Adicionalmente, la Directiva ya ha sido transpuesta en la mayor parte de Estados Miembros (a fecha de este artículo, únicamente España, Francia, Países Bajos, Irlanda y Estonia quedan pendientes de completar este proceso, según la información de la ECSO - European CyberSecurity Organisation, por lo que su llegada a España (donde ya se ha publicado el anteproyecto de ley que analizamos en este blog: https://blog.isecauditors.com/directiva-nis2-transposicion-en-espana-y-anteproyecto-de-ley), podría realizarse en cualquier momento.
De esta forma, para ayudar a las organizaciones afectadas por NIS2, publicaremos distintos artículos enfocados a analizar las principales relaciones y sinergias con otros estándares de seguridad ampliamente extendidos en el ámbito nacional e internacional, que pueden resultar altamente compatibles con la Directiva NIS2, facilitando así los esfuerzos para su implementación. En concreto, durante el presente artículo trataremos los principales aspectos que hacen de la norma ISO/IEC 27001:2022 un gran punto de partida para la implementación de la Directiva NIS2.
Diferencias en la naturaleza de cumplimiento
| Naturaleza de cumplimiento | Directiva NIS2 (UE) 2022/2555 | ISO/IEC 27001:2022 |
| Obligatoria dentro del marco legal de la Unión Europea | Voluntaria (Estándar certificable internacionalmente) |
NIS2 es una Directiva publicada por la Comisión Europea, por lo que su cumplimiento es obligatorio para todas las entidades que entran dentro de su ámbito de aplicación.
Por otro lado, ISO/IEC 27001 es una norma desarrollada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), y su implementación es voluntaria. A pesar de ello, ISO/IEC 27001 se ha convertido en uno de los estándares de seguridad más reconocidos y extendidos, hasta el punto de ser frecuentemente exigido de forma obligatoria por otras regulaciones o contratos de servicios.
En este reconocimiento también influye el hecho de ser un estándar certificable por entidades acreditadas, lo que permite a las organizaciones que busquen su cumplimiento obtener un certificado de conformidad que, en muchos casos, sirve como evidencia suficiente de que se mantiene un nivel de seguridad adecuado de la información.
Por este motivo, muchas organizaciones ya cuentan con un sistema de gestión de la seguridad de la información alineado con los requerimientos de ISO/IEC 27001, lo que supone, como veremos más adelante, una base sólida para implementar la Directiva NIS2.
Ámbito de aplicación
| Ámbito de aplicación | Directiva NIS2 (UE) 2022/2555 | ISO/IEC 27001:2022 |
| Entidades esenciales e importantes de sectores críticos | Cualquier organización, de cualquier sector o tamaño |
Con carácter general, NIS2 aplica a medianas y grandes empresas (salvo algunas excepciones), ya sean públicas o privadas, de los sectores de alta criticidad y otros sectores críticos indicados en sus anexos I y II, respectivamente, que presten sus servicios o lleven a cabo sus actividades en la Unión Europea.
De esta forma, se establece un criterio general para determinar su aplicabilidad basado en la criticidad del sector y el tamaño de la organización, quedando estos criterios (y sus correspondientes excepciones) claramente definidos en la Directiva.
Por otro lado, ISO/IEC 27001 es aplicable a cualquier organización, permitiendo delimitar el alcance del sistema de gestión de la seguridad de la información a toda la organización, a una unidad de negocio o a un servicio específico. Aunque este alcance debe quedar claramente definido, su implementación puede llevarse a cabo independientemente del sector o del tamaño de la organización, lo que facilita su adaptación al ámbito de NIS2.
Un objetivo común: aumentar el nivel de seguridad
| Objetivo | Directiva NIS2 (UE) 2022/2555 | ISO/IEC 27001:2022 |
| Elevar el nivel de ciberseguridad en entidades esenciales e importantes | Implementar un sistema de gestión de la seguridad de la información |
Aunque difieren ligeramente en la forma de alcanzarlo, NIS2 e ISO/IEC 27001 comparten el objetivo de establecer un marco de gestión que permita aumentar el nivel de ciberseguridad de las entidades que las implementan.
ISO/IEC 27001 se apoya en la implementación de un sistema de gestión de la seguridad de la información para alcanzar este objetivo, mientras que la Directiva NIS2 se apoya en su carácter legal para garantizar que las entidades dentro de su ámbito de aplicabilidad obtengan su cumplimiento y gestionen sus riesgos de ciberseguridad de acuerdo con la criticidad de su actividad para la sociedad. Es decir, ISO/IEC 27001 define la estructura para la gestión de la seguridad, mientras que NIS2 establece una serie de medidas de seguridad concretas y obligatorias que deben implementarse.
Un enfoque similar: la gestión de riesgos
| Enfoque | Directiva NIS2 (UE) 2022/2555 | ISO/IEC 27001:2022 |
| Basado en la gestión de riesgos, orientado a requisitos legales mínimos | Totalmente basado en riesgos y mejora continua |
Ambas normativas utilizan un enfoque basado en la gestión de riesgos para determinar que las medidas de seguridad aplicadas son adecuadas y proporcionales con el nivel de riesgo presente en la organización.
En ISO/IEC 27001, esta gestión se integra dentro del modelo PDCA (Plan-Do-Check-Act), donde se identifican los riesgos, se definen e implementan controles, se revisan y evalúan, y, finalmente, todo el proceso se complementa con el concepto de mejora continua, requiriendo a las organizaciones reevaluar periódicamente su gestión de riesgos para aumentar progresivamente el nivel de seguridad.
Por su parte, la Directiva NIS2 establece obligaciones claras en relación con la gestión de riesgos de una organización, alineadas con ISO/IEC 27001, requiriendo evaluar, mitigar y revisar continuamente los riesgos con la supervisión directa de la alta dirección.
En ambos casos, no se exige seguir una metodología concreta, por lo que aquellas organizaciones que ya cuenten con un sistema de gestión de la seguridad de la información alineado con los requerimientos de ISO/IEC 27001, podrán trasladar sus procesos de gestión de riesgos para cubrir las necesidades de NIS2.
La importancia de la alta dirección
| Gobernanza | Directiva NIS2 (UE) 2022/2555 | ISO/IEC 27001:2022 |
| Requiere definir responsabilidades para la dirección en materia de ciberseguridad | Requiere la participación de la Dirección en el SGSI |
Como hemos analizado en artículos anteriores sobre NIS2, una de sus obligaciones clave es la definición de responsabilidades para la alta dirección: supervisar y aprobar las medidas de gestión de riesgos, recibir y promover la formación en ciberseguridad a toda la organización o incluso llegar a responsabilizarse en caso de incumplimiento.
Con respecto a ISO/IEC 27001, los conceptos de liderazgo y compromiso de la alta dirección también son fundamentales para el cumplimiento de la norma, exigiendo su implicación en distintas actividades como el establecimiento de la política de seguridad, la asignación de los recursos necesarios para que el sistema de gestión pueda funcionar correctamente, la revisión periódica del sistema de gestión (gestión de riesgos, cambios relevantes, no conformidades, etc.), así como promover en todo momento la mejora continua.
De esta forma, ambas normativas elevan la ciberseguridad al nivel más alto de la organización, si bien es necesario tener en cuenta que el carácter legal de NIS2 implica consecuencias más severas para estas figuras en caso de incumplimiento.
Particularidades en la notificación de incidentes de seguridad
| Notificación de incidentes | Directiva NIS2 (UE) 2022/2555 | ISO/IEC 27001:2022 |
| Obliga a notificar incidentes significativos en unos plazos estrictos | Exige un proceso formal de gestión y notificación de incidentes |
La Directiva NIS2 establece obligaciones muy específicas en relación con la notificación de incidentes de seguridad con impacto significativo*, que requieren seguir unas fases y plazos muy concretos: alerta temprana 24 horas después del incidente, notificación inicial con una primera evaluación en 72 horas, informe final detallado un mes después de la primera notificación, etc.
ISO/IEC 27001, también define controles para establecer procedimientos de gestión de incidentes de seguridad dentro de su Anexo A, tales como: A.5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información, A.5.25 Evaluación y decisión sobre eventos de seguridad de la información, A.5.26 Respuesta a incidentes de seguridad de la información, A.5.27 Aprender de los incidentes de seguridad de la información y A.5.28 Recolección de evidencias.
Dado que estos controles no establecen medidas concretas para su implementación, pueden integrarse fácilmente con las obligaciones de la Directiva.
“(*) Incidente de seguridad con impacto significativo:
1. Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada (impacto interno).
2. Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables (impacto externo).”
Medidas de seguridad complementarias
| Medidas de Seguridad |
Directiva NIS2 (UE) 2022/2555 | ISO/IEC 27001:2022 |
| Medidas técnicas, operativas y de organización definidas en Art.21 | Definidas en el Anexo A, agrupadas en controles organizativos, de personas, físicos y tecnológicos |
Las medidas de seguridad de ISO/IEC 27001 se definen en su Anexo A, y se agrupan en controles organizativos, de personas, físicos y tecnológicos. Por su parte, NIS2 recoge sus medidas de seguridad en el artículo 21 (artículo 15 del anteproyecto de ley español) y se amplían con mayor detalle en el Reglamento de Ejecución (UE) 2024/2690.
En este sentido, se puede observar que existe una alta correspondencia entre las medidas definidas por ambos estándares, siendo los controles de ISO/IEC 27001 fácilmente trasladables a prácticamente todas las medidas requeridas por NIS2.
Sin embargo, si se utiliza ISO/IEC 27001 como base, será necesario analizar la implementación de los controles con mayor profundidad, de forma que se pueda garantizar que se da cumplimiento a las medidas más específicas definidas por la Directiva, como las relacionadas con la notificación de incidentes o la asignación de un responsable de seguridad de la información.
Estas sinergias en relación con las medidas de seguridad también pueden facilitar la ejecución de las tareas de revisión, incluyendo las auditorías internas, permitiendo realizar auditorías en conjunto para evaluar el cumplimiento con ambas normativas reduciendo así el esfuerzo necesario para llevar a cabo estas revisiones.
ISO 27001: una buena base que no sustituye el cumplimiento de NIS2
Como hemos ido analizando, la Directiva NIS2 y el estándar ISO/IEC 27001 son altamente compatibles, ya que cuentan con objetivos y enfoques similares.
Adicionalmente su implementación puede ayudar significativamente a cumplir con los requerimientos de NIS2, ya que una organización certificada en ISO/IEC 27001 ya dispone de un proceso de análisis de riesgos, tiene controles de seguridad implementados a nivel técnico y documental, gestiona los incidentes de seguridad formalmente y cuenta con procesos de revisión y mejora continua.
ISO/IEC 27001 es por tanto una buena base técnica y organizativa para cumplir con NIS2, reduciendo notablemente el esfuerzo de adecuación a las obligaciones de la Directiva. Sin embargo, aunque facilite su adopción, es importante tener en cuenta que no sustituye el cumplimiento legal de NIS2, y será necesario verificar la implementación de los procesos de notificación de incidentes, las obligaciones de la alta dirección, la interacción con autoridades competentes, así como otras medidas de seguridad más específicas que sean requeridas.
Para la mayor parte de las organizaciones, la estrategia óptima no es elegir entre NIS2 e ISO/IEC 27001, sino integrarlas para utilizar ISO/IEC 27001 como base estructural del sistema de gestión de la seguridad de la información para adaptar el marco legal definido por la Directiva NIS2.
Referencias
Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión: https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=es
Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, por el que se establecen las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R2690
Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad: https://www.interior.gob.es/opencms/es/servicios-al-ciudadano/participacion-ciudadana/participacion-publica-en-proyectos-normativos/audiencia-e-informacion-publica/
Directiva NIS2 - Transposición en España y Anteproyecto de Ley: https://blog.isecauditors.com/directiva-nis2-transposicion-en-espana-y-anteproyecto-de-ley
Estándar ISO/IES 27001:2022: https://www.iso.org/es/norma/27001
