ISO 27001, NIS2 y ENS: un proyecto, tres normas
Si tu empresa necesita ISO 27001, NIS2 o ENS, gran parte de la base es la misma. Los tres marcos exigen los mismos controles fundamentales. El error habitual es tratarlos como tres proyectos distintos cuando son tres capas del mismo edificio.
Muchas empresas con presencia en España gestionan simultáneamente proyectos de ISO 27001, NIS2 y ENS. Lo habitual es que cada uno tenga su propio equipo, su propio consultor y su propio presupuesto, sin que nadie coordine el trabajo entre ellos.
El resultado es siempre el mismo: tres inventarios de activos casi idénticos, tres análisis de riesgos con conclusiones similares, tres planes de respuesta a incidentes que se diferencian solo en el formato.
Este enfoque es caro e innecesario. Los tres marcos no son proyectos independientes, sino capas que apuntan al mismo núcleo.
ISO 27001 como punto de partida
ISO 27001 es el marco de referencia. No porque sea más antiguo o más conocido, sino porque define la arquitectura de controles sobre la que NIS2 y ENS construyen sus requisitos específicos.
NIS2 no inventó la gestión de riesgos. ENS no inventó el control de accesos. Ambos parten de la misma lógica que ISO 27001 formaliza: un sistema de gestión de seguridad con activos identificados, riesgos evaluados, controles implementados y mejora continua.
Lee en paralelo lo que exige cada marco:
ISO 27001 exige un sistema de gestión de seguridad con evaluación de riesgos, controles operativos sobre activos de información y mejora continua.
NIS2 exige gestión de riesgos, continuidad operativa, respuesta a incidentes, seguridad en la cadena de suministro y gobernanza.
ENS exige gestión de activos, control de accesos, registro de actividad, continuidad y medidas de protección por categorías.
Los tres marcos hablan de lo mismo. El núcleo es idéntico:
- Saber qué activos tienes
- Evaluar el riesgo sobre ellos
- Controlar quién accede a qué
- Detectar incidentes y saber cómo responder
- Mantener la operación bajo condiciones adversas
- Controlar lo que hacen tus proveedores
La diferencia entre marcos no está en los fundamentos, sino en el ámbito al que aplican y las exigencias adicionales propias de cada regulación.
| Requisito | ISO 27001 | NIS2 | ENS |
|---|---|---|---|
| Gestión de riesgos | ✓ | ✓ | ✓ |
| Respuesta a incidentes | ✓ | ✓ | ✓ |
| Continuidad operativa | ✓ | ✓ | ✓ |
| Control de accesos | ✓ | ✓ | ✓ |
| Gestión de terceros | ✓ | ✓ | ✓ |
| Sistema de gestión (SGSI) | ✓ | — | — |
| Notificación regulatoria | — | ✓ | — |
| Categorías de seguridad | — | — | ✓ |
El error de tratarlos como proyectos independientes
Cuando una empresa afronta ISO 27001, NIS2 y ENS por separado, normalmente hace tres veces el mismo trabajo: tres inventarios de activos, tres análisis de riesgos, tres planes de respuesta a incidentes con ligeras diferencias de formato.
El motivo suele ser estructural: cada proyecto tiene su propio consultor, su propio plazo y su propio responsable interno, sin nadie que conecte los puntos.
El resultado es ineficiencia acumulada y, lo que es más peligroso, una falsa sensación de cumplimiento. La organización ha pasado auditorías en papel, pero no ha construido nada real debajo.
Cómo se lee bien el compliance
El enfoque correcto no parte de «¿qué exige esta norma?», sino de «¿qué base necesito construir para que ISO 27001, NIS2 y ENS queden cubiertos con el mínimo esfuerzo adicional?»
Esa base tiene cinco componentes, y el orden en que se construyen importa.
1. Inventario y clasificación de activos. Es el punto de partida obligatorio. Sin saber qué tienes, no puedes gestionar el riesgo sobre ello, y ninguna norma es auditable sin este fundamento.
2. Gestión de riesgos documentada y viva. Una vez conoces los activos, necesitas un proceso que evalúe, priorice y tome decisiones de forma continua, no un análisis puntual que queda obsoleto en seis meses.
3. Control de accesos con principio de mínimo privilegio. Quién accede a qué, desde dónde y con qué nivel de verificación. Este control es transversal a los tres marcos y reduce de forma directa la superficie de exposición.
4. Respuesta a incidentes operativa. Un procedimiento probado con roles claros, tiempos de notificación y simulacros reales, no un documento guardado en una carpeta. NIS2 exige notificación en 24 horas para incidentes significativos; el ENS establece umbrales por categoría de sistema. El procedimiento subyacente es el mismo en ambos casos.
5. Gestión de terceros. Los proveedores forman parte de la superficie de ataque. Los tres marcos lo exigen, y es el control que más empresas tienen peor resuelto.
Con esa base construida en este orden, el trabajo diferencial de cada marco se reduce a sus exigencias específicas: las categorías de seguridad del ENS, los plazos de notificación de NIS2, los controles adicionales de ISO 27001 para la certificación formal. El 70–80% ya está hecho.
| Componente | Qué significa en la práctica | Marcos que lo exigen |
|---|---|---|
| Inventario de activos | Saber qué tienes antes de protegerlo | Los tres |
| Gestión de riesgos | Proceso continuo, no un análisis puntual | Los tres |
| Control de accesos | Mínimo privilegio, verificación por acceso | Los tres |
| Respuesta a incidentes | Procedimiento probado con roles y plazos definidos | NIS2, ENS |
| Gestión de terceros | Proveedores como parte de tu superficie de ataque | NIS2, ISO 27001 |
Implicación para la dirección
El compliance no es un problema técnico: es una decisión de gobierno.
La pregunta que debería hacer un consejo de administración no es «¿estamos cumpliendo NIS2?» ni «¿cuándo nos certificamos en ISO 27001?», sino «¿hemos construido la base que nos hace resilientes y que, de paso, cubre lo que exige la regulación?» Son preguntas distintas: la primera se responde con un informe de auditoría; la segunda, con evidencia operativa.
Las organizaciones que construyen bien la base no sienten cada nueva regulación como una amenaza, sino como un ajuste sobre algo que ya existe. Las que no la tienen construida van a seguir abriendo proyectos nuevos con cada norma que aparezca sin estar realmente preparadas.
Criterio
ISO 27001, NIS2 y ENS no son tres proyectos distintos. Son tres vistas del mismo edificio.
La ciberseguridad empresarial no se construye norma a norma, sino capa a capa, sobre una base sólida que da respuesta a todas ellas. Cuando esa base existe, el compliance es una consecuencia, no un objetivo en sí mismo.
La pregunta relevante no es cuándo vas a cumplir NIS2 o certificarte en ISO 27001. Es cuándo vas a construir la base.
Siguiente paso
¿Sabes cuánto de esa base ya tienes construida?
Hacemos una revisión para entender tu nivel real de preparación frente a ISO 27001, NIS2 y ENS.
Hablar con Dasenda