Joaquin Oriente, Rafael Vergara y Boris Delgado
Dirección de Marketing Estratégico y Desarrollo de Negocio
Dirección de Aseguramiento Técnico
AENOR
El mundo ya es digital. La ciberseguridad se ha convertido en una prioridad ineludible en los comités de dirección y órganos de gobierno para todas las organizaciones. La entrada en vigor de normativas europeas como la Directiva NIS2 (Network and Information Systems Directive) y el Reglamento DORA (Digital Operational Resilience Act) subraya la creciente importancia de garantizar niveles avanzados de protección y resiliencia operativa digital, particularmente en sectores críticos como el financiero, energético, sanitario o del transporte.
Estas normativas no solo buscan fortalecer la ciberseguridad mediante exigencias estrictas y claras, sino que establecen responsabilidades explícitas para las entidades obligadas, incluyendo medidas y controles preventivos rigurosos, detección temprana y notificación obligatoria de incidentes disruptivos.
La Directiva NIS2 (Directiva UE 2022/2555) actualiza y amplía la anterior de 2016, reforzando significativamente la ciberresiliencia de las entidades consideradas esenciales e importantes. Así, amplía sectores obligados, refuerza la gobernanza, la gestión de riesgos y la notificación de incidentes, e introduce un régimen sancionador, siendo uno de sus objetivos, garantizar la ciberseguridad en toda la cadena de suministro.
Las organizaciones deben adoptar protocolos robustos para la gestión de riesgos, implementar medidas proactivas y asegurar una respuesta efectiva frente a incidentes. Y es que, el incumplimiento de esta directiva implica sanciones severas a las organizaciones.
Por su parte, el Reglamento DORA (Reglamento UE 2022/2554), dirigido al sector financiero, establece requisitos específicos sobre la gestión del riesgo tecnológico, la notificación y reporte de incidentes graves, y la supervisión rigurosa de proveedores externos de servicios tecnológicos, garantizando también la protección en la cadena de suministro.
El Reglamento DORA fija exigencias específicas para entidades financieras y proveedores TIC críticos: pruebas de resiliencia digital, gestión de riesgos y comunicación de incidentes.
Modelo de Ciberseguridad y Privacidad de AENOR
Fuente: aenor-TIC – Mayo 2022
Aliado de la ciberseguridad
AENOR impulsa la ciberseguridad de las organizaciones desde hace más de una década, mediante un ecosistema de soluciones cuyo núcleo lo forman las certificaciones de Sistema de Gestión de Seguridad de la Información de acuerdo con la Norma UNE-ISO/IEC 27001 y del Esquema Nacional de Seguridad (ENS).
En este ecosistema también conviven otros certificados complementarios, como el de Privacidad de la Información según la Norma ISO/IEC 27701, Seguridad y Privacidad en Cloud con la ISO/IEC 27017‑ISO/IEC 27018 o Sistema de Gestión de Continuidad de Negocio de acuerdo la Norma ISO 22301, entre otros, que permiten construir sistemas de gestión robustos, adaptados al contexto operativo y sectorial, generando la confianza que exige el mercado.
Más de un millar de organizaciones nacionales e internacionales cuentan con certificados AENOR en ISO/IEC 27001 o Esquema Nacional de Seguridad, lo que la convierte en la entidad líder en soluciones de ciberseguridad.
Gestión estructurada y eficaz con la ISO/IEC 27001
El objetivo de la solución de certificación AENOR de Sistema de Gestión de Seguridad de la Información de acuerdo al Estándar ISO/IEC 27001 es claro: reordenar la ciberseguridad de la organización, orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC y la mejora continua.
La versión actual de la Norma ISO/IEC 27001 refuerza la resiliencia, la cadena de suministro y la seguridad cloud, aspectos críticos en el panorama regulatorio europeo como NIS2 o DORA. La certificación AENOR de Sistema de Gestión de la Seguridad de la Información:
- Evidencia la identificación y tratamiento de riesgos.
- Confirma la implicación de la dirección y el ciclo de mejora continua.
- Facilita la confianza de terceros (clientes, socios y supervisores).
La experiencia de AENOR, y su esfuerzo en ser pionero ofreciendo las mejores soluciones a los clientes, nos permite afirmar basados en la experiencia, que la Norma ISO/IEC 27001 es ya un commodity que facilita la implantación de los controles y procesos más eficaces y coherentes en consonancia con la estrategia de negocio de las organizaciones, alineado a la regulación europea como NIS2 o DORA, sin perder garantías de protección.
ENS, alineado con el marco nacional
Cumplir con el Real Decreto 311/2022 – Esquema Nacional de Seguridad (ENS) es obligatorio para la Administración pública española y sus proveedores de servicios tecnológicos. Su estructura de principios, requisitos mínimos y medidas (niveles básico‑medio‑alto) simplifica la adopción por organizaciones de cualquier tamaño. Además, dispone de un soporte documental muy extenso que permite profundizar en aspecto técnicos u organizativos.
AENOR también fue pionera en ofrecer esta solución de certificación; y revalidó su posicionamiento siendo nuevamente la primera entidad acreditada por ENAC para certificar con la nueva versión el ENS. La certificación emitida por AENOR y acreditada por ENAC aporta los siguientes beneficios:
- Homologación con la Administración pública y proyectos financiados con fondos públicos.
- Controles técnicos y organizativos claros y adaptados a las necesidades de protección, como por ejemplo en identidad, acceso y comunicaciones.
- Evidencia de madurez de seguridad ante auditorías internas y externas.
El ENS establece la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permiten una protección adecuada de la información. Se crean las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas de seguridad para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos. Así, se garantiza la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad en los sistemas de información.
Con motivo del reciente anteproyecto de ley de coordinación y gobernanza de la ciberseguridad, para la trasposición de la Directiva NIS2 al ordenamiento jurídico español, existirá un Perfil de Cumplimiento Específico que demuestre cumplimiento de NIS2 a través de la certificación de conformidad con ENS.
Un enfoque integral en la ciberseguridad
Combinar los certificados de Sistema de Gestión de Seguridad de la Información con el Estándar ISO/IEC 27001 y el ENS evita duplicidades gracias a auditorías coordinadas, alinea controles internacionales y nacionales, y optimiza recursos. El resultado: un sistema de gestión integral que cubre desde la definición de políticas a la respuesta ante incidentes, pasando por la seguridad en la cadena de suministro y la continuidad de negocio.
La experiencia de AENOR en la concesión de estos certificados pone encima de la mesa algunas ventajas importantes que encontraran las organizaciones que apuesten por ambas certificaciones en cuanto al nuevo marco regulatorio europeo en materia de ciberseguridad:
- Da respuesta a los controles técnicos y organizativos requeridos por la Directiva NIS2 y el Reglamento DORA.
- Permite disponer de procesos de gestión de incidentes y reporting que se pueden adaptar para compatibilizarlos con los plazos europeos.
- Ofrece documentación auditada que simplifica la demostración eventual de cumplimiento ante las autoridades competentes.
En definitiva, poder gestionar y demostrar el cumplimiento de NIS2 o DORA a través de estándares y normas acreditadas, como la ISO/IEC 27001 o el Esquema Nacional de Seguridad (ENS) de la mano de AENOR es el único camino para crear verdadera confianza entre organizaciones y personas.
LA REVISTA DE LA EVALUACIÓN DE LA CONFORMIDAD
