Compliance
ISO 27001
NIS2
SGSI

ISO 27001 + NIS2: cómo se complementan

¿Tener ISO 27001 me cubre NIS2? Análisis técnico de solapamientos, gaps reales y cómo aprovechar el SGSI para acelerar la adecuación.

Secra2 de mayo de 202610 min de lectura

ISO 27001:2022 cubre aproximadamente el 70% de las obligaciones del artículo 21 de NIS2. Es la mejor base de partida posible. Pero no equivale a cumplir NIS2: hay obligaciones específicas de NIS2 que ISO no exige formalmente — notificación 24h/72h, gestión activa de cadena de suministro, formación específica del consejo, responsabilidad personal de directivos y evaluación de eficacia mediante pruebas técnicas como pentesting recurrente. La estrategia recomendada: SGSI extendido NIS2-ready, donde el ISO se mantiene como marco base y se documentan los deltas NIS2 como ampliación. Plazo orientativo de la extensión NIS2 sobre una base ISO ya certificada: 2-4 meses adicionales.

La pregunta clave: ¿ISO 27001 cumple NIS2?

Respuesta corta: parcialmente. La cobertura es alta pero insuficiente para considerar cumplido NIS2 sin trabajo adicional.

Respuesta larga: ISO 27001:2022 establece un marco completo de gestión de la seguridad de la información (cláusulas 4-10) y un catálogo de controles (Anexo A, 93 controles). NIS2 establece obligaciones específicas y exigibles sobre 10 áreas del artículo 21 más un régimen propio de notificación de incidentes, gobernanza y sancionador. Hay alto solapamiento en los controles, pero NIS2 excede ISO en cinco frentes concretos.

Mapeo control a control: Anexo A 2022 ↔ artículo 21 NIS2

Esta es la tabla de equivalencia operativa que utilizamos en proyectos reales.

Artículo 21 NIS2Controles ISO 27001:2022 (Anexo A) más relevantesCobertura ISO
a. Análisis de riesgos y políticas de seguridadA.5.1 Políticas, A.5.7 Threat intelligence, A.5.36 Cumplimiento; cláusula 6.1 Acciones para tratar riesgosAlta
b. Gestión de incidentesA.5.24 Planificación gestión incidentes, A.5.25 Evaluación, A.5.26 Respuesta, A.5.27 Aprendizaje, A.5.28 Recogida de evidenciasMedia-Alta (falta plazo 24h/72h)
c. Continuidad de negocioA.5.29 Seguridad info durante interrupciones, A.5.30 Preparación TIC para continuidad, A.8.13 Copias de seguridad, A.8.14 RedundanciaAlta
d. Seguridad de la cadena de suministroA.5.19 Seguridad en relaciones con proveedores, A.5.20 Cláusulas, A.5.21 Cadena TIC, A.5.22 Seguimiento y revisión, A.5.23 Servicios cloudMedia (NIS2 exige verificación activa periódica más allá de cláusulas)
e. Seguridad en adquisición, desarrollo y mantenimientoA.8.8 Gestión vulnerabilidades técnicas, A.8.25-A.8.34 Desarrollo seguro, A.5.37 Procedimientos operativosAlta
f. Políticas y procedimientos de evaluación de eficaciaCláusulas 9.1 Seguimiento, 9.2 Auditoría interna, 9.3 Revisión por la dirección, A.5.35 Revisión independienteMedia-Alta (NIS2 implica pruebas técnicas más allá de auditoría documental)
g. Ciberhigiene básica y formaciónA.6.3 Concienciación, formación y capacitación; A.5.4 Responsabilidades de la direcciónMedia (NIS2 exige formación específica al consejo)
h. Criptografía y cifradoA.8.24 Criptografía; estándares y gestión de clavesAlta
i. Seguridad de RRHH, control de acceso, gestión de activosA.6 Personas (8 controles), A.5.9-A.5.18 Activos y accesos, A.8.2-A.8.5 Privilegios y autenticaciónAlta
j. MFA, comunicaciones seguras, comunicación de emergenciaA.8.5 Autenticación segura, A.8.20-A.8.23 Seguridad de redes, A.5.14 Transferencia de informaciónAlta

Cobertura agregada: 70-75% de las áreas, con calidad variable por área.

Lo que ISO 27001 SÍ cubre de NIS2

Si tienes ISO 27001:2022 implantada y certificada, ya tienes:

  • Marco de gobernanza alineado con cláusula 5: política aprobada por dirección, roles y responsabilidades, compromiso visible.
  • Análisis de riesgos estructurado con metodología, criticidad y tratamiento documentado.
  • Procedimiento de gestión de incidentes con detección, clasificación, respuesta y aprendizaje.
  • Plan de continuidad con BCP/DRP probados.
  • Cláusulas contractuales mínimas con proveedores TIC.
  • SDLC seguro con gestión de vulnerabilidades.
  • MFA y políticas de control de acceso.
  • Auditorías internas y revisión por la dirección.
  • Formación general de personal en ciberhigiene.
  • Criptografía documentada.

Esto es la base sólida sobre la que construir.

Lo que ISO 27001 NO cubre de NIS2

1. Notificación de incidentes 24h / 72h / 1 mes

ISO 27001 exige procedimiento de gestión de incidentes pero no fija plazos ni canales hacia autoridades. NIS2 obliga a:

  • Alerta temprana en 24 horas al CSIRT competente
  • Notificación completa en 72 horas
  • Informe final en 1 mes

Acción: extender el procedimiento ISO con flujo NIS2 que active los plazos automáticamente al clasificar un incidente como significativo. Designar el CSIRT competente como destinatario en plantillas.

2. Cadena de suministro: alcance ampliado y verificación activa

ISO exige cláusulas contractuales y revisión periódica (A.5.22). NIS2 va más allá:

  • Inventario de proveedores TIC críticos mantenido y revisable
  • Evaluación periódica documentada del riesgo de cada proveedor
  • Riesgo de concentración considerado a nivel agregado
  • Plan de respuesta ante incidente que afecte a un proveedor crítico

Acción: documentar el inventario, el procedimiento de evaluación periódica (cuestionarios, evidencias, frecuencia) y el riesgo de concentración. Suele requerir formalizar lo que ya hay informal.

3. Responsabilidad personal de directivos

ISO 27001 exige compromiso del consejo (cláusula 5.1) pero no responsabiliza personalmente por incumplimientos. NIS2 sí: las autoridades pueden inhabilitar a directivos y exigir responsabilidad personal.

Acción: documentar due diligence del consejo: actas de aprobación, formación recibida, decisiones sobre presupuesto y prioridades de seguridad. Es la mejor defensa ante una inspección.

4. Formación específica del órgano de dirección

ISO 27001 exige formación general del personal (A.6.3). NIS2 exige formación específica para el consejo sobre gestión de riesgos de ciberseguridad y prácticas de gestión.

Acción: diseñar plan formativo dirigido al consejo con contenidos sobre obligaciones NIS2, escenarios reales del sector, decisiones que tendrán que tomar. Mínimo anual, con registro de asistencia y evaluación.

5. Evaluación de eficacia mediante pruebas técnicas

ISO 27001 (cláusula 9 + A.5.35) exige auditoría interna y revisión independiente. NIS2 (artículo 21 letra f) exige evaluar la eficacia de las medidas de forma operativa.

En la práctica las autoridades europeas miran:

  • Pentesting recurrente de aplicaciones e infraestructura críticas
  • Auditoría de arquitectura y segmentación
  • Threat modeling de servicios significativos
  • Simulacros del procedimiento de incidentes (tabletop, técnico)
  • Ejercicios de Red Team en organizaciones grandes

Acción: programa anual de pruebas técnicas documentado, con calendario, alcance y resultados accionables.

Estrategia recomendada: SGSI extendido NIS2-ready

En lugar de gestionar dos marcos paralelos, la mejor estrategia es un solo SGSI extendido con anexos NIS2.

Estructura del SGSI extendido

SGSI corporativo (basado en ISO 27001:2022):

  • Cláusulas 4-10 — idénticas, sirven a ambos marcos.
  • Anexo A — 93 controles, base común.
  • Anexo NIS2 (extensión documentada como ampliación):
    • Procedimiento de notificación 24h / 72h / 1 mes
    • Inventario y evaluación periódica de proveedores TIC críticos
    • Plan formativo específico del consejo
    • Programa de pruebas técnicas alineado al artículo 21 letra f
    • Registro de evidencias de due diligence del consejo
    • Mapa de servicios críticos con threat modeling
  • Anexo de cumplimiento integrado — mapeo de evidencias entre marcos:
    • Anexo A ISO 27001 ↔ artículo 21 NIS2
    • Anexo A ISO 27001 ↔ ENS (si aplica)
    • Anexo A ISO 27001 ↔ DORA (si aplica)

Beneficios

  • Una sola gobernanza: el comité de seguridad cubre ambos
  • Una sola auditoría interna que verifica los dos marcos
  • Un solo análisis de riesgos
  • Un solo conjunto de evidencias
  • Auditoría externa ISO sigue siendo independiente; los gaps NIS2 se cierran con auditoría adicional o consultoría

Esfuerzo incremental para una PYME ya certificada ISO

Los componentes típicos de la extensión NIS2 sobre una base ISO 27001:2022 ya implantada son:

  • Diseño del procedimiento de notificación 24h/72h/1 mes + plantillas + simulacro tabletop.
  • Inventario de proveedores TIC críticos y procedimiento de evaluación periódica.
  • Plan formativo específico del consejo y primera sesión documentada.
  • Programa anual de pruebas técnicas alineado al artículo 21 letra f, incluyendo pentesting de servicios críticos.
  • Documentación de due diligence del consejo y actualización del SGSI.

Plazo: 2-4 meses adicionales sobre la base ISO ya implantada. El esfuerzo concreto y el presupuesto se calculan a partir del alcance de servicios críticos y la profundidad del componente técnico — solicita una conversación inicial para una valoración ajustada.

Caso práctico — PYME tech con ISO 27001:2022 que cumple NIS2

Contexto: empresa española de software B2B, 120 empleados, 22 M€ facturación, certificada ISO 27001:2022. Provee servicios SaaS a entidades sanitarias y de transporte (clientes que están bajo NIS2 como entidades esenciales).

Por qué le aplica NIS2: la empresa está en el sector de servicios TIC B2B del Anexo I de NIS2, supera los umbrales y sus clientes le exigirán medidas equivalentes aunque no aplicara directamente.

Estado de partida (ISO 27001:2022):

  • SGSI documentado
  • Análisis de riesgos anual
  • Procedimiento de incidentes con plazo "razonable" sin definir
  • Cláusulas contractuales con proveedores
  • BCP/DRP probado
  • MFA en accesos privilegiados
  • Pentesting puntual realizado en el último año

Gaps identificados frente a NIS2:

  1. Procedimiento de incidentes no contempla 24h/72h ni interlocución con CSIRT competente
  2. Inventario de proveedores TIC críticos existe pero sin evaluación periódica documentada
  3. Consejo no formado específicamente en NIS2
  4. Pentesting puntual, no programa estructurado
  5. Falta acta del consejo aprobando el alcance NIS2 y las medidas

Plan ejecutado (3 meses):

SemanaActividad
1-2Aplicabilidad y alcance NIS2 documentados; aprobación del consejo
3-4Procedimiento de notificación 24h/72h adaptado; canal con CSIRT
5-6Cuestionario de proveedor TIC + plan de evaluación periódica anual
7-8Plan formativo del consejo; primera sesión impartida
9-10Programa anual de pentesting + threat modeling de los 3 servicios críticos
11-12Simulacro tabletop del procedimiento de notificación; lessons learned
13Auditoría interna de la extensión NIS2

Resultado: la empresa pasa de "ISO 27001 certificada" a "NIS2-ready con ISO 27001 vigente", manteniendo certificación ISO sin cambios y con evidencias defendibles ante una eventual inspección.

Preguntas frecuentes

Si tengo ISO 27001:2013, ¿es suficiente o necesito migrar a 2022?

Necesitas migrar a 2022. La versión 2013 está en proceso de retirada y la auditoría ISO actual se hace contra la 2022. Además, la versión 2022 incorpora controles relevantes para NIS2 (threat intelligence, servicios cloud, monitoreo) que la 2013 no tiene.

¿Puedo certificarme en NIS2?

No existe certificación NIS2 formal. Lo que se hace es auditoría externa (de cumplimiento) que produce un informe defendible ante autoridades. Algunas entidades de certificación ofrecen atestaciones NIS2 voluntarias, pero no son certificación equivalente a ISO.

¿Qué pasa si pierdo la certificación ISO 27001?

Pierdes la base sobre la que apoyas NIS2. La adecuación NIS2 sigue siendo exigible y deberás demostrar las medidas por otros medios. Lo razonable es mantener ISO como prueba estructurada de las cláusulas y controles de base.

¿La auditoría externa ISO incluye revisión de cumplimiento NIS2?

No por defecto. La auditoría ISO se centra en el SGSI y los controles del Anexo A. Para NIS2 necesitas una auditoría adicional específica o ampliar el alcance (algunas entidades de certificación ofrecen módulos combinados).

¿Cuánto tiempo después de ISO puedo demostrar cumplimiento NIS2?

Con un proyecto bien dirigido, 2-4 meses adicionales son suficientes para tener evidencias completas. Si arrancas desde cero (sin ISO) la timeline es de 8-12 meses para ambos.

¿NIS2 me exigirá mantener ISO 27001 vigente?

No formalmente, pero las autoridades miran ISO como evidencia de buen marco. Mantener ISO simplifica auditorías regulatorias y procesos comerciales (licitaciones, due diligence de clientes).

Extiende tu ISO 27001 a NIS2 con Secra

En Secra diseñamos el SGSI extendido NIS2-ready sobre tu ISO existente, con plan de cierre de gaps en 2-4 meses, programa anual de pruebas técnicas y documentación de due diligence del consejo.

Conoce nuestra Consultoría GRC

Solicita una conversación inicial sin compromiso

Lecturas relacionadas

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →

Compartir artículo

Artículos Relacionados

Compliance

Auditoría NIS2: cómo prepararse paso a paso (Guía 2026)

Metodología práctica para preparar una auditoría NIS2: gap analysis, checklist artículo 21, evidencias, plan de remediación y errores frecuentes.

2026-05-0214 min
Compliance

Directiva NIS2: a quién aplica, multas y plazos clave

Análisis completo de la Directiva NIS2 (UE 2022/2555): ámbito de aplicación, sectores, multas hasta 10M€ y calendario europeo de transposición.

2026-05-029 min
Compliance

Reglamento DORA: alcance, plazos y obligaciones (2026)

Guía completa del Reglamento DORA (UE 2022/2554): a quién aplica, los 5 pilares, TLPT, plazos y régimen sancionador para entidades financieras.

2026-05-0210 min

👋¡Hola! ¿Tienes alguna duda? Escríbenos, respondemos en minutos.

Abrir WhatsApp →