norppa.io
Guías

Guía NIS2 · 7 min

ISO 27001 y NIS2: lo que su SGSI ya cubre — y las brechas que no

Si ya tiene la ISO/IEC 27001, no parte de cero con NIS2 — ni mucho menos. Un SGSI operativo cubre la mayor parte de la base del artículo 21. Pero la certificación no es conformidad: NIS2 añade deberes legales que un SGSI, por sí solo, no satisface. Esta guía cartografía qué se traslada, dónde están las brechas reales y cómo cerrarlas sin reconstruir lo que ya tiene.

Puntos clave

  • La ISO 27001 cubre la mayoría de las medidas del art. 21 de NIS2 — gestión de riesgos, control de acceso, criptografía, continuidad, controles de proveedores — así que es una buena ventaja.
  • Pero la certificación no es conformidad: NIS2 añade los plazos legales de notificación, la responsabilidad de la dirección, el registro y la garantía continua de la cadena de suministro.
  • Las mayores brechas suelen ser el deber de notificación a 24/72 horas y la monitorización continua de terceros, no los controles básicos.
  • Cierre las brechas sobre el SGSI — no reconstruya; asigne sus controles del Anexo A a la lista del art. 21 y añada lo que falte.

Lo que su SGSI ya cubre

La base del artículo 21 de NIS2 y la ISO/IEC 27001 (con sus controles del Anexo A) se solapan ampliamente. Si su SGSI funciona de verdad — no solo está certificado — gran parte de la sustancia técnica y organizativa de la directiva ya está implantada:

  • Gestión de riesgos — su proceso de apreciación y tratamiento de riesgos del SGSI se asigna directamente al art. 21(2)(a).
  • Control de acceso y criptografía — los controles de acceso y criptografía del Anexo A se alinean con el art. 21(2)(i) y (h).
  • Gestión de incidentes — su proceso de incidentes cubre la parte de tratamiento del art. 21(2)(b) (en la parte de notificación NIS2 añade más).
  • Continuidad de negocio — los controles de copia de seguridad, recuperación y continuidad se asignan al art. 21(2)(c).
  • Relaciones con proveedores — los controles de proveedores del Anexo A son la base sobre la que se apoya el art. 21(2)(d).

Dónde NIS2 va más allá de su SGSI

La certificación demuestra que existe un sistema gestionado para un alcance definido. NIS2 es una obligación legal para toda la entidad afectada y añade deberes que un certificado ISO, por sí solo, no cumple:

Notificación legal de incidentes — la ISO 27001 exige gestionar incidentes; NIS2 exige notificar los significativos a una autoridad nacional con un reloj de 24 h / 72 h / un mes (art. 23). Ningún plazo del SGSI equivale a esto.

Responsabilidad y formación de la dirección — NIS2 obliga al órgano de dirección a aprobar y supervisar las medidas, recibir formación y ser personalmente responsable (art. 20). La ISO pide compromiso de la dirección, no responsabilidad jurídica.

Garantía continua de la cadena de suministro — los controles de proveedores del Anexo A son en gran medida puntuales. El art. 21(2)(d) de NIS2, leído con el criterio de "medidas adecuadas", empuja hacia una monitorización continua del riesgo de proveedores.

Registro y alcance — muchas entidades deben registrarse ante su autoridad nacional, y NIS2 se aplica a toda la organización afectada con independencia del alcance del SGSI que elija.

Realidad de la supervisión — una no conformidad ISO es entre usted y su certificador; un incumplimiento de NIS2 puede significar instrucciones vinculantes y multas de hasta 10 M€ o el 2 % del volumen de negocios (art. 34).

Cerrar la brecha sin reconstruir

La vía eficiente trata NIS2 como un añadido sobre un SGSI operativo, no como un programa paralelo:

  • Asigne sus controles del Anexo A a la lista art. 21(2)(a)–(j) — la mayoría de las casillas ya estarán rellenas.
  • Monte el flujo de notificación: quién decide la "importancia", quién contacta al CSIRT, y el playbook de 24/72 horas.
  • Lleve la gobernanza NIS2 al consejo: aprobación de medidas, reporte de supervisión y formación de la dirección (art. 20).
  • Eleve la garantía de proveedores de un cuestionario anual a una monitorización continua para los proveedores críticos.
  • Confirme el registro ante su autoridad nacional, y que el alcance de su SGSI cubre los servicios afectados.

Fuente: Directiva (UE) 2022/2555 (NIS2), artículos 20, 21 y 23 — la asignación a ISO/IEC 27001 es indicativa; confirme los requisitos vinculantes en su ley nacional de transposición.

Cómo ayuda norppa.io

Las dos brechas que un SGSI deja más abiertas son justo aquellas para las que norppa.io está hecho: garantía continua de proveedores y evidencia lista para notificar. Cada proveedor monitorizado se comprueba a diario en más de 100 puntos de control, con hallazgos asignados a las mismas subcláusulas del art. 21 que su SGSI ya habla — así el control de la cadena de suministro pasa a ser continuo, no anual.

Y como todo lleva marca de tiempo y es exportable, la evidencia que respalda una notificación del art. 23 o una inspección se sitúa junto a su documentación del SGSI en lugar de en un silo aparte. norppa.io complementa la ISO 27001; no la duplica.

Cierre la brecha de cadena de suministro que deja su SGSI

Vea la monitorización continua de proveedores asignada a NIS2 en el informe de ejemplo — dos minutos.

Ver informe de ejemplo

Guías relacionadas

NIS2 y el requisito de la cadena de suministro — qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

NIS2 Art. 21(2) — lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.