Art. 21 NIS 2 + §30 BSIG + BSI 200-1

¿Qué es un ISMS y necesito uno para NIS 2?

Un ISMS no es una pieza de software. Es la forma en que tu organización decide, ejecuta y mejora sus controles de seguridad. NIS 2 nunca usa la palabra, pero el Art. 21(2) exige exactamente lo que hace un ISMS.

Simon OrzelSimon Orzel·

Por qué la gente se equivoca en esto

ISMS es una de las palabras peor usadas en las conversaciones sobre NIS 2. La confusión más común es tratarlo como una herramienta que comprar. No lo es. Un ISMS es la forma en que una organización gestiona la seguridad de la información: cómo se deciden las políticas, cómo se evalúan los riesgos, cómo se eligen los controles, cómo se gestionan los incidentes, cómo se revisa todo ello.

La propia NIS 2 nunca usa 'ISMS' como término. La directiva habla de 'políticas', 'medidas', 'gestión de riesgos' y 'gobernanza'. El Art. 21(2) enumera diez requisitos que, en conjunto, describen exactamente lo que hace un ISMS. ISO 27001 llama a esto mismo 'un sistema de gestión de la seguridad de la información'. IT-Grundschutz lo llama 'Informationssicherheitsmanagementsystem'. La sustancia es idéntica.

La pregunta práctica no es si tienes un ISMS, sino cuánto peso tiene. Un Mittelstand de 60 personas que funcione con una política de una página más un pequeño registro de riesgos más una reunión de revisión anual puede satisfacer NIS 2. Un banco de 6000 personas no puede. Ambos ejecutan un ISMS; uno es simplemente más pesado que el otro.

Dónde lo exige NIS 2 sin nombrarlo
Tres anclajes textuales. Dos en la directiva, uno en IT-Grundschutz que operativiza ambos.

Art. 21(1) y 21(2) NIS 2

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks. The measures shall include at least the following: policies on risk analysis and information system security; incident handling; business continuity; supply chain security; security in network and information systems acquisition; policies and procedures to assess the effectiveness of cybersecurity risk-management measures; basic cyber hygiene practices and training; cryptography; human resources security, access control policies and asset management; use of multi-factor authentication.

Leídos en conjunto, los diez puntos describen un sistema de gestión. 'Políticas', 'procedimientos', 'evaluar la eficacia' — esos son verbos de ISMS. NIS 2 no exige la certificación ISO 27001, pero exige la sustancia que ISO 27001 cubre.

§30 BSIG (transposición alemana del Art. 21)

Wesentliche und wichtige Einrichtungen ergreifen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der von ihnen für die Erbringung ihrer Dienste genutzten informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.

La transposición alemana usa 'geeignete, verhältnismäßige und wirksame' — apropiadas, proporcionadas y eficaces. Eficaces es la palabra que hace necesario el sistema de gestión: solo puedes demostrar la eficacia si mides y revisas.

BSI IT-Grundschutz BSI 200-1, §3

Ein Informationssicherheitsmanagementsystem (ISMS) ist die Gesamtheit der Regelungen, die zur Steuerung und Überwachung der Aufgaben des Informationssicherheitsmanagements in einer Organisation dienen.

La definición legal más breve de un ISMS en alemán. Es el conjunto de reglas que rigen cómo se dirige y supervisa la seguridad de la información. No una herramienta, no un proyecto, no una auditoría puntual. Una forma de trabajar.

Cuatro elementos que hacen de un ISMS un ISMS
Lo llames ISMS, ISO 27001, IT-Grundschutz o 'nuestro programa de seguridad', cuatro elementos tienen que estar presentes.

Alcance definido

Qué partes de la organización cubre el ISMS, cuáles son los límites, qué queda explícitamente fuera. Sin alcance, toda conversación deriva.

Política documentada

Una política de seguridad de la información por escrito firmada por el órgano de dirección. Una página basta para una entidad pequeña. Compromete a la organización con principios concretos y asigna la responsabilidad.

Decisiones basadas en el riesgo

Los controles se eligen porque abordan riesgos identificados, no porque aparezcan en una lista de comprobación. El registro de riesgos es el vínculo del inventario al control.

Revisión periódica

Al menos anualmente. El órgano de dirección examina qué funcionó, qué no, qué cambió en el panorama de amenazas. Un ISMS estático no es un ISMS, es una instantánea.

Tres cosas que un ISMS no es
La mayoría de los malentendidos impulsados por compras vienen de uno de estos.

No es una herramienta de software

Las herramientas apoyan un ISMS, no lo sustituyen. Puedes ejecutar un ISMS adecuado en una carpeta; no puedes sustituir las decisiones de gobernanza por una suscripción SaaS.

No es un proyecto puntual

Montar el ISMS es un proyecto. Ejecutarlo es trabajo continuo. La revisión anual es el momento que convierte un entregable de proyecto en un sistema.

No es lo mismo que una auditoría

Las auditorías comprueban si el ISMS funciona. No constituyen el ISMS. Una auditoría sin un sistema de gestión subyacente no tiene nada que comprobar.

¿Necesitas un ISMS para NIS 2?

Si tu entidad está dentro del ámbito de NIS 2, la sustancia de un ISMS es obligatoria con independencia de cómo lo llames. Sin una política documentada, decisiones basadas en el riesgo y un ciclo de revisión, no puedes demostrar que las medidas del Art. 21(2) son 'apropiadas, proporcionadas y eficaces' como exige el §30 BSIG.

Lo que no es obligatorio es la certificación ISO 27001. Muchos auditores la esperan porque es la prueba más reconocida, pero un ISMS construido por cuenta propia alineado con IT-Grundschutz o con un estándar sectorial es igualmente válido. Elige el estándar que puedas sostener, no el que parezca más pesado en una diapositiva.

Construye un ISMS mínimo en cuatro artefactos
Cuatro documentos son el suelo absoluto para un Mittelstand de 60 personas. Cada uno cabe en una página.

1. Declaración de alcance

Qué entidades jurídicas, qué sedes, qué servicios están cubiertos. Un párrafo firmado por el órgano de dirección.

2. Política de seguridad de la información

De cinco a siete principios. Ejemplos: clasificar los datos por sensibilidad, restringir el acceso de administrador a personas nominadas, formar a todo el personal anualmente, notificar los incidentes dentro de los plazos acordados, revisar los riesgos anualmente.

3. Registro de riesgos

Una fila por riesgo identificado. Descripción, probabilidad, impacto, decisión de tratamiento, propietario, fecha de revisión. De diez a veinte filas para una entidad pequeña.

4. Calendario de revisión

Un documento que indique que el órgano de dirección revisa el ISMS una vez al año, quién asiste, qué evidencia se presenta. Sin esto, el ISMS es decoración.

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), Art. 21(1) y 21(2), www.eur-lex.europa.eu
  • Ley sobre la Oficina Federal de Seguridad de la Información (BSIG), §30, www.gesetze-im-internet.de
  • Estándar BSI IT-Grundschutz BSI 200-1, §3 (definición de ISMS), www.bsi.bund.de
  • ISO/IEC 27001:2022 (estándar internacional de ISMS, voluntario bajo NIS 2)

Esta página proporciona orientación estructurada basada en fuentes de acceso público (Directiva NIS 2, BSIG, BSI IT-Grundschutz, ISO/IEC 27001). No constituye asesoramiento jurídico en el sentido del §2 RDG. Para casos concretos consulta a un abogado colegiado. A fecha de 2026-06-04.

Empieza por los cuatro artefactos mínimos
La plataforma produce plantillas editables de alcance, política, registro de riesgos y calendario de revisión ajustadas a los requisitos de NIS 2.
Inicia sesión en la plataforma