ISO 27001
ISO 27001
ISO 27001
ISO 27001 y NIS2: lo que cubren y lo que no — Entrevista a Marco Cortinovis, Auditor Principal y Co-fundador de Complaion
18 de diciembre de 2025
ISO 27001 y NIS2 a menudo se citan juntos, pero no siempre se comprenden por completo. Muchas empresas se preguntan si estar certificadas en ISO 27001 ya significa estar conformes con la Directiva NIS2, especialmente a la luz del D.lgs. 138/2024. Para aclarar las diferencias, las superposiciones y los verdaderos beneficios operativos, hemos entrevistado a Marco Cortinovis, Co-Fundador y Auditor Principal de ISO 27001, quien cada día acompaña a empresas y responsables de TI en sus procesos de certificación y cumplimiento normativo. En esta entrevista, Marco responde a las preguntas más frecuentes de las empresas, explicando de manera concreta qué cubre ISO 27001, qué exige adicionalmente NIS2 y por qué comenzar con un Sistema de Gestión ya certificado puede marcar la diferencia en términos de tiempo, método y sostenibilidad del proceso.
Si tengo la ISO 27001, ¿ya cumplo con NIS2?
La respuesta breve es no.
La certificación ISO 27001 representa una base muy sólida: ayuda a las empresas a construir una buena postura de seguridad y cubre una parte significativa del trabajo necesario para abordar la NIS2. En términos prácticos, significa estar ya bien avanzado en el proceso.
Sin embargo, no es suficiente por sí sola para declarar la conformidad con la directiva. La NIS2 introduce obligaciones adicionales, más prescriptivas y detalladas, que van más allá de lo que prevé la norma ISO.
¿Cuáles son las obligaciones adicionales que introduce NIS2?
El D.lgs. 138/2024 aclara de manera explícita los requisitos adicionales que exige NIS2, entre ellos:
Gobernanza y roles obligatorios
Procedimientos formales de notificación de incidentes
Gestión de la seguridad de la cadena de suministro
Vigilancia por parte del ACN
Registros y verificaciones no previstas por ISO 27001
La ISO 27001 proporciona una estructura robusta, pero no entra en detalle en las medidas técnicas y organizativas que NIS2 exige explícitamente.
¿Quién ya tiene la ISO 27001 está adelantado?
Sí. Quien ya posee la ISO 27001 está muy avanzado en el proceso de adecuación. No se empieza desde cero.
El trabajo consiste en tomar el Sistema de Gestión existente y completarlo con lo que falta, como:
Procedimientos de notificación
Modelos y comunicaciones ACN
Designaciones formales de roles
Registros requeridos
Evaluación de riesgos de la cadena de suministro
Estructuras de gobernanza
La ISO 27001 crea la base. Lo demás es una integración focalizada.
¿La ISO 27001 acelera la conformidad con NIS2?
Sin duda. La certificación ISO 27001 es una palanca muy fuerte para acelerar todo el proceso de conformidad con NIS2.
Para ese 15% que falta, la actividad es de integración: documental, organizativa y procedimental. Un sistema ISO 27001 ya certificado permite no deshacer lo que se ha construido e incorporar los requisitos de NIS2 de manera ordenada.
Además, presentarse con un SGSI certificado puede facilitar posibles procesos de verificación por parte del ACN.
Una ISO 27001 bien implementada significa tener ya gran parte del trabajo realizado. Lo restante requiere método, competencias y claridad normativa. Y es precisamente aquí donde hoy se juega la partida de NIS2.
ISO 27001 y NIS2 a menudo se citan juntos, pero no siempre se comprenden por completo. Muchas empresas se preguntan si estar certificadas en ISO 27001 ya significa estar conformes con la Directiva NIS2, especialmente a la luz del D.lgs. 138/2024. Para aclarar las diferencias, las superposiciones y los verdaderos beneficios operativos, hemos entrevistado a Marco Cortinovis, Co-Fundador y Auditor Principal de ISO 27001, quien cada día acompaña a empresas y responsables de TI en sus procesos de certificación y cumplimiento normativo. En esta entrevista, Marco responde a las preguntas más frecuentes de las empresas, explicando de manera concreta qué cubre ISO 27001, qué exige adicionalmente NIS2 y por qué comenzar con un Sistema de Gestión ya certificado puede marcar la diferencia en términos de tiempo, método y sostenibilidad del proceso.
Si tengo la ISO 27001, ¿ya cumplo con NIS2?
La respuesta breve es no.
La certificación ISO 27001 representa una base muy sólida: ayuda a las empresas a construir una buena postura de seguridad y cubre una parte significativa del trabajo necesario para abordar la NIS2. En términos prácticos, significa estar ya bien avanzado en el proceso.
Sin embargo, no es suficiente por sí sola para declarar la conformidad con la directiva. La NIS2 introduce obligaciones adicionales, más prescriptivas y detalladas, que van más allá de lo que prevé la norma ISO.
¿Cuáles son las obligaciones adicionales que introduce NIS2?
El D.lgs. 138/2024 aclara de manera explícita los requisitos adicionales que exige NIS2, entre ellos:
Gobernanza y roles obligatorios
Procedimientos formales de notificación de incidentes
Gestión de la seguridad de la cadena de suministro
Vigilancia por parte del ACN
Registros y verificaciones no previstas por ISO 27001
La ISO 27001 proporciona una estructura robusta, pero no entra en detalle en las medidas técnicas y organizativas que NIS2 exige explícitamente.
¿Quién ya tiene la ISO 27001 está adelantado?
Sí. Quien ya posee la ISO 27001 está muy avanzado en el proceso de adecuación. No se empieza desde cero.
El trabajo consiste en tomar el Sistema de Gestión existente y completarlo con lo que falta, como:
Procedimientos de notificación
Modelos y comunicaciones ACN
Designaciones formales de roles
Registros requeridos
Evaluación de riesgos de la cadena de suministro
Estructuras de gobernanza
La ISO 27001 crea la base. Lo demás es una integración focalizada.
¿La ISO 27001 acelera la conformidad con NIS2?
Sin duda. La certificación ISO 27001 es una palanca muy fuerte para acelerar todo el proceso de conformidad con NIS2.
Para ese 15% que falta, la actividad es de integración: documental, organizativa y procedimental. Un sistema ISO 27001 ya certificado permite no deshacer lo que se ha construido e incorporar los requisitos de NIS2 de manera ordenada.
Además, presentarse con un SGSI certificado puede facilitar posibles procesos de verificación por parte del ACN.
Una ISO 27001 bien implementada significa tener ya gran parte del trabajo realizado. Lo restante requiere método, competencias y claridad normativa. Y es precisamente aquí donde hoy se juega la partida de NIS2.
ISO 27001 y NIS2 a menudo se citan juntos, pero no siempre se comprenden por completo. Muchas empresas se preguntan si estar certificadas en ISO 27001 ya significa estar conformes con la Directiva NIS2, especialmente a la luz del D.lgs. 138/2024. Para aclarar las diferencias, las superposiciones y los verdaderos beneficios operativos, hemos entrevistado a Marco Cortinovis, Co-Fundador y Auditor Principal de ISO 27001, quien cada día acompaña a empresas y responsables de TI en sus procesos de certificación y cumplimiento normativo. En esta entrevista, Marco responde a las preguntas más frecuentes de las empresas, explicando de manera concreta qué cubre ISO 27001, qué exige adicionalmente NIS2 y por qué comenzar con un Sistema de Gestión ya certificado puede marcar la diferencia en términos de tiempo, método y sostenibilidad del proceso.
Si tengo la ISO 27001, ¿ya cumplo con NIS2?
La respuesta breve es no.
La certificación ISO 27001 representa una base muy sólida: ayuda a las empresas a construir una buena postura de seguridad y cubre una parte significativa del trabajo necesario para abordar la NIS2. En términos prácticos, significa estar ya bien avanzado en el proceso.
Sin embargo, no es suficiente por sí sola para declarar la conformidad con la directiva. La NIS2 introduce obligaciones adicionales, más prescriptivas y detalladas, que van más allá de lo que prevé la norma ISO.
¿Cuáles son las obligaciones adicionales que introduce NIS2?
El D.lgs. 138/2024 aclara de manera explícita los requisitos adicionales que exige NIS2, entre ellos:
Gobernanza y roles obligatorios
Procedimientos formales de notificación de incidentes
Gestión de la seguridad de la cadena de suministro
Vigilancia por parte del ACN
Registros y verificaciones no previstas por ISO 27001
La ISO 27001 proporciona una estructura robusta, pero no entra en detalle en las medidas técnicas y organizativas que NIS2 exige explícitamente.
¿Quién ya tiene la ISO 27001 está adelantado?
Sí. Quien ya posee la ISO 27001 está muy avanzado en el proceso de adecuación. No se empieza desde cero.
El trabajo consiste en tomar el Sistema de Gestión existente y completarlo con lo que falta, como:
Procedimientos de notificación
Modelos y comunicaciones ACN
Designaciones formales de roles
Registros requeridos
Evaluación de riesgos de la cadena de suministro
Estructuras de gobernanza
La ISO 27001 crea la base. Lo demás es una integración focalizada.
¿La ISO 27001 acelera la conformidad con NIS2?
Sin duda. La certificación ISO 27001 es una palanca muy fuerte para acelerar todo el proceso de conformidad con NIS2.
Para ese 15% que falta, la actividad es de integración: documental, organizativa y procedimental. Un sistema ISO 27001 ya certificado permite no deshacer lo que se ha construido e incorporar los requisitos de NIS2 de manera ordenada.
Además, presentarse con un SGSI certificado puede facilitar posibles procesos de verificación por parte del ACN.
Una ISO 27001 bien implementada significa tener ya gran parte del trabajo realizado. Lo restante requiere método, competencias y claridad normativa. Y es precisamente aquí donde hoy se juega la partida de NIS2.
ISO 27001 y NIS2 a menudo se citan juntos, pero no siempre se comprenden por completo. Muchas empresas se preguntan si estar certificadas en ISO 27001 ya significa estar conformes con la Directiva NIS2, especialmente a la luz del D.lgs. 138/2024. Para aclarar las diferencias, las superposiciones y los verdaderos beneficios operativos, hemos entrevistado a Marco Cortinovis, Co-Fundador y Auditor Principal de ISO 27001, quien cada día acompaña a empresas y responsables de TI en sus procesos de certificación y cumplimiento normativo. En esta entrevista, Marco responde a las preguntas más frecuentes de las empresas, explicando de manera concreta qué cubre ISO 27001, qué exige adicionalmente NIS2 y por qué comenzar con un Sistema de Gestión ya certificado puede marcar la diferencia en términos de tiempo, método y sostenibilidad del proceso.
Si tengo la ISO 27001, ¿ya cumplo con NIS2?
La respuesta breve es no.
La certificación ISO 27001 representa una base muy sólida: ayuda a las empresas a construir una buena postura de seguridad y cubre una parte significativa del trabajo necesario para abordar la NIS2. En términos prácticos, significa estar ya bien avanzado en el proceso.
Sin embargo, no es suficiente por sí sola para declarar la conformidad con la directiva. La NIS2 introduce obligaciones adicionales, más prescriptivas y detalladas, que van más allá de lo que prevé la norma ISO.
¿Cuáles son las obligaciones adicionales que introduce NIS2?
El D.lgs. 138/2024 aclara de manera explícita los requisitos adicionales que exige NIS2, entre ellos:
Gobernanza y roles obligatorios
Procedimientos formales de notificación de incidentes
Gestión de la seguridad de la cadena de suministro
Vigilancia por parte del ACN
Registros y verificaciones no previstas por ISO 27001
La ISO 27001 proporciona una estructura robusta, pero no entra en detalle en las medidas técnicas y organizativas que NIS2 exige explícitamente.
¿Quién ya tiene la ISO 27001 está adelantado?
Sí. Quien ya posee la ISO 27001 está muy avanzado en el proceso de adecuación. No se empieza desde cero.
El trabajo consiste en tomar el Sistema de Gestión existente y completarlo con lo que falta, como:
Procedimientos de notificación
Modelos y comunicaciones ACN
Designaciones formales de roles
Registros requeridos
Evaluación de riesgos de la cadena de suministro
Estructuras de gobernanza
La ISO 27001 crea la base. Lo demás es una integración focalizada.
¿La ISO 27001 acelera la conformidad con NIS2?
Sin duda. La certificación ISO 27001 es una palanca muy fuerte para acelerar todo el proceso de conformidad con NIS2.
Para ese 15% que falta, la actividad es de integración: documental, organizativa y procedimental. Un sistema ISO 27001 ya certificado permite no deshacer lo que se ha construido e incorporar los requisitos de NIS2 de manera ordenada.
Además, presentarse con un SGSI certificado puede facilitar posibles procesos de verificación por parte del ACN.
Una ISO 27001 bien implementada significa tener ya gran parte del trabajo realizado. Lo restante requiere método, competencias y claridad normativa. Y es precisamente aquí donde hoy se juega la partida de NIS2.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.
Obtén, mantén y potencia las certificaciones ISO.
Copyright ©2024 Complaion. Todos los derechos reservados.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milán.
PEC: part@pec.it, Capital Social: €17.017,18, REA MI-2690509.