIS2 añade obligaciones específicas de formación de la dirección en virtud del §38 BSIG que van más allá del alcance de ISO 27001.

Brechas críticas - Lo que ISO 27001 no cubre
Estos requisitos de NIS2 no tienen equivalente en ISO 27001 y deben abordarse por separado. Representan el mayor riesgo de aplicación para las empresas certificadas según ISO.

Obligación de registro ante el BSI (§33 BSIG)

ISO 27001 no contempla el concepto de registro ante una autoridad. El §33 BSIG exige que toda entidad NIS2 se registre ante el BSI, aportando información de la entidad, clasificación sectorial, datos de contacto y rangos de IP. Se trata de una obligación regulatoria autónoma con sus propias disposiciones sancionadoras: su certificación ISO no la desencadena ni la sustituye.

Plazos de notificación de incidentes (§32 BSIG)

ISO 27001 exige una respuesta a incidentes pero no fija plazos de notificación externa. El §32 BSIG obliga a: alerta temprana al BSI en un plazo de 24 horas, notificación del incidente en un plazo de 72 horas e informe final en un plazo de un mes. Son plazos legales con sanciones independientes en caso de incumplimiento. Su proceso de incidentes del SGSI debe ampliarse con flujos de trabajo de notificación específicos del BSI.

Responsabilidad personal de la dirección (§38 BSIG)

ISO 27001 exige el compromiso y el liderazgo de la dirección (cláusula 5) pero no genera ninguna responsabilidad legal personal. El §38 BSIG hace a los Geschäftsleiter personalmente responsables de los fallos en la gobernanza de la ciberseguridad, incluyendo un deber irrenunciable de aprobar las medidas, supervisar su implementación y completar una formación personal en ciberseguridad. Ningún control de ISO aborda esto.

Marco sancionador legal (§65 BSIG)

El incumplimiento de ISO 27001 resulta en la pérdida de la certificación, una consecuencia reputacional. El incumplimiento de NIS2 en virtud del §65 BSIG conlleva multas de hasta 10 millones EUR o el 2% del volumen de negocio mundial para las entidades esenciales. El mecanismo de aplicación es fundamentalmente distinto: sanciones de las autoridades frente a un estado de certificación voluntaria.

Diligencia debida reforzada sobre la cadena de suministro (§30(2)(4) BSIG)

Si bien los controles A.5.19-A.5.23 del Anexo A de ISO 27001 cubren la seguridad de los proveedores, NIS2 exige una evaluación de riesgos de la cadena de suministro más granular, que incluya la valoración de la propia madurez en ciberseguridad de los proveedores, la consideración de las vulnerabilidades específicas de la cadena de suministro y la evaluación de las dependencias críticas. El Anexo del CIR 2024/2690 especifica requisitos de seguridad contractuales y una supervisión continua de los proveedores que exceden los controles de gestión de proveedores de ISO 27001.

Requisitos de gobernanza específicos de NIS2

NIS2 exige estructuras de gobernanza específicas, incluyendo puntos de contacto designados ante el BSI (§33 BSIG), la participación en los CSIRT sectoriales y el cumplimiento de las órdenes de ejecución del BSI. Son requisitos regulatorios de gobernanza que quedan fuera del alcance del SGSI: conciernen a la relación entre la entidad y las autoridades públicas, no a la gestión interna de la seguridad.

Correspondencia entre el §30(2) BSIG y los controles de ISO 27001
Correspondencia detallada de cada área de medidas de NIS2 con los controles del Anexo A de ISO 27001:2022 más próximos, con una valoración de la cobertura.
Medida NIS2 / §30(2) BSIGControles ISO 27001:2022Cobertura
Análisis de riesgos y políticas de seguridadCláusula 6.1, 8.2; A.5.1
Completa
Gestión de incidentesA.5.24-A.5.28
Parcial - sin plazos de notificación al BSI
Continuidad de negocio y gestión de crisisA.5.29, A.5.30
Completa
Seguridad de la cadena de suministroA.5.19-A.5.23
Parcial - falta la diligencia debida reforzada
Seguridad en la adquisición, el desarrollo y el mantenimientoA.8.25-A.8.31
Completa
Evaluación de la eficaciaCláusula 9.1, 9.2, 9.3; A.8.8
Completa
Formación en ciberseguridadA.6.3
Parcial - la formación de la dirección del §38 no está cubierta
CriptografíaA.8.24
Completa
Control de acceso y gestión de activosA.5.9-A.5.18; A.8.2-A.8.5
Completa
Autenticación multifactor y comunicación seguraA.8.5
Parcial - el requisito de MFA es más específico en NIS2
Fuentes
  • ISO/IEC 27001:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información
  • BSIG - §30(2) (Risikomanagementmaßnahmen), §32 (Meldepflichten), §33 (Registrierung), §38 (Geschäftsleitung), §65 (Bußgeldvorschriften)
  • BSI - Guía sobre la relación entre la certificación ISO 27001 y el cumplimiento de NIS2
  • ENISA - Guía de correspondencia de NIS2 con ISO 27001 (2024)
  • DataGuard - Análisis de brechas y correspondencia de ISO 27001 con NIS2 (2024)
  • CIR (UE) 2024/2690 - Requisitos técnicos del Anexo y referencias a ISO 27001
Cierre sus brechas de ISO a NIS2
La plataforma identifica exactamente qué requisitos de NIS2 cubre ya su certificación ISO 27001 y qué brechas quedan, de modo que construya sobre los controles existentes en lugar de empezar de cero.
Inicie su proceso de cumplimiento de NIS2