NIS2 vs. ISO 27001: qué se solapa, qué no, y qué te falta por hacer
Por NIS2Certify
nis2iso-27001cumplimientocomparacionanalisis-brechas
Si tu organización está certificada en ISO 27001, llevas ventaja. Tu SGSI cubre gran parte de lo que NIS2 exige. Pero "gran parte" no es "todo".
NIS2 introduce obligaciones específicas que ISO 27001 no cubre — y las consecuencias son graves.
La respuesta corta
NIS2 vs ISO 27001 — Comparación de requisitos
◈Solo NIS2Notificación obligatoria de incidentes a las autoridades (24h / 72h)Responsabilidad personal a nivel directivo en materia de ciberseguridadObligaciones de seguridad en la cadena de suministro para entidades esencialesObligaciones regulatorias específicas del sector⬡Requisitos compartidosGestión de riesgos de seguridad de la informaciónControl de acceso y gestión de identidadesContinuidad del negocio y recuperación ante desastresConcienciación y formación en seguridad◇Solo ISO 27001Ciclos de auditoría interna y revisión por la direcciónDocumentación de la Declaración de Aplicabilidad (DdA)Certificación formal y auditoría por terceros◈Solo NIS2Notificación obligatoria de incidentes a las autoridades (24h / 72h)Responsabilidad personal a nivel directivo en materia de ciberseguridadObligaciones de seguridad en la cadena de suministro para entidades esencialesObligaciones regulatorias específicas del sector⬡Requisitos compartidosGestión de riesgos de seguridad de la informaciónControl de acceso y gestión de identidadesContinuidad del negocio y recuperación ante desastresConcienciación y formación en seguridad◇Solo ISO 27001Ciclos de auditoría interna y revisión por la direcciónDocumentación de la Declaración de Aplicabilidad (DdA)Certificación formal y auditoría por tercerosLa columna central muestra los requisitos que comparten tanto la NIS2 como la ISO 27001
Comparación: las 10 medidas del artículo 21
| # | Medida NIS2 | ISO 27001 | ¿Carencia? |
|---|---|---|---|
| 1 | Análisis de riesgos y políticas | Totalmente cubierto | ✅ No |
| 2 | Gestión de incidentes | Parcialmente | ⚠️ Notificación 24h/72h/1 mes ausente |
| 3 | Continuidad y gestión de crisis | Parcialmente | ⚠️ Coordinación CSIRT ausente |
| 4 | Seguridad cadena de suministro | Parcialmente | ⚠️ Evaluaciones específicas de proveedores ausentes |
| 5 | Desarrollo seguro | Cubierto | ✅ Menor |
| 6 | Evaluación de eficacia | Cubierto | ✅ No |
| 7 | Ciberhigiene y formación | Cubierto | ⚠️ Formación del consejo ausente |
| 8 | Criptografía | Cubierto | ✅ No |
| 9 | Seguridad RRHH y control de acceso | Cubierto | ✅ No |
| 10 | MFA y comunicaciones seguras | Parcialmente | ⚠️ MFA obligatorio ausente |
Las 6 carencias críticas
- Notificación obligatoria a autoridades — 24h/72h/1 mes
- Responsabilidad personal de directivos — Artículo 20
- Formación cyber obligatoria del consejo
- Registro ante autoridad nacional
- Evaluaciones específicas de cada proveedor directo
- MFA y comunicaciones de emergencia obligatorios
Hoja de ruta práctica
- Construir proceso de notificación — plazos 24h/72h/1 mes
- Informar a la dirección — responsabilidad personal, planificar formación
- Evaluar proveedores en ciberseguridad
- Implementar MFA en sistemas críticos
- Registrarse ante la autoridad nacional
Con ISO 27001: 3-6 meses. Sin ella: 6-12 meses.
Empieza con un quickscan gratuito
Nuestro quickscan NIS2 gratuito muestra exactamente dónde están tus carencias NIS2 a pesar de ISO 27001.
Lee también
- Las 10 medidas del artículo 21 explicadas
- NIS2 y responsabilidad de directivos
- Notificación de incidentes NIS2