Normas y estándares de ciberseguridad: todo lo que tu empresa debe saber.

En el contexto actual, donde las amenazas cibernéticas y la protección de datos son de vital importancia, las organizaciones deben cumplir con una variedad de normas y estándares de ciberseguridad para garantizar la seguridad de sus sistemas, la privacidad de los datos y la resiliencia operativa. Entre las normativas más destacadas se encuentran el NIS2, el DORA, el RGPD, el ENS y la ISO 27001. Aunque todas ellas están relacionadas con la ciberseguridad, cada una tiene un enfoque y alcance diferentes. En este artículo, explicaremos las diferencias entre estas normativas, los sectores que afectan, los plazos de aplicación y la relevancia de la ISO 27001 en este contexto.

1. Principales diferencias entre las Normas y Estándares de Seguridad.

Las actuales normas y estándares de seguridad se diferencian esencialmente en dos factores:

1. Ámbito de aplicación. Cada una pretende al final la protección de la información y los activos digitales de los organizaciones pero con ámbitos de aplicación distintos basados en criterios como la criticidad de los servicios prestados.

2. Obligatoriedad de la norma. Las normas son leyes exigibles, los estándares, como la ISO, son de carácter voluntario, aunque a la práctica pueden ser exigidas por proveedores con lo que la voluntariedad, es discutible.

2. NIS2: La Directiva sobre Seguridad de las Redes y Sistemas de Información.

Objetivo:
La Directiva NIS2 tiene como fin aumentar la ciberseguridad en las redes y sistemas de información de la Unión Europea, especialmente en sectores clave que son esenciales para la economía y la sociedad.

Sectores aplicables:

• Energía.
• Transporte.
• Banca.
• Infraestructuras de agua y salud.
• Proveedores de servicios digitales (nube, motores de búsqueda, mercados en línea).

Plazo de aplicación:

El plazo para transponer la Directiva NIS2 a los Estados miembros finalizó el 17/10/2024. En España se cerró la consulta pública el 10/02/2025 y la ley se encuentra en la fase final de redacción y aprobación.

3. DORA: La Regulación de Resiliencia Operativa Digital.

Objetivo:

DORA (Digital Operational Resilience Act) busca asegurar que las entidades del sector financiero sean resilientes frente a incidentes cibernéticos, protegiendo la estabilidad de los mercados financieros.

Sectores aplicables:

• Bancos.
• Aseguradoras.
• Fondos de pensiones.
• Proveedores de servicios financieros (fintech).
• Infraestructuras del mercado financiero.

Plazo de aplicación:

En vigor des del 17/01/2025 sin necesidad de transposición al tratarse de un Reglamento.

4. RGPD: El Reglamento General de Protección de Datos.

Objetivo:

El RGPD regula el tratamiento de los datos personales en la UE, garantizando la protección de la privacidad de los individuos y estableciendo requisitos rigurosos sobre cómo las empresas deben manejar y proteger estos datos.

Sectores aplicables:

• Todas las empresas que traten datos personales de ciudadanos de la UE, independientemente de su ubicación.
• Empresas que ofrezcan bienes o servicios a personas en la UE.
• Organizaciones que monitoricen el comportamiento de personas en la UE.

Plazo de aplicación:

El RGPD está en vigor desde 2018, y su cumplimiento es obligatorio desde esa fecha. Consulta aquí los 5 errores más comunes al implementar el RGPD.

5. ENS: Esquema Nacional de Seguridad (España).

Objetivo:

El ENS es una normativa española que establece un marco para garantizar la seguridad de los sistemas de información en el sector público y en las empresas que interactúan con la Administración Pública, protegiendo la confidencialidad, integridad y disponibilidad de los datos.

Sectores aplicables:

• Administraciones públicas (central, autonómica y local).
• Empresas que gestionan información pública o interactúan con la Administración Pública.
• Proveedores de servicios esenciales para la Administración.

Plazo de aplicación:

El ENS está en vigor desde 2010, con actualizaciones en 2020 que han mejorado los requisitos de seguridad.

6. ISO 27001: Sistema de Gestión de Seguridad de la Información.

Objetivo:

La ISO 27001 es una norma internacional que establece los requisitos para implementar un sistema de gestión de seguridad de la información (SGSI). Su objetivo es garantizar que la información se gestione de manera segura, protegiendo su confidencialidad, integridad y disponibilidad mediante una serie de controles y políticas. La ISO 27001 es una certificación voluntaria que puede ser obtenida por cualquier tipo de organización, independientemente de su tamaño o sector.

Sectores aplicables:

A diferencia de otras normativas, la ISO 27001 no está dirigida a sectores específicos, sino que es aplicable a cualquier organización que desee proteger la información sensible, ya sea pública o privada. Esto incluye:

• Empresas de cualquier sector.
• Proveedores de servicios.
• Organizaciones del sector público y privado.

Plazo de aplicación:

La ISO 27001 es una certificación voluntaria, por lo que no tiene un «plazo de aplicación» como tal. Sin embargo, las organizaciones que deseen obtenerla deben seguir un proceso de implementación y auditoría que puede durar varios meses, dependiendo de la complejidad de los sistemas de la empresa.

Principales Diferencias entre las Normas y Estándares de Ciberseguridad.

• Ámbito y objetivo de las Normas y Estándares de Ciberseguridad:
  • NIS2 se centra en la protección de infraestructuras críticas y servicios esenciales en la UE, como la energía o la salud.
  • DORA está diseñado para mejorar la resiliencia cibernética en el sector financiero.
  • RGPD regula el tratamiento de datos personales y la protección de la privacidad de los ciudadanos.
  • ENS establece requisitos de seguridad para los sistemas de información de la Administración Pública y sus proveedores en España.
  • ISO 27001 es un estándar internacional para la gestión de la seguridad de la información, aplicable a cualquier organización.
• Sectores afectados:
  • NIS2 afecta a sectores como energía, transporte, y salud.
  • DORA es aplicable al sector financiero.
  • RGPD se aplica a todas las empresas que traten datos personales de ciudadanos de la UE.
  • ENS se aplica a las administraciones públicas y sus proveedores en España.
  • ISO 27001 puede ser implementada por cualquier organización que desee mejorar su seguridad de la información.
• Plazos de exigibilidad:
  • NIS2 entró en vigor en 2024.
  • DORA entró en vigor el enero de 2025.
  • RGPD está en vigor desde 2018.
  • ENS está en vigor desde 2010.
  • ISO 27001 es una certificación voluntaria y no tiene un plazo de exigibilidad; su obtención depende de la decisión de la organización.
• Enfoque de cumplimiento:
  • NIS2, DORA, RGPD y ENS son normativas con un enfoque regulatorio y, en algunos casos, con sanciones por incumplimiento.
  • ISO 27001 es un estándar voluntario con un enfoque más orientado a la mejora continua de la seguridad de la información.

Conclusión

Cada una de estas normas y estándares de ciberseguridad juegan un papel crucial en la protección de la información, pero tienen enfoques diferentes. El NIS2 y el DORA son regulaciones europeas orientadas a sectores específicos como las infraestructuras críticas y el sector financiero, mientras que el RGPD regula la protección de datos personales. El ENS, por su parte, establece un marco de seguridad en España, principalmente para la Administración Pública y sus proveedores. La ISO 27001, aunque no es obligatoria, ofrece un marco flexible y adaptable para cualquier organización que desee asegurar la protección de su información a nivel global.

Autor: Victor Roselló, Abogado.

Si necesitas más información, ¡contacta con nosotros!:

Denominación social:

LEGAL IT GLOBAL 2017, SLP

Finalidad:
Prestar el servicio.

Envío del Boletín informativo.

Legitimización:
Cumplimiento de la prestación del servicio.

Consentimiento.

Destinatarios: Tus datos no serán compartidos con ningún tercero, salvo a aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.

Consulta la Política de Protección de datos completa a aquí.