{"id":20894,"date":"2026-06-19T11:00:00","date_gmt":"2026-06-19T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20894"},"modified":"2026-07-09T16:18:44","modified_gmt":"2026-07-09T16:18:44","slug":"por-que-la-certificacion-iso-por-si-sola-no-es-suficiente-para-el-bsi","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/06\/19\/por-que-la-certificacion-iso-por-si-sola-no-es-suficiente-para-el-bsi\/","title":{"rendered":"Por qu\u00e9 el certificado ISO no basta para el BSI por s\u00ed solo"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">7 min de lectura<\/p>\n<p><strong>Desde el 6 de diciembre de 2025 rige el BSIG reformado. Seg\u00fan el BSI, el c\u00edrculo de entidades supervisadas crece de alrededor de 4.500 a aproximadamente 29.500. Muchas de ellas tienen un certificado ISO-27001 guardado y se consideran seguras con ello. El BSI aclara en su paquete informativo sobre la norma: Una certificaci\u00f3n ISO no constituye ni conformidad con NIS2 ni una prueba admisible en el procedimiento de supervisi\u00f3n.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">No sustituye:<\/strong> El BSI no reconoce expresamente una certificaci\u00f3n ISO-27001 como prueba de conformidad seg\u00fan el BSIG. La supervisi\u00f3n verifica directamente los p\u00e1rrafos 30, 32 y 38.<\/li>\n<li><strong style=\"color:#69d8ed;\">Gran coincidencia:<\/strong> La tabla de mapeo del BSI asigna los diez campos de medidas del p\u00e1rrafo 30 a controles ISO concretos. Un ISMS bien implementado reduce notablemente el esfuerzo de implementaci\u00f3n.<\/li>\n<li><strong style=\"color:#69d8ed;\">Tres lagunas:<\/strong> El \u00e1mbito de aplicaci\u00f3n, la aceptaci\u00f3n de riesgos y la obligaci\u00f3n de notificaci\u00f3n a la autoridad no los contempla la norma de esa manera. Precisamente aqu\u00ed fracasa el reflejo de presentar simplemente el certificado.<\/li>\n<li><strong style=\"color:#69d8ed;\">Asunto de la direcci\u00f3n:<\/strong> El p\u00e1rrafo 38 obliga personalmente a la direcci\u00f3n a la implementaci\u00f3n, supervisi\u00f3n y formaci\u00f3n peri\u00f3dica. Esta obligaci\u00f3n no se puede delegar en un certificado.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/16\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi\/\" style=\"color:#333;text-decoration:underline;\">NIS2 despu\u00e9s del plazo: Ahora comienza la supervisi\u00f3n del BSI<\/a>&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/15\/autenticacion-multifactor-adaptativa-en-la-auditoria-nis2-cuando-la-politica\/\" style=\"color:#333;text-decoration:underline;\">MFA adaptativa en la auditor\u00eda NIS2<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Tres obligaciones del BSIG que su auditor\u00eda ISO desconoce<\/h2>\n<p><strong>\u00bfQu\u00e9 es NIS2?<\/strong> NIS2 es la directiva de la UE sobre la seguridad de las redes y la informaci\u00f3n, transpuesta en Alemania mediante el BSIG reformado. Obliga a las entidades afectadas a la gesti\u00f3n de riesgos, a notificar incidentes significativos y a registrarse ante el BSI, con responsabilidad personal de la direcci\u00f3n.<\/p>\n<p>El certificado sigue siendo un fundamento s\u00f3lido. Un ISMS implementado cubre, seg\u00fan el mapeo del BSI, una gran parte de las medidas legales. Solo que no todo. Quien conoce las lagunas se evita costosos trabajos duplicados y correcciones en la primera auditor\u00eda.<\/p>\n<p>Si una entidad est\u00e1 sujeta a la ley depende del sector y el tama\u00f1o. El propio nivel de seguridad no influye en la afectaci\u00f3n. El p\u00e1rrafo 28 del BSIG distingue entre entidades especialmente importantes e importantes; los operadores de KRITIS se consideran autom\u00e1ticamente especialmente importantes. Quien est\u00e1 afectado asume tres obligaciones centrales que un auditor ISO no verifica en absoluto durante su certificaci\u00f3n.<\/p>\n<p>La primera es el registro seg\u00fan el p\u00e1rrafo 33. La segunda es la notificaci\u00f3n de incidentes significativos seg\u00fan el p\u00e1rrafo 32. La tercera es la gesti\u00f3n de riesgos junto con la documentaci\u00f3n seg\u00fan el p\u00e1rrafo 30. ISO 27001 es una norma voluntaria, el BSIG es derecho vigente con una autoridad de supervisi\u00f3n detr\u00e1s. Ese es el n\u00facleo del malentendido: un auditor certifica un sistema de gesti\u00f3n, una autoridad exige el cumplimiento de obligaciones legales concretas.<\/p>\n<p>El BSI formula esta separaci\u00f3n en su paquete informativo sobre la norma de forma inequ\u00edvoca. Una certificaci\u00f3n es una buena prueba de madurez, pero en el procedimiento de supervisi\u00f3n no cuenta como prueba de conformidad.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">D\u00f3nde ISO 27001 ya soporta seg\u00fan el mapeo del BSI<\/h2>\n<p>La buena noticia est\u00e1 en la tabla oficial de mapeo del BSI. El p\u00e1rrafo 30 apartado 2 enumera diez campos de medidas obligatorios, desde el an\u00e1lisis de riesgos pasando por la respuesta a incidentes y la continuidad del negocio hasta la cadena de suministro, la criptograf\u00eda y la autenticaci\u00f3n de m\u00faltiples factores. Para cada uno de estos campos, el BSI nombra las cl\u00e1usulas y controles correspondientes de ISO 27001 en su versi\u00f3n de 2022.<\/p>\n<p>Concretamente significa: Quien opera un ISMS vivo ya tiene la mayor parte de los componentes en casa. Registros de riesgos, playbooks de respuesta a incidentes, evaluaci\u00f3n de proveedores, una pol\u00edtica de criptograf\u00eda y una hoja de ruta de MFA contribuyen directamente a los campos legales. El BSI indica que una certificaci\u00f3n puede reducir el esfuerzo de implementaci\u00f3n. La autoridad no menciona intencionadamente un porcentaje fijo. Quien lo inventa vende una precisi\u00f3n aparente.<\/p>\n<p>Queda una reserva. El mapeo tiene car\u00e1cter informativo sin vinculaci\u00f3n jur\u00eddica. Un control implementado seg\u00fan ISO solo cumple la obligaci\u00f3n legal si el \u00e1mbito de aplicaci\u00f3n y la profundidad de implementaci\u00f3n son correctos. Y precisamente en estos dos puntos se abren las lagunas.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Tres lagunas que un certificado no cierra<\/h2>\n<p>La primera laguna se refiere al \u00e1mbito de aplicaci\u00f3n. En ISO 27001 la organizaci\u00f3n define su propio alcance, a menudo limitado a un departamento, una sede o un proceso individual. El BSIG no conoce esta libertad. Las medidas se aplican a los servicios regulados y a los sistemas de TI que los prestan. Un certificado que solo abarca el departamento de TI no suele cubrir el requisito legal.<\/p>\n<p>La segunda laguna reside en el tratamiento de riesgos. ISO permite aceptar conscientemente los riesgos o transferirlos mediante un seguro. En cambio, el p\u00e1rrafo 30 exige la implementaci\u00f3n efectiva de medidas adecuadas seg\u00fan el estado de la t\u00e9cnica. Aceptar de forma gen\u00e9rica riesgos relevantes no se sostiene ante la supervisi\u00f3n. Quien lleva honestamente su registro de riesgos debe verificar cada entrada con estado aceptado frente a la obligaci\u00f3n legal de implementaci\u00f3n.<\/p>\n<p>La tercera laguna es la obligaci\u00f3n de notificaci\u00f3n. Un proceso de respuesta a incidentes seg\u00fan ISO regula la escalada interna. Sin embargo, no conoce un canal de notificaci\u00f3n a la autoridad. El p\u00e1rrafo 32 exige una notificaci\u00f3n en tres fases a la oficina conjunta de notificaciones de BSI y BBK: una alerta temprana en un plazo de 24 horas, una notificaci\u00f3n de seguimiento en un plazo de 72 horas y una notificaci\u00f3n de cierre en un plazo de un mes tras la notificaci\u00f3n de seguimiento. La directriz del BSI reza: rapidez antes que exhaustividad. Una notificaci\u00f3n interna al propio equipo de seguridad no sustituye esta obligaci\u00f3n.<\/p>\n<p>El siguiente resumen resume d\u00f3nde soporta el certificado y d\u00f3nde la ley va m\u00e1s all\u00e1.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:560px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Tema<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">ISO 27001 cubre t\u00edpicamente<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">BSIG exige adicionalmente<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>\u00c1mbito de aplicaci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Alcance elegible libremente, a menudo una sola unidad<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Medidas para todos los sistemas de los servicios regulados<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Tratamiento de riesgos<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Aceptaci\u00f3n y transferencia de riesgos permitida<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Implementaci\u00f3n obligatoria seg\u00fan p\u00e1rrafo 30, sin transferencia gen\u00e9rica<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Respuesta a incidentes<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Procesos internos de escalado e IR<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Notificaci\u00f3n a la autoridad seg\u00fan p\u00e1rrafo 32: 24h, 72h, un mes<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Direcci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Revisi\u00f3n por la direcci\u00f3n, aprobaci\u00f3n de la directriz<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Obligaci\u00f3n personal seg\u00fan p\u00e1rrafo 38: implementaci\u00f3n, supervisi\u00f3n, formaci\u00f3n<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Registro<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">No forma parte de la norma<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Registro seg\u00fan p\u00e1rrafo 33, supervisi\u00f3n sin certificado como prueba<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">P\u00e1rrafo 38: Por qu\u00e9 la direcci\u00f3n permanece personalmente obligada<\/h2>\n<p>La diferencia quiz\u00e1s m\u00e1s importante est\u00e1 en el p\u00e1rrafo 38. La direcci\u00f3n debe implementar las medidas de gesti\u00f3n de riesgos seg\u00fan el p\u00e1rrafo 30 y supervisar su implementaci\u00f3n. Esta obligaci\u00f3n es personal y no se puede delegar en el CISO ni en un certificado. En caso de incumplimiento culpable se aplica una responsabilidad por da\u00f1os seg\u00fan los est\u00e1ndares del derecho societario.<\/p>\n<p>A ello se suma una obligaci\u00f3n de formaci\u00f3n. La direcci\u00f3n debe formarse regularmente para poder reconocer y evaluar riesgos. La revisi\u00f3n por la direcci\u00f3n seg\u00fan la cl\u00e1usula 9.3 de ISO cubre la direcci\u00f3n organizativa. No sustituye la obligaci\u00f3n legal de responsabilidad personal de la direcci\u00f3n.<\/p>\n<p>Aqu\u00ed es importante una precisi\u00f3n, porque a menudo se cita incorrectamente. La directiva de la UE habla en el art\u00edculo 20 de una aprobaci\u00f3n de las medidas por los \u00f3rganos de direcci\u00f3n. El BSIG alem\u00e1n formula de forma m\u00e1s estricta y exige implementaci\u00f3n y supervisi\u00f3n. Quien habla internamente de aprobaci\u00f3n debe conocer la referencia a la UE y no actuar como si la palabra estuviera en la ley alemana. En la pr\u00e1ctica la obligaci\u00f3n significa: aprobaciones documentadas, una cadencia fija de informes y formaciones demostrables de la direcci\u00f3n.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u00e9 debe estar resuelto antes del primer incidente<\/h2>\n<p>Adem\u00e1s de las obligaciones continuas est\u00e1 el registro. Seg\u00fan el p\u00e1rrafo 33, una entidad afectada debe registrarse a m\u00e1s tardar tres meses despu\u00e9s de la primera afectaci\u00f3n, a trav\u00e9s de la cuenta empresarial y el portal del BSI, disponible desde el 6 de enero de 2026. Los operadores de KRITIS siguen el camino de la ley marco de KRITIS. La supervisi\u00f3n puede ordenar auditor\u00edas seg\u00fan los p\u00e1rrafos 61 y 62. Tampoco all\u00ed cuenta el certificado ISO como prueba de conformidad reconocida.<\/p>\n<p>Por ello es recomendable un dossier propio de pruebas que se lleve independientemente del ciclo de auditor\u00eda ISO. Agrupa la documentaci\u00f3n seg\u00fan el p\u00e1rrafo 30, los procesos de notificaci\u00f3n seg\u00fan el p\u00e1rrafo 32, los comprobantes de formaci\u00f3n de la direcci\u00f3n seg\u00fan el p\u00e1rrafo 38 y el registro seg\u00fan el p\u00e1rrafo 33. Quien separa limpiamente estos cuatro bloques puede entregar r\u00e1pidamente en caso de supervisi\u00f3n lo que de otro modo est\u00e1 disperso en una estructura de carpetas ISO.<\/p>\n<p>El camino pragm\u00e1tico para las empresas ya certificadas lleva al objetivo en cinco pasos. Verificar la afectaci\u00f3n seg\u00fan el p\u00e1rrafo 28. Comparar el alcance ISO con la operaci\u00f3n exigida legalmente. Realizar un an\u00e1lisis de brechas estructurado contra los diez campos del p\u00e1rrafo 30 y utilizar para ello la tabla de mapeo del BSI como lista de verificaci\u00f3n. Establecer el proceso de notificaci\u00f3n con plazos claros y acceso al portal. E incorporar activamente a la direcci\u00f3n, con formaci\u00f3n y supervisi\u00f3n documentada. El certificado proporciona as\u00ed una ventaja real. Las obligaciones legales no las exime a nadie.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 cerrada. Al tocar se desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfBasta nuestra certificaci\u00f3n ISO-27001 para ser conformes con NIS2?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El BSI aclara expresamente en su paquete informativo sobre la norma que una certificaci\u00f3n no significa conformidad con NIS2. El certificado es un buen fundamento, pero no sustituye el an\u00e1lisis de brechas respecto al p\u00e1rrafo 30 ni las obligaciones adicionales de los p\u00e1rrafos 32, 33 y 38.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfDebemos notificar incidentes si ya tenemos una gesti\u00f3n de incidentes seg\u00fan ISO?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">S\u00ed, por separado seg\u00fan el p\u00e1rrafo 32. Un proceso de respuesta a incidentes seg\u00fan ISO regula la escalada interna, pero no conoce un canal de notificaci\u00f3n a la autoridad. Se requiere un puente de proceso que clasifique un incidente significativo y active los plazos de 24 horas, 72 horas y un mes.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfPodemos presentar el certificado ISO al BSI como prueba?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No como prueba de conformidad. La supervisi\u00f3n verifica directamente los p\u00e1rrafos 30, 32 y 38. El certificado puede documentar de forma complementaria que existe un sistema de gesti\u00f3n, pero no sustituye la presentaci\u00f3n de pruebas legales.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 debe hacer personalmente la direcci\u00f3n?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">El p\u00e1rrafo 38 exige la implementaci\u00f3n y supervisi\u00f3n de las medidas, as\u00ed como formaci\u00f3n regular; adem\u00e1s, la direcci\u00f3n es responsable en caso de incumplimiento culpable de sus obligaciones. La firma bajo la directriz de seguridad por s\u00ed sola no basta. Los comprobantes de formaci\u00f3n y un proceso de supervisi\u00f3n documentado deben llevarse por separado.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfCubre ISO 27001 la obligaci\u00f3n de notificaci\u00f3n NIS2?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El BSI menciona expresamente la obligaci\u00f3n de notificaci\u00f3n seg\u00fan el p\u00e1rrafo 32 como un punto que la norma no cubre. Un proceso IR interno y una notificaci\u00f3n legal a la oficina conjunta de notificaciones son dos cosas distintas.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/16\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi-cover-es-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 despu\u00e9s del plazo: Comienza la supervisi\u00f3n del BSI<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/03\/nis2-y-divulgacion-coordinada-salir-de-la-zona-gris\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/sicherheitsforschung-aus-der-grauzone-wie-nis2-coordinated-disclosure-verbindlich-macht-cover-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 y Divulgaci\u00f3n Coordinada: salir de la zona gris<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/10\/el-plan-de-emergencia-que-nadie-ha-puesto-en-practica\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/el-plan-de-emergencia-que-nadie-ha-puesto-en-practica-cover-es-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">El plan de emergencia que nadie ha puesto en pr\u00e1ctica<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/es\/geopolitica-datacenters-cio-asegurar\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Geopol?tica y datacenters: lo que los CIO deben asegurar<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/acto-de-la-ue-sobre-ia-a-partir-de-agosto-de-2026-lo-que-las-pymes-deben\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Reglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahora<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/06\/16\/xfs4iot-se-encuentra-con-la-nube-el-cajero-automatico-se-convierte-en-plataforma\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT se encuentra con la nube: El cajero autom\u00e1tico se convierte en plataforma<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"La ISO 27001 se considera para muchos como una prueba de NIS2. El BSI lo ve de otra manera.","protected":false},"author":50,"featured_media":18176,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"NIS2 ISO 27001","_yoast_wpseo_title":"Por qu\u00e9 la certificaci\u00f3n ISO por s\u00ed sola no es suficiente para el BSI","_yoast_wpseo_metadesc":"La norma ISO 27001 no siempre se considera prueba de cumplimiento con NIS2. El BSI tiene una opini\u00f3n diferente sobre d\u00f3nde es aplicable el certificado y\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/iso-27001-nis2-bsig-zertifikat-luecken-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/iso-27001-nis2-bsig-zertifikat-luecken-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[261,258],"tags":[],"class_list":["post-20894","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance-es","category-strategie-governance"],"evm_reading_time_minutes":11,"wpml_language":"es","wpml_translation_of":18175,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20894","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=20894"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20894\/revisions"}],"predecessor-version":[{"id":21074,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20894\/revisions\/21074"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/18176"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=20894"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=20894"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=20894"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}