Compliance
ISO 27001
certificación
SGSI

Certificado ISO 27001: proceso, coste y plazos reales 2026

Cómo obtener el certificado ISO 27001 paso a paso: requisitos previos, Etapa 1, Etapa 2, auditoría externa ENAC, coste real, plazos y errores que evitar.

Secra16 de mayo de 202617 min de lectura

El certificado ISO 27001 es el documento que emite una entidad acreditada por ENAC (en España) tras auditar que una organización tiene implantado un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma. No se compra, no se aprueba con un examen y no caduca de un día para otro: se obtiene tras un proceso que dura entre 5 y 9 meses en una PYME bien organizada, exige documentación viva y se renueva cada 3 años con auditorías anuales de vigilancia. Esta guía recorre el proceso real (no la versión de folleto): qué necesitas antes de empezar, qué pasa en Etapa 1, qué pasa en Etapa 2, cuánto cuesta realmente, qué entidad certificadora elegir y los errores que tumban auditorías que parecían listas.

Si necesitas el contexto general de la norma (qué es, qué exige, los 93 controles del Anexo A), está en la pieza ISO 27001 explicada. Aquí entramos directos a la certificación.

Qué es el certificado ISO 27001

El certificado es el reconocimiento formal, emitido por una entidad de certificación acreditada (en España, acreditada por ENAC según ISO/IEC 17021-1), de que tu SGSI cumple los requisitos de ISO/IEC 27001:2022 y de que los controles aplicables del Anexo A están implantados y operando.

Tres ideas que conviene fijar antes de seguir:

  1. No certifica el producto, certifica la gestión. El certificado no dice que tu software sea seguro. Dice que la organización gestiona la seguridad de la información de forma sistemática, planificada y mejorable.
  2. Lo emite una entidad independiente, no un consultor ni la propia organización. Una consultora puede acompañarte en la implantación, pero la auditoría que da el sello la hace una entidad distinta (separación obligatoria por la propia norma de acreditación).
  3. Tiene fecha. El certificado se emite por 3 años. Para mantenerlo, la organización pasa una auditoría anual de vigilancia (años 1 y 2) y una auditoría de recertificación completa al final del ciclo.

En España, los clientes B2B, las licitaciones públicas y los grandes operadores piden cada vez con más frecuencia el certificado como condición de proveedor. Forma parte del baremo en concursos, agiliza due diligence en compras y fusiones, y reduce fricción comercial con clientes corporativos que ya están certificados y miden a su cadena de suministro.

Por qué certificarse: beneficios reales

Hay tres motivos que aparecen en cada proceso de decisión que vemos en proyectos reales.

1. Acceso a contratos B2B y a licitaciones públicas

Cada vez más pliegos exigen ISO 27001 como requisito (no como mérito). En sectores regulados (banca, energía, sanidad, administración pública, telcos) el certificado es la puerta de entrada. Para PYMEs que venden servicios tecnológicos a clientes corporativos, el sello recorta semanas de cuestionarios de seguridad y permite responder con un único documento.

2. Cumplimiento parcial de otros marcos

ISO 27001 cubre buena parte de los controles que exigen otras normativas. Según nuestra experiencia en proyectos de gap analysis en clientes españoles, el solapamiento típico es:

  • En torno al 70% de los controles técnicos y organizativos del artículo 21 de NIS2 (analizado en NIS2 España: cómo cumplir).
  • En torno al 75% de los controles del Esquema Nacional de Seguridad (ENS para PYMEs).
  • Parte significativa de DORA para entidades financieras (analizado en DORA cumplimiento 2026).
  • Solapamiento alto con TISAX en automoción y con SOC 2 en SaaS internacional.

Son estimaciones de mercado consistentes con lo publicado por consultoras y auditoras de referencia; el porcentaje exacto depende del alcance certificado y de cómo se haya aplicado el Anexo A en cada caso.

No reemplaza a ninguna de ellas, pero la base documental se reutiliza casi entera. Una organización certificada llega al alcance de NIS2 con la mitad del camino hecho.

3. Madurez operativa demostrable

El proceso obliga a la organización a documentar las prácticas reales, a decidir qué riesgos se asumen con criterio escrito y a medir si las medidas implantadas mejoran con el tiempo. Aunque no se buscara el sello, el ejercicio en sí baja el riesgo operativo. Lo vemos en proyectos de respuesta a incidentes: las organizaciones certificadas recuperan antes porque tienen la documentación viva y los procedimientos ensayados.

Requisitos previos: qué necesitas antes de pedir auditoría

No todas las organizaciones están listas para certificarse. Antes de contactar con una entidad certificadora hay tres condiciones objetivas que debes cumplir.

Un SGSI vivo, no un manual de estante

El error más caro es producir un set de documentos brillante que nadie usa. La auditoría externa busca evidencias de que el SGSI opera: registros de reuniones del comité, revisiones por la dirección, análisis de riesgos actualizado, plan de tratamiento ejecutado, indicadores medidos. Si los documentos están perfectos pero las actas tienen 18 meses, el auditor lo detecta en la primera mañana.

Análisis de riesgos formal y trazable

ISO 27001 no impone una metodología concreta, pero exige que los riesgos estén identificados, evaluados y tratados con criterios consistentes. La metodología más usada en España es MAGERIT (analizada en qué es MAGERIT), aunque también valen ISO 31000, NIST SP 800-30, OCTAVE o métodos propios bien justificados. Lo que el auditor verifica:

  • Inventario de activos vivo (no la hoja Excel del año pasado).
  • Criterios de valoración consistentes entre activos.
  • Tratamiento decidido y registrado (aceptar, mitigar, transferir, evitar).
  • Plan de tratamiento con acciones, responsables y plazos.

Auditoría interna ejecutada antes de la externa

La cláusula 9.2 de la norma exige una auditoría interna del SGSI antes de cada ciclo de certificación. Si vas a la Etapa 2 sin haber pasado una auditoría interna seria, la entidad certificadora levantará no conformidad de entrada. La auditoría interna la puede ejecutar personal propio independiente del área auditada o un consultor externo (con independencia del que te haya implantado el SGSI, según la lógica de la norma).

Una revisión por la dirección documentada

La cláusula 9.3 exige que la alta dirección revise periódicamente el SGSI, deje constancia escrita de qué decide, qué aprueba y qué recursos asigna. Sin acta firmada por dirección, falla un requisito explícito.

Las fases del proceso de certificación

La certificación ISO 27001 sigue un esquema estándar definido por la propia acreditación internacional. Tiene dos etapas obligatorias más una auditoría inicial de revisión documental, y se repite parcialmente cada año.

Fase 0: implantación del SGSI

Antes de hablar con la entidad certificadora, la organización implanta su SGSI. En una PYME de 50 a 200 empleados, esta fase dura entre 4 y 7 meses si se aborda con dedicación. Incluye:

  • Definición del alcance del SGSI (qué procesos, qué ubicaciones, qué servicios entran).
  • Identificación de partes interesadas y requisitos legales.
  • Análisis de riesgos completo.
  • Declaración de Aplicabilidad (SoA) con la decisión motivada sobre cada uno de los 93 controles del Anexo A.
  • Políticas, procedimientos y registros operativos.
  • Plan de tratamiento de riesgos ejecutado.
  • Auditoría interna y revisión por dirección.

Cuando estos seis puntos están sólidos, se contrata a la entidad certificadora.

Fase 1: revisión documental (Etapa 1)

La entidad certificadora realiza una revisión documental del SGSI, normalmente sobre el terreno aunque algunas entidades aceptan remoto. Dura entre 1 y 3 días según tamaño de la organización. El auditor revisa:

  • Documentación del SGSI completa.
  • Resultado de la auditoría interna.
  • Acta de revisión por la dirección.
  • Estado del plan de tratamiento.
  • Madurez operativa aparente.

Sale con un informe de Etapa 1 que lista hallazgos, observaciones y, lo importante, el grado de preparación para Etapa 2. Si el SGSI no está listo, la entidad puede recomendar posponer Etapa 2 unas semanas para corregir.

Fase 2: auditoría de certificación (Etapa 2)

Es la auditoría real. Dura entre 2 y 5 días según tamaño (en una PYME estándar suelen ser 3). El equipo auditor profundiza en:

  • Operación efectiva de los controles (entrevistas, revisión de registros, evidencias técnicas).
  • Tratamiento de los riesgos identificados.
  • Cumplimiento legal aplicable.
  • Mejora continua medible.

Termina con un informe de auditoría que clasifica los hallazgos en tres categorías:

  1. No conformidades mayores. Bloquean la certificación hasta que se corrigen y se evidencia la corrección con plan de acción aprobado por el equipo auditor.
  2. No conformidades menores. No bloquean la emisión, pero exigen plan de acción cerrado en un plazo (típicamente 90 días) que se verifica en la siguiente vigilancia.
  3. Observaciones. Sugerencias de mejora sin obligación formal.

Si no hay mayores abiertas, el comité técnico de la entidad emite el certificado en 4-8 semanas tras Etapa 2. La validez es de 3 años desde la fecha de emisión.

Fase 3: vigilancia y recertificación

Una vez emitido el certificado, el ciclo continúa:

  • Auditoría de vigilancia año 1 y año 2. Más breves que la Etapa 2 (1-2 días). Verifican que el SGSI sigue vivo, atendiendo en especial a no conformidades pendientes, cambios significativos, nuevas amenazas relevantes y áreas no muestreadas en auditorías previas.
  • Auditoría de recertificación año 3. Equivalente a una Etapa 2 condensada. Si se supera, el certificado se renueva otros 3 años.

Perder la vigilancia (no pasarla o pasarla con mayores sin cerrar) implica suspensión del certificado. Recuperarlo exige acciones correctivas verificadas y, en casos graves, repetir Etapa 2.

Coste real de certificarse en España

Hay tres bloques de coste que conviene separar para no llevarse sorpresas.

Coste de implantación (Fase 0)

Es la partida más grande y la más variable. Depende del tamaño de la organización, del alcance del SGSI, de la madurez previa y de si se hace con consultoría externa o con equipo interno. En el mercado español:

  • PYME hasta 50 empleados, alcance acotado: implantación con consultoría especializada en torno a 8.000-18.000 €.
  • PYME 50-200 empleados, alcance medio: típicamente 15.000-35.000 €.
  • Empresa mediana 200-500 empleados, alcance amplio: a partir de 30.000-60.000 €.

Si se implanta con equipo interno con experiencia previa, el coste se reduce pero se sustituye por horas internas. Calcula entre 300 y 600 horas de dedicación efectiva en el primer año.

Coste de auditoría externa (Etapa 1 + Etapa 2)

Lo paga la organización a la entidad certificadora. Las tarifas las marca cada entidad y suelen seguir bandas según jornadas de auditor:

  • PYME hasta 50 empleados: aproximadamente 3.000-5.500 € la primera certificación.
  • PYME 50-200 empleados: 5.500-9.000 €.
  • Empresa mediana: 9.000-18.000 € o más según jornadas.

Las vigilancias anuales rondan el 50-60% del coste de la certificación inicial. La recertificación al año 3 cuesta entre el 70 y el 85% de la inicial.

Costes ocultos que conviene presupuestar

Son los que aparecen cuando la implantación está en marcha:

  • Herramientas técnicas para soportar controles (gestor de vulnerabilidades, EDR, soluciones de cifrado, gestor documental). Pueden ser cero si ya se tienen.
  • Formación y concienciación del personal (control A.6.3 del Anexo A).
  • Pruebas técnicas que evidencian la sección 8.8 sobre vulnerabilidades: típicamente un pentesting anual y escaneos periódicos.
  • Auditorías internas si se externalizan.
  • Tiempo del comité de seguridad y de los responsables de proceso.

Sumando los tres bloques, una PYME estándar puede contar con un coste total del primer año en el rango de 25.000 a 60.000 € para llegar al certificado, y un coste anual recurrente de mantenimiento (vigilancias, herramientas, formación, pruebas) entre 8.000 y 20.000 € los dos años siguientes. Son cifras de mercado, no propuesta cerrada: el alcance lo define cada caso.

Plazos reales de principio a fin

Si se aborda con dedicación y sin pausas, el cronograma típico de una PYME es el siguiente.

Cronograma orientativo para una PYME

  • Mes 1: definición de alcance, inventario de activos, identificación de partes interesadas, plan de proyecto.
  • Mes 2: análisis de riesgos completo, criterios de valoración, primera Declaración de Aplicabilidad.
  • Mes 3-4: redacción de políticas y procedimientos clave, despliegue de controles más urgentes.
  • Mes 5-6: operación efectiva, registros vivos, indicadores recopilándose.
  • Mes 7: auditoría interna, revisión por dirección, cierre de no conformidades propias.
  • Mes 8: Etapa 1 con la entidad certificadora.
  • Mes 9: Etapa 2 y emisión del certificado tras decisión del comité técnico de la entidad (4-8 semanas adicionales).

Total realista: 8 a 10 meses desde el arranque del proyecto hasta el certificado emitido. Organizaciones que ya tienen documentación parcial (porque vienen de un esquema previo, de SOC 2 o de un sistema de calidad ISO 9001) bajan a 5-7 meses. Organizaciones que arrancan de cero y sin dedicación clara pueden estirarse a 12-15 meses.

Cómo elegir entidad certificadora

En España hay varias entidades acreditadas por ENAC para certificar ISO/IEC 27001. Las más conocidas son AENOR, Bureau Veritas, TÜV Rheinland, LRQA, DNV, SGS, Applus+ y otras. Todas son válidas en el sentido formal: una vez acreditadas por ENAC, el certificado tiene el mismo valor legal y comercial. Las diferencias reales que conviene valorar:

  1. Reconocimiento del cliente final. Si tu mercado principal es España y administración pública, AENOR tiene tradición y peso reputacional fuertes. Si tu cliente principal es internacional, las grandes multinacionales (Bureau Veritas, TÜV, DNV, LRQA, SGS) tienen presencia global.
  2. Auditores con experiencia en tu sector. Pregunta antes de firmar: ¿qué auditores asignan, qué experiencia tienen en empresas como la tuya, qué porcentaje del equipo es de plantilla y qué porcentaje es subcontratado?
  3. Coste y planificación. Las tarifas varían, las fechas disponibles también. Algunas entidades tienen lista de espera de 3-5 meses para Etapa 2.
  4. Servicios adicionales. Algunas ofrecen certificación multimarco (ISO 27001 + 27701 + 22301) con descuento o auditorías combinadas, que ahorran tiempo y dinero si te interesa el paquete.

Acreditación ENAC es innegociable. Hay entidades que emiten "certificados ISO 27001" sin acreditación válida en España. No los reconocen ni los clientes B2B serios ni la administración pública, así que pagas por un sello sin valor.

Errores comunes que tumban auditorías

Lista breve de patrones que aparecen en auditorías fallidas o con muchas no conformidades:

  1. Alcance demasiado ambicioso para los recursos disponibles. Mejor certificar primero un alcance bien acotado (un servicio, una sede) y ampliar en el siguiente ciclo que arrancar con todo y llegar a Etapa 2 sin evidencias.
  2. Análisis de riesgos teórico. Si el análisis es perfecto en el papel pero las decisiones de tratamiento no se reflejan en presupuesto, proyectos o configuraciones reales, el auditor lo nota.
  3. Documentación sin vida. Versiones de hace dos años, registros en blanco, actas inventadas. La forma más rápida de perder credibilidad ante el equipo auditor.
  4. Saltarse la auditoría interna. O hacerla con la misma persona que implantó el SGSI. Ambas son no conformidad mayor automática.
  5. Confundir consultoría con certificación. La misma empresa no puede implantar y certificar. Si te ofrecen las dos cosas a la vez con el mismo sello, no es ISO acreditada.
  6. Olvidar la formación y la concienciación. El control A.6.3 falla con frecuencia: gente que no sabe que existe el SGSI, que no recuerda la política de uso aceptable, que no ha pasado el plan de concienciación anual.
  7. No probar los planes de continuidad. Tener escrito un plan de continuidad sin un ejercicio de prueba documentado en el último año es no conformidad menor segura.

Mantener la certificación: el día después

Obtener el certificado es la mitad del trabajo. Mantenerlo durante 3 años con dos vigilancias intermedias exige tres disciplinas que conviene asentar desde el día uno.

Indicadores que se miden de verdad

La cláusula 9.1 exige medir el desempeño del SGSI. No basta con tenerlos definidos: hay que recopilarlos, analizarlos y presentarlos en la revisión por dirección. Los más útiles en PYMEs:

  • Número y severidad de incidentes detectados.
  • Tiempo medio de detección y respuesta (MTTD/MTTR, analizados en qué es un SOC).
  • Vulnerabilidades críticas pendientes y plazo medio de remediación.
  • Porcentaje de personal con formación al día.
  • Cumplimiento del plan de tratamiento.

Mejora continua trazable

Cada incidente, cada hallazgo de auditoría interna, cada vulnerabilidad relevante debería traducirse en una acción correctiva con responsable, plazo y verificación de eficacia. El auditor pide ver el registro y la trazabilidad.

Anticipación a cambios significativos

Cambios de alcance, fusiones, nuevos servicios cloud críticos, cambios regulatorios (la entrada en vigor de NIS2 es un ejemplo reciente), nuevas amenazas relevantes. Todos exigen revisar el análisis de riesgos y, a veces, actualizar la Declaración de Aplicabilidad. Hacerlo entre auditorías evita sustos en la siguiente.

Preguntas frecuentes

¿Cuánto tarda en obtenerse el certificado ISO 27001?

Entre 5 y 9 meses en una PYME bien organizada que parte de un nivel básico de gestión y dedica recursos al proyecto. Organizaciones que arrancan de cero o sin dedicación clara pueden alargarse a 12-15 meses. Una vez superada la Etapa 2, la entidad certificadora tarda 4-8 semanas adicionales en emitir el certificado formal.

¿Cuánto cuesta certificarse en ISO 27001 en España?

El coste total del primer año para una PYME de 50-200 empleados ronda los 25.000-60.000 €, sumando implantación con consultoría, auditoría externa (Etapas 1 y 2) y costes asociados (herramientas, formación, pruebas técnicas). El mantenimiento anual de los dos años siguientes oscila entre 8.000 y 20.000 €. Son cifras de mercado, no propuesta: el coste exacto depende del alcance, de la madurez previa y de la entidad certificadora elegida.

¿Quién emite el certificado ISO 27001 en España?

Lo emiten entidades de certificación acreditadas por ENAC según ISO/IEC 17021-1. Las más habituales en España son AENOR, Bureau Veritas, TÜV Rheinland, LRQA, DNV, SGS y Applus+, entre otras. La acreditación ENAC es obligatoria para que el certificado tenga reconocimiento formal en licitaciones y mercados corporativos.

¿Cuánto dura el certificado ISO 27001?

3 años desde la fecha de emisión. Durante ese periodo, la organización pasa una auditoría anual de vigilancia en los años 1 y 2 (más breve que la inicial) y una auditoría de recertificación completa al final del ciclo, que renueva el certificado otros 3 años si se supera.

¿Es obligatoria la ISO 27001?

No es obligatoria por ley con carácter general. Sí es exigida como requisito contractual en cada vez más sectores: licitaciones públicas, banca, energía, sanidad, telcos y empresas grandes que miden la seguridad de su cadena de suministro. En el contexto de NIS2 y DORA, la certificación es la forma más eficiente de evidenciar buena parte de los controles exigidos.

¿Vale igual la ISO 27001 emitida sin acreditación ENAC?

No para los efectos que importan en España. Las certificaciones emitidas por entidades sin acreditación ENAC (o sin acreditación equivalente reconocida internacionalmente) no se aceptan en licitaciones públicas y no convencen a clientes B2B serios. El precio menor de estas opciones suele convertirlas en gasto sin retorno.

¿Se puede certificar solo una parte de la empresa?

Sí. La norma permite definir el alcance del SGSI acotado a procesos, servicios o ubicaciones concretas. Es una buena práctica empezar por un alcance manejable y ampliarlo en ciclos sucesivos. Lo que no se puede hacer es declarar un alcance que incluye procesos críticos no controlados o que excluye dependencias internas significativas: el auditor lo detecta y obliga a redefinir.

¿La certificación cubre el cumplimiento de NIS2 o DORA automáticamente?

No automáticamente, pero cubre buena parte del camino. ISO 27001 aporta aproximadamente el 70% de los controles técnicos y organizativos del artículo 21 de NIS2 y una proporción similar de los requisitos del marco DORA. La organización certificada llega al gap analysis con la mitad del trabajo hecho. Lo desarrollamos en ISO 27001 y NIS2: complementariedad.

Recursos relacionados

¿Estás valorando certificar tu SGSI en ISO 27001? En Secra acompañamos el proceso completo desde el servicio de consultoría ISO 27001 (sin actuar como entidad certificadora, por la separación obligatoria que exige la norma): análisis de gap inicial, diseño del SGSI, gestión de riesgos con MAGERIT, redacción de políticas, soporte a la auditoría interna y preparación de Etapa 1 y Etapa 2. Cuéntanos tu caso y revisamos el alcance, los plazos y la entidad certificadora que mejor encaja.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

Compliance

Qué es INCIBE: funciones, servicios para empresas y diferencia con CCN

Qué es INCIBE, sus funciones, servicios para empresas (INCIBE-CERT, Línea 017, advisories), diferencia con CCN y CCN-CERT y cómo notificar un incidente.

2026-05-1211 min
Compliance

Qué es Magerit: metodología de análisis de riesgos y herramienta PILAR

Qué es Magerit, los 6 elementos (activos, amenazas, salvaguardas), el proceso paso a paso, herramienta PILAR y encaje con ENS, ISO 27001, NIS2 y DORA.

2026-05-1213 min
Compliance

Auditoría NIS2: cómo prepararse paso a paso (Guía 2026)

Metodología práctica para preparar una auditoría NIS2: gap analysis, checklist artículo 21, evidencias, plan de remediación y errores frecuentes.

2026-05-0214 min