Compliance y normativa de ciberseguridad
Guías prácticas sobre los marcos que regulan la seguridad de la información en España y la Unión Europea. Cómo cumplir, evidenciar y auditar.
NIS2 (Directiva 2022/2555)
Marco europeo de ciberseguridad para entidades esenciales e importantes. En España se transpone vía la Ley de Coordinación y Gobernanza de la Ciberseguridad. Cubre obligaciones técnicas, gobernanza y notificación de incidentes en 24 horas.
NIS2 en España: transposición, plazos y obligaciones (2026)
Guía técnica de la Directiva NIS2 en España actualizada a 2026: transposición, plazos, obligaciones del artículo 21, multas y checklist de adecuación.
Auditoría NIS2: cómo prepararse paso a paso (Guía 2026)
Metodología práctica para preparar una auditoría NIS2: gap analysis, checklist artículo 21, evidencias, plan de remediación y errores frecuentes.
Directiva NIS2: a quién aplica, multas y plazos clave
Análisis completo de la Directiva NIS2 (UE 2022/2555): ámbito de aplicación, sectores, multas hasta 10M€ y calendario europeo de transposición.
NIS2 vs NIS1: diferencias clave y novedades
Comparativa NIS1 vs NIS2: nuevos sectores, plazos 24h/72h, cadena de suministro, responsabilidad de directivos y régimen sancionador armonizado.
ISO 27001 + NIS2: cómo se complementan
¿Tener ISO 27001 me cubre NIS2? Análisis técnico de solapamientos, gaps reales y cómo aprovechar el SGSI para acelerar la adecuación.
DORA vs NIS2: cuándo aplica cada normativa
Comparativa DORA vs NIS2: lex specialis, solapamientos, obligaciones exclusivas y casos prácticos para sector financiero y grupos mixtos.
DORA (Reglamento UE 2022/2554)
Reglamento de resiliencia operativa digital para entidades financieras (bancos, aseguradoras, gestoras, proveedores cripto). Exige gestión de riesgos TIC, pruebas avanzadas (incluyendo TLPT), gobierno de terceros y reporte estructurado de incidentes.
Reglamento DORA: alcance, plazos y obligaciones (2026)
Guía completa del Reglamento DORA (UE 2022/2554): a quién aplica, los 5 pilares, TLPT, plazos y régimen sancionador para entidades financieras.
DORA vs NIS2: cuándo aplica cada normativa
Comparativa DORA vs NIS2: lex specialis, solapamientos, obligaciones exclusivas y casos prácticos para sector financiero y grupos mixtos.
ISO/IEC 27001
Estándar internacional de gestión de seguridad de la información. La versión vigente es 2022 con 93 controles. Certificable por entidades acreditadas. Base reconocida para evidenciar madurez ante NIS2, DORA, contratos B2B y licitaciones.
ISO 27001: qué es, para qué sirve y cómo certificarse
ISO 27001:2022 explicada para PYMEs y midmarket: SGSI, los 93 controles del Anexo A, auditoría y certificación paso a paso. Coste y plazos reales.
Certificado ISO 27001: proceso, coste y plazos reales 2026
Cómo obtener el certificado ISO 27001 paso a paso: requisitos previos, Etapa 1, Etapa 2, auditoría externa ENAC, coste real, plazos y errores que evitar.
ISO 27001 + NIS2: cómo se complementan
¿Tener ISO 27001 me cubre NIS2? Análisis técnico de solapamientos, gaps reales y cómo aprovechar el SGSI para acelerar la adecuación.
ENS (Esquema Nacional de Seguridad)
Marco obligatorio para entidades del sector público español y proveedores que prestan servicios al mismo. Categorías Básica, Media y Alta. Actualizado vía Real Decreto 311/2022 con 73 medidas de seguridad.
TIBER-EU y TLPT
Marco europeo de pruebas red team basadas en threat intelligence para infraestructuras financieras críticas. Bajo DORA, los TLPT (Threat-Led Penetration Tests) son obligatorios cada 3 años para entidades significativas del sector financiero.
Gestión de riesgos y metodologías
Metodologías de análisis y gestión de riesgos reconocidas en España. MAGERIT (estándar gubernamental), encaje con ISO 27005, soporte para análisis bajo ENS y NIS2.
Preguntas frecuentes
- ¿En qué se diferencia NIS2 de DORA?
- NIS2 es directiva horizontal para sectores esenciales e importantes (energía, salud, AAPP, transporte, infraestructura digital). DORA es reglamento sectorial específico para entidades financieras. Si una entidad financiera está sujeta a DORA, DORA prevalece como lex specialis. Una entidad puede estar bajo ambos marcos según su perfil.
- ¿ISO 27001 sustituye a NIS2 o DORA?
- No. ISO 27001 es certificación voluntaria que evidencia un sistema de gestión de seguridad. NIS2 y DORA son obligaciones legales. La certificación ISO 27001 ayuda a demostrar madurez ante el regulador pero no exime del cumplimiento específico de cada marco.
- ¿Qué empresas deben cumplir ENS?
- Entidades del sector público español y los proveedores privados que les prestan servicios. La aplicación es escalonada por categorías (Básica, Media, Alta) en función de la criticidad del servicio y los datos tratados.
- ¿Cuándo son obligatorios los TLPT bajo DORA?
- Para entidades financieras significativas designadas por la autoridad competente. La frecuencia mínima es trienal. Los TLPT siguen el marco TIBER-EU adaptado al contexto DORA y requieren proveedores acreditados como red team y threat intelligence.
- ¿Una pyme está obligada por NIS2?
- Generalmente no, salvo que opere en sectores designados como esenciales o importantes. NIS2 fija umbrales por tamaño y sector. Sin embargo, muchas pymes quedan dentro del scope indirectamente como proveedores de entidades obligadas, que les exigen controles contractuales.
Acompañamiento integral en cumplimiento
Diagnóstico de gaps, hoja de ruta priorizada, evidencias técnicas para auditoría y soporte continuo. Trabajamos en NIS2, DORA, ISO 27001, ENS y TIBER con equipos que han implantado y auditado los marcos en producción.
Ver soluciones GRC