NIS2 vs ENS vs ISO 27001: qué es cada cosa y qué te exige cada marco
Si trabajas en el sector tecnológico o asumes responsabilidades en la gestión de sistemas, es muy probable que últimamente te zumben los oídos con tanta sigla. Un día te plantean certificar la empresa en ISO 27001 para ganar prestigio internacional, al siguiente te exigen cumplir con el Esquema Nacional de Seguridad (ENS) para poder optar a esa licitación pública que necesitas ganar, y de fondo no deja de sonar el reloj de arena de la nueva directiva NIS2.
A simple vista, parece una sopa de letras diseñada para ahogarnos en burocracia, auditorías y controles de seguridad. Sin embargo, si analizas el propósito técnico y legal de cada marco normativo, las piezas del puzzle empiezan a encajar con bastante lógica.
No todos persiguen el mismo objetivo, ni aplican a las mismas organizaciones, ni te van a exigir el mismo nivel de madurez técnica. Hoy quiero explicar qué es la NIS2, qué es el ENS y qué es la ISO 27001. Vamos a ver dónde se solapan, en qué se diferencian y, sobre todo, qué obligaciones prácticas te impone cada uno de ellos a nivel de cumplimiento y arquitectura de sistemas.
ISO 27001: El estándar global y voluntario
Empecemos por, quiza, el terreno más conocido. La ISO 27001 es una norma internacional que te da las pautas para montar un Sistema de Gestión de Seguridad de la Información (SGSI).
Su naturaleza es, por defecto, voluntaria. Normalmente, te metes en este proceso porque tus clientes te lo exigen o porque necesitas ese sello para operar en mercados internacionales. A nivel técnico, te obliga a identificar riesgos y aplicar controles mitigadores basados en su famoso Anexo A, que en su versión de 2022 se ha simplificado a 93 controles organizados en 4 grandes bloques (organizacionales, de personas, físicos y tecnológicos).
La filosofía aquí es la mejora continua: planificar, hacer, verificar y actuar. La norma no te impone qué modelo de firewall comprar o qué algoritmo de cifrado exacto usar, pero sí te obliga a justificar técnicamente por qué has elegido esas medidas, cómo las gestionas y cómo mides su eficacia.
ENS: El guardián del sector público español
Si la ISO es voluntaria y de carácter global, el Esquema Nacional de Seguridad (ENS) es nuestro marco legal específico (regulado por el RD 311/2022) y resulta de obligado cumplimiento para todo el sector público y para las empresas privadas que le prestan servicios tecnológicos. Si quieres alojar datos de un ministerio, gestionar el portal de un ayuntamiento o ganar una licitación de la Administración, vas a tener que pasar por el aro.
El enfoque del ENS es mucho más prescriptivo y directo. Te obliga a categorizar tu sistema de información en tres niveles (Básico, Medio o Alto), dependiendo del impacto que tendría un incidente sobre dimensiones clave: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad.
En función de esa categoría, el marco te exige implementar un catálogo de medidas de seguridad mínimas. Aquí no vale únicamente con gestionar el riesgo a tu manera; hay medidas concretas de protección, arquitectura y monitorización que tienes que cumplir sí o sí. Te exige controles muy específicos sobre separación de entornos, gestión de identidades o copias de seguridad.
NIS2: La legislación europea
Dejamos para el final a la gran protagonista del momento. La directiva europea NIS2 (Directiva UE 2022/2555) no es un certificado que cuelgas en la pared, es pura legislación. Su objetivo es garantizar un nivel elevado y común de ciberseguridad en toda la Unión Europea, y afecta a lo que denomina entidades "esenciales" e "importantes". Hablamos de sectores críticos como energía, transporte, banca y salud, pero también de proveedores de servicios digitales, centros de datos o gestión de residuos.
Lo que te exige la NIS2 cambia las reglas del juego porque endurece las consecuencias legales. Impone obligaciones estrictas en la gestión del riesgo cibernético y, muy especialmente, en la notificación de incidentes, con plazos exigentes: te obliga a emitir una alerta temprana en 24 horas y un informe de incidente en 72 horas. Además, pone un foco inmenso en la seguridad de la cadena de suministro y hace directamente responsables a los órganos de dirección de la empresa si hay negligencias. Las multas por incumplimiento son millonarias, similares a lo que ya vimos con el RGPD.
La convergencia en la arquitectura de sistemas
La realidad técnica es que estos tres marcos no compiten entre ellos; se solapan y se complementan. Si ya tienes certificada la ISO 27001, tienes gran parte del trabajo documental, de políticas y de gestión de riesgos hecho para saltar al ENS, aunque tendrás que adaptar tu arquitectura para cumplir con los controles prescriptivos del Real Decreto.
Por su parte, el aterrizaje de la NIS2 en tu empresa será mucho menos traumático si tu infraestructura ya está madura gracias a tener implantado el ENS o la ISO. Las políticas de respuesta a incidentes, la resiliencia operativa y el control estricto de proveedores, que ahora la directiva exige por ley, ya formarán parte de tu día a día.
Sobrevivir a esta tormenta regulatoria no consiste en acumular sellos en el pie de página de tu web corporativa. Se trata de entender qué partida estás jugando en cada momento.
Si tu objetivo a corto plazo es moverte dentro del sector público español y optar a licitaciones, tu hoja de ruta técnica y legal pasa obligatoriamente por el ENS. Si lo que buscas es organizar la casa de forma metódica y abrir puertas en el mercado internacional, la mejor herramienta es la ISO 27001. Y si operas en un sector crítico o eres un proveedor importante de este, la directiva NIS2 no te va a dejar elección: o blindas tu infraestructura y tus procesos de notificación, o te enfrentas a un riesgo legal de dimensiones catastróficas.
Al final, la ciberseguridad ya no es una recomendación técnica; es una exigencia de negocio pura y dura.
¿En qué punto del camino normativo os encontráis vosotros? ¿Os han exigido el ENS de la noche a la mañana para no perder un contrato, o ya estáis sudando tinta revisando vuestra cadena de suministro por la NIS2? Dejadme vuestras dudas, experiencias o frustraciones en los comentarios 💬 👇.