Por qué el certificado ISO no basta para el BSI por sí solo
Desde el 6 de diciembre de 2025 rige el BSIG reformado. Según el BSI, el círculo de entidades supervisadas crece de alrededor de 4.500 a aproximadamente 29.500. Muchas de ellas tienen un certificado ISO-27001 guardado y se consideran seguras con ello. El BSI aclara en su paquete informativo sobre la norma: Una certificación ISO no constituye ni conformidad con NIS2 ni una prueba admisible en el procedimiento de supervisión.
Lo más importante en resumen
- No sustituye: El BSI no reconoce expresamente una certificación ISO-27001 como prueba de conformidad según el BSIG. La supervisión verifica directamente los párrafos 30, 32 y 38.
- Gran coincidencia: La tabla de mapeo del BSI asigna los diez campos de medidas del párrafo 30 a controles ISO concretos. Un ISMS bien implementado reduce notablemente el esfuerzo de implementación.
- Tres lagunas: El ámbito de aplicación, la aceptación de riesgos y la obligación de notificación a la autoridad no los contempla la norma de esa manera. Precisamente aquí fracasa el reflejo de presentar simplemente el certificado.
- Asunto de la dirección: El párrafo 38 obliga personalmente a la dirección a la implementación, supervisión y formación periódica. Esta obligación no se puede delegar en un certificado.
Relacionado:NIS2 después del plazo: Ahora comienza la supervisión del BSI / MFA adaptativa en la auditoría NIS2
Tres obligaciones del BSIG que su auditoría ISO desconoce
¿Qué es NIS2? NIS2 es la directiva de la UE sobre la seguridad de las redes y la información, transpuesta en Alemania mediante el BSIG reformado. Obliga a las entidades afectadas a la gestión de riesgos, a notificar incidentes significativos y a registrarse ante el BSI, con responsabilidad personal de la dirección.
El certificado sigue siendo un fundamento sólido. Un ISMS implementado cubre, según el mapeo del BSI, una gran parte de las medidas legales. Solo que no todo. Quien conoce las lagunas se evita costosos trabajos duplicados y correcciones en la primera auditoría.
Si una entidad está sujeta a la ley depende del sector y el tamaño. El propio nivel de seguridad no influye en la afectación. El párrafo 28 del BSIG distingue entre entidades especialmente importantes e importantes; los operadores de KRITIS se consideran automáticamente especialmente importantes. Quien está afectado asume tres obligaciones centrales que un auditor ISO no verifica en absoluto durante su certificación.
La primera es el registro según el párrafo 33. La segunda es la notificación de incidentes significativos según el párrafo 32. La tercera es la gestión de riesgos junto con la documentación según el párrafo 30. ISO 27001 es una norma voluntaria, el BSIG es derecho vigente con una autoridad de supervisión detrás. Ese es el núcleo del malentendido: un auditor certifica un sistema de gestión, una autoridad exige el cumplimiento de obligaciones legales concretas.
El BSI formula esta separación en su paquete informativo sobre la norma de forma inequívoca. Una certificación es una buena prueba de madurez, pero en el procedimiento de supervisión no cuenta como prueba de conformidad.
Dónde ISO 27001 ya soporta según el mapeo del BSI
La buena noticia está en la tabla oficial de mapeo del BSI. El párrafo 30 apartado 2 enumera diez campos de medidas obligatorios, desde el análisis de riesgos pasando por la respuesta a incidentes y la continuidad del negocio hasta la cadena de suministro, la criptografía y la autenticación de múltiples factores. Para cada uno de estos campos, el BSI nombra las cláusulas y controles correspondientes de ISO 27001 en su versión de 2022.
Concretamente significa: Quien opera un ISMS vivo ya tiene la mayor parte de los componentes en casa. Registros de riesgos, playbooks de respuesta a incidentes, evaluación de proveedores, una política de criptografía y una hoja de ruta de MFA contribuyen directamente a los campos legales. El BSI indica que una certificación puede reducir el esfuerzo de implementación. La autoridad no menciona intencionadamente un porcentaje fijo. Quien lo inventa vende una precisión aparente.
Queda una reserva. El mapeo tiene carácter informativo sin vinculación jurídica. Un control implementado según ISO solo cumple la obligación legal si el ámbito de aplicación y la profundidad de implementación son correctos. Y precisamente en estos dos puntos se abren las lagunas.
Tres lagunas que un certificado no cierra
La primera laguna se refiere al ámbito de aplicación. En ISO 27001 la organización define su propio alcance, a menudo limitado a un departamento, una sede o un proceso individual. El BSIG no conoce esta libertad. Las medidas se aplican a los servicios regulados y a los sistemas de TI que los prestan. Un certificado que solo abarca el departamento de TI no suele cubrir el requisito legal.
La segunda laguna reside en el tratamiento de riesgos. ISO permite aceptar conscientemente los riesgos o transferirlos mediante un seguro. En cambio, el párrafo 30 exige la implementación efectiva de medidas adecuadas según el estado de la técnica. Aceptar de forma genérica riesgos relevantes no se sostiene ante la supervisión. Quien lleva honestamente su registro de riesgos debe verificar cada entrada con estado aceptado frente a la obligación legal de implementación.
La tercera laguna es la obligación de notificación. Un proceso de respuesta a incidentes según ISO regula la escalada interna. Sin embargo, no conoce un canal de notificación a la autoridad. El párrafo 32 exige una notificación en tres fases a la oficina conjunta de notificaciones de BSI y BBK: una alerta temprana en un plazo de 24 horas, una notificación de seguimiento en un plazo de 72 horas y una notificación de cierre en un plazo de un mes tras la notificación de seguimiento. La directriz del BSI reza: rapidez antes que exhaustividad. Una notificación interna al propio equipo de seguridad no sustituye esta obligación.
El siguiente resumen resume dónde soporta el certificado y dónde la ley va más allá.
| Tema | ISO 27001 cubre típicamente | BSIG exige adicionalmente |
|---|---|---|
| Ámbito de aplicación | Alcance elegible libremente, a menudo una sola unidad | Medidas para todos los sistemas de los servicios regulados |
| Tratamiento de riesgos | Aceptación y transferencia de riesgos permitida | Implementación obligatoria según párrafo 30, sin transferencia genérica |
| Respuesta a incidentes | Procesos internos de escalado e IR | Notificación a la autoridad según párrafo 32: 24h, 72h, un mes |
| Dirección | Revisión por la dirección, aprobación de la directriz | Obligación personal según párrafo 38: implementación, supervisión, formación |
| Registro | No forma parte de la norma | Registro según párrafo 33, supervisión sin certificado como prueba |
Párrafo 38: Por qué la dirección permanece personalmente obligada
La diferencia quizás más importante está en el párrafo 38. La dirección debe implementar las medidas de gestión de riesgos según el párrafo 30 y supervisar su implementación. Esta obligación es personal y no se puede delegar en el CISO ni en un certificado. En caso de incumplimiento culpable se aplica una responsabilidad por daños según los estándares del derecho societario.
A ello se suma una obligación de formación. La dirección debe formarse regularmente para poder reconocer y evaluar riesgos. La revisión por la dirección según la cláusula 9.3 de ISO cubre la dirección organizativa. No sustituye la obligación legal de responsabilidad personal de la dirección.
Aquí es importante una precisión, porque a menudo se cita incorrectamente. La directiva de la UE habla en el artículo 20 de una aprobación de las medidas por los órganos de dirección. El BSIG alemán formula de forma más estricta y exige implementación y supervisión. Quien habla internamente de aprobación debe conocer la referencia a la UE y no actuar como si la palabra estuviera en la ley alemana. En la práctica la obligación significa: aprobaciones documentadas, una cadencia fija de informes y formaciones demostrables de la dirección.
Qué debe estar resuelto antes del primer incidente
Además de las obligaciones continuas está el registro. Según el párrafo 33, una entidad afectada debe registrarse a más tardar tres meses después de la primera afectación, a través de la cuenta empresarial y el portal del BSI, disponible desde el 6 de enero de 2026. Los operadores de KRITIS siguen el camino de la ley marco de KRITIS. La supervisión puede ordenar auditorías según los párrafos 61 y 62. Tampoco allí cuenta el certificado ISO como prueba de conformidad reconocida.
Por ello es recomendable un dossier propio de pruebas que se lleve independientemente del ciclo de auditoría ISO. Agrupa la documentación según el párrafo 30, los procesos de notificación según el párrafo 32, los comprobantes de formación de la dirección según el párrafo 38 y el registro según el párrafo 33. Quien separa limpiamente estos cuatro bloques puede entregar rápidamente en caso de supervisión lo que de otro modo está disperso en una estructura de carpetas ISO.
El camino pragmático para las empresas ya certificadas lleva al objetivo en cinco pasos. Verificar la afectación según el párrafo 28. Comparar el alcance ISO con la operación exigida legalmente. Realizar un análisis de brechas estructurado contra los diez campos del párrafo 30 y utilizar para ello la tabla de mapeo del BSI como lista de verificación. Establecer el proceso de notificación con plazos claros y acceso al portal. E incorporar activamente a la dirección, con formación y supervisión documentada. El certificado proporciona así una ventaja real. Las obligaciones legales no las exime a nadie.
Preguntas frecuentes
Cada pregunta está cerrada. Al tocar se desbloquea la respuesta.
¿Basta nuestra certificación ISO-27001 para ser conformes con NIS2?
No. El BSI aclara expresamente en su paquete informativo sobre la norma que una certificación no significa conformidad con NIS2. El certificado es un buen fundamento, pero no sustituye el análisis de brechas respecto al párrafo 30 ni las obligaciones adicionales de los párrafos 32, 33 y 38.
¿Debemos notificar incidentes si ya tenemos una gestión de incidentes según ISO?
Sí, por separado según el párrafo 32. Un proceso de respuesta a incidentes según ISO regula la escalada interna, pero no conoce un canal de notificación a la autoridad. Se requiere un puente de proceso que clasifique un incidente significativo y active los plazos de 24 horas, 72 horas y un mes.
¿Podemos presentar el certificado ISO al BSI como prueba?
No como prueba de conformidad. La supervisión verifica directamente los párrafos 30, 32 y 38. El certificado puede documentar de forma complementaria que existe un sistema de gestión, pero no sustituye la presentación de pruebas legales.
¿Qué debe hacer personalmente la dirección?
El párrafo 38 exige la implementación y supervisión de las medidas, así como formación regular; además, la dirección es responsable en caso de incumplimiento culpable de sus obligaciones. La firma bajo la directriz de seguridad por sí sola no basta. Los comprobantes de formación y un proceso de supervisión documentado deben llevarse por separado.
¿Cubre ISO 27001 la obligación de notificación NIS2?
No. El BSI menciona expresamente la obligación de notificación según el párrafo 32 como un punto que la norma no cubre. Un proceso IR interno y una notificación legal a la oficina conjunta de notificaciones son dos cosas distintas.
Selección de la redacción
RecomendadoNIS2 después del plazo: Comienza la supervisión del BSIRecomendadoNIS2 y Divulgación Coordinada: salir de la zona grisRecomendadoEl plan de emergencia que nadie ha puesto en práctica
Más de la red MBF Media
Digital ChiefsGeopol?tica y datacenters: lo que los CIO deben asegurarMyBusinessFutureReglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahoracloudmagazinXFS4IoT se encuentra con la nube: El cajero automático se convierte en plataforma





