Alcance del SGSI ISO 27001 para NIS2, DORA y GDPR
María, CISO de una fintech europea de rápido crecimiento, pensaba que la auditoría de seguimiento de ISO 27001 estaba bajo control.
El certificado era reciente. La Declaración de Aplicabilidad parecía madura. La declaración de alcance cubría “el sistema de gestión de la seguridad de la información corporativo que da soporte a las operaciones de la plataforma SaaS”. El entorno en la nube de producción estaba documentado. Existía un procedimiento de respuesta a incidentes. El registro de riesgos tenía propietarios, fechas y valoraciones de riesgo residual.
Entonces el auditor formuló una pregunta sencilla:
“¿Qué partes de esta plataforma SaaS están también dentro del alcance del registro NIS2, qué servicios externalizados dan soporte a funciones críticas o importantes DORA para sus clientes financieros y dónde se tratan exactamente los datos personales sujetos a GDPR?”
La sala quedó en silencio.
El área jurídica abrió una hoja de cálculo de obligaciones regulatorias. Producto abrió un diagrama de arquitectura. El DPD abrió los registros de actividades de tratamiento. Compras abrió la lista de proveedores. Operaciones abrió el plan de recuperación ante desastres. Nada coincidía.
El alcance del SGSI decía “plataforma SaaS”. La evaluación NIS2 identificaba servicios de infraestructura digital en varios Estados miembros. Los contratos con clientes describían la plataforma como soporte de operaciones financieras reguladas. Los registros GDPR incluían datos de identidad, telemetría, direcciones IP, metadatos de pago, tickets de soporte y analítica subcontratada. El plan de recuperación ante desastres cubría producción, pero no la plataforma de soporte al cliente utilizada para comunicaciones sobre brechas de seguridad. La diligencia debida de proveedores cubría al proveedor de alojamiento, pero no el servicio gestionado de detección conectado a los registros de producción.
Este es el problema de delimitación del alcance del SGSI en 2026. La certificación ISO 27001 sigue siendo valiosa, pero un “alcance mínimo viable” demasiado estrecho puede convertirse en una fuente de responsabilidad cuando supervisores, clientes y auditores esperan que el mismo sistema de gestión explique los servicios esenciales NIS2, las funciones críticas o importantes DORA y los límites del tratamiento GDPR.
Para ISO/IEC 27001:2022, NIS2, DORA y GDPR, un alcance débil no es un defecto administrativo. Es la primera ficha del dominó. Si el alcance es incorrecto, la evaluación de riesgos queda incompleta, la SoA resulta engañosa, los controles de proveedores omiten proveedores críticos, los plazos de notificación de incidentes se vuelven inciertos y la responsabilidad proactiva en privacidad se fragmenta entre equipos.
Por qué el alcance del SGSI ISO 27001 es ahora un límite regulatorio
ISO/IEC 27001:2022, cláusula 4.3, exige que la organización determine los límites y la aplicabilidad del SGSI, considerando las cuestiones internas y externas, los requisitos de las partes interesadas y las interfaces y dependencias con otras organizaciones ISO/IEC 27001:2022.
Ese lenguaje importa más en 2026 que en ciclos de certificación anteriores. NIS2, DORA, GDPR, la externalización en la nube, los contratos con clientes, los servicios tecnológicos de grupo y los proveedores de servicios gestionados no son notas al margen. Son entradas para definir el límite del SGSI.
NIS2 eleva las exigencias de gobernanza para entidades esenciales e importantes. Exige que los órganos de dirección aprueben las medidas de gestión de riesgos de ciberseguridad, supervisen su implantación y reciban formación. NIS2 Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas, incluidas el análisis de riesgos, la gestión de incidentes, la continuidad del negocio, la seguridad de la cadena de suministro, la adquisición y el desarrollo seguros, la evaluación de la eficacia, la higiene cibernética, la criptografía, la seguridad de los recursos humanos, el control de acceso, la gestión de activos y la autenticación multifactor cuando proceda.
DORA cambia la conversación sobre el alcance para las entidades financieras. Se aplica desde el 17 de enero de 2025 y establece requisitos uniformes para la gestión del riesgo TIC, la notificación de incidentes relacionados con las TIC, las pruebas de resiliencia operativa digital, el intercambio de información y la gestión del riesgo de terceros TIC. DORA Article 6 exige un marco documentado de gestión del riesgo TIC. DORA Article 8 exige la identificación, clasificación y documentación de las funciones de la organización soportadas por TIC, los activos de información y los activos TIC, incluidas sus dependencias. DORA Article 28 exige la gestión del riesgo de terceros TIC.
GDPR añade el eje de los datos personales. Se aplica al tratamiento automatizado o estructurado de datos personales, incluido el tratamiento realizado por establecimientos de la UE y por determinados responsables o encargados no establecidos en la UE que ofrezcan bienes o servicios a personas en la Unión o supervisen su comportamiento. GDPR Article 30 exige registros de actividades de tratamiento, GDPR Article 32 exige seguridad del tratamiento y GDPR Article 33 establece expectativas de notificación de brechas.
Por tanto, un alcance del SGSI defendible no se redacta alrededor de departamentos. Se redacta alrededor de servicios regulados, funciones críticas o importantes, tratamientos de datos personales, activos de soporte y dependencias de terceros.
El error: tratar ISO 27001, NIS2, DORA y GDPR como programas separados
En muchas organizaciones aparece un patrón común:
- Seguridad redacta el alcance de ISO 27001.
- Legal evalúa la aplicabilidad de NIS2.
- Riesgos o Cumplimiento gestiona las obligaciones DORA.
- Privacidad mantiene los registros GDPR de actividades de tratamiento.
- Compras es propietaria de la lista de proveedores.
- Operaciones es propietaria de la continuidad del negocio y la recuperación ante desastres.
Cada equipo puede estar realizando un trabajo razonable. El problema es que la realidad regulada atraviesa a todos ellos.
Un servicio de identidad de clientes alojado en la nube puede dar soporte al mismo tiempo a la prestación de servicios NIS2, a operaciones de clientes reguladas por DORA y al tratamiento de datos personales GDPR. Un proveedor gestionado de detección puede ser un proveedor de seguridad, una dependencia de respuesta a incidentes, un encargado o subencargado de datos de registro y una entrada clave para decisiones de notificación regulatoria. Una plataforma de soporte puede considerarse “no productiva” y, aun así, gestionar comunicaciones sobre brechas de datos personales y solicitudes de evidencias de clientes.
El SGSI es el mejor lugar para integrar estas obligaciones porque ISO 27001 impone una pregunta disciplinada: qué está dentro del límite, qué queda fuera y por qué.
Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec Zenith Blueprint aborda esta cuestión en la fase de Fundamentos y liderazgo del SGSI, paso 2: necesidades de las partes interesadas y alcance del SGSI:
“Una vez comprendido el contexto e identificados los requisitos de las partes interesadas, la cláusula 4.3 le pide determinar los límites y la aplicabilidad del SGSI para establecer su alcance. El alcance del SGSI es una definición crucial que establece qué queda incluido bajo su programa de gestión de la seguridad y qué no.”
Zenith Blueprint también destaca un punto que muchas declaraciones de alcance siguen pasando por alto:
“Si externaliza su infraestructura de TI a un proveedor de servicios en la nube, eso no la excluye del alcance; al contrario, debe incluir la gestión de esa relación y los activos en la nube como parte del alcance.”
La externalización desplaza la ejecución. No elimina la responsabilidad proactiva.
El modelo de cuatro límites para el alcance de ISO 27001 en 2026
Para organizaciones afectadas por NIS2, DORA y GDPR, Clarysec recomienda definir el alcance del SGSI ISO 27001 mediante cuatro límites conectados.
| Límite | Pregunta clave de alcance | Evidencias típicas | Relevancia regulatoria |
|---|---|---|---|
| Límite del servicio | ¿Qué servicios se prestan a clientes, ciudadanos, pacientes, entidades financieras u otras partes interesadas reguladas? | Catálogo de servicios, evaluación de aplicabilidad NIS2, contratos con clientes, diagramas de arquitectura | Clasificación NIS2 como entidad esencial o importante y análisis de impacto del servicio |
| Límite de la función | ¿Qué procesos de la organización o servicios TIC dan soporte a funciones críticas o importantes? | BIA, mapeo de funciones críticas DORA, estrategia de resiliencia, registros RTO y RPO | Gestión del riesgo TIC DORA, pruebas de resiliencia operativa y riesgo de terceros |
| Límite del tratamiento | ¿Dónde se recopilan, almacenan, usan, transfieren, registran, soportan o eliminan datos personales? | RoPA, mapas de flujo de datos, EIPD, lista de encargados, calendario de conservación | Responsabilidad proactiva GDPR, seguridad del tratamiento y respuesta ante brechas |
| Límite de dependencia | ¿Qué proveedores, servicios en la nube, subcontratistas y servicios internos compartidos soportan lo anterior? | Registro de proveedores, contratos, inventario de la nube, planes de salida, registros de supervisión | Seguridad de la cadena de suministro NIS2, riesgo de terceros TIC DORA y controles de proveedores ISO 27001 |
Una declaración de alcance débil solo dice “la plataforma SaaS”. Una declaración más sólida indica qué servicios de la organización, sistemas, entornos, ubicaciones, actividades de tratamiento de datos, grupos de personal, relaciones con proveedores y procesos de gestión están incluidos.
Una versión más defendible podría redactarse así:
“El SGSI cubre la gobernanza, la gestión de riesgos, la operación y la mejora continua de la seguridad de la información para la plataforma SaaS de analítica de pagos de la empresa en la UE, incluidos los entornos en la nube de producción y no productivos, los servicios de identidad de clientes, las interfaces administrativas, las operaciones de soporte, las plataformas de registro de eventos y supervisión, la respuesta a incidentes, la continuidad del negocio, la gestión de proveedores y todas las actividades de tratamiento de datos personales que soportan el servicio. El SGSI incluye la gestión del alojamiento en la nube externalizado, la detección gestionada y las herramientas de soporte al cliente utilizadas para la prestación del servicio, la resiliencia, la supervisión de seguridad o las comunicaciones relacionadas con GDPR.”
Ese alcance no es simplemente más largo. Es más auditable porque conecta servicios, activos, tratamientos y dependencias.
Cómo las políticas de Clarysec convierten el alcance en lenguaje de gobernanza
El alcance no debe vivir en un documento aislado. Debe alinearse con la política de seguridad de la información, el cumplimiento legal y normativo, la gestión de riesgos, la privacidad, la gobernanza de proveedores, los criterios de auditoría y la planificación de continuidad.
La Política de Seguridad de la Información Enterprise Política de Seguridad de la Información evita ambigüedades sobre las exclusiones:
“Cualquier exclusión o limitación de este alcance deberá documentarse en la Declaración del alcance del SGSI y justificarse con aprobación formal de la Alta Dirección.”
Esta cláusula importa cuando una unidad de negocio sostiene que el soporte al cliente está fuera de la plataforma, aunque los agentes de soporte accedan a identificadores de clientes y gestionen comunicaciones sobre brechas. La exclusión solo es posible si está documentada, justificada y aprobada.
La Política de Cumplimiento Legal y Normativo Enterprise Política de Cumplimiento Legal y Normativo convierte el mapeo legal en operación:
“Todas las obligaciones legales y reglamentarias deben mapearse a políticas, controles y propietarios específicos dentro del Sistema de Gestión de la Seguridad de la Información (SGSI).”
Este es el puente entre la aplicabilidad legal y la Declaración de Aplicabilidad. NIS2 Article 21 no debe quedarse en un memorando jurídico. Las obligaciones DORA sobre terceros TIC no deben permanecer solo en directrices de compras. Las obligaciones de GDPR Article 30 y GDPR Article 32 no deben residir únicamente en el registro de privacidad. Necesitan propietarios, controles y evidencias mapeados.
La Política de Gestión de Riesgos Enterprise Política de Gestión de Riesgos amplía el alcance a terceros:
“Esta política se aplica a todas las unidades organizativas, procesos de la organización, sistemas, personal y relaciones con terceros que participen en el manejo, desarrollo, almacenamiento o gestión de activos de información.”
Esa redacción se alinea con la seguridad de la cadena de suministro NIS2, el riesgo de terceros TIC DORA y la responsabilidad proactiva del responsable o encargado conforme a GDPR.
La Política de Protección de Datos y Privacidad Enterprise Política de Protección de Datos y Privacidad ancla el alcance de privacidad al tratamiento:
“Esta política se aplica a todas las unidades organizativas, personal y sistemas que participen en el tratamiento de información de identificación personal (PII), incluidos:”
El principio es decisivo. Si un sistema trata información de identificación personal (PII), no puede ser invisible para el SGSI porque sea “solo de soporte”, “no productivo” o “propiedad de marketing”.
La Política de Continuidad del Negocio y Recuperación ante Desastres Enterprise Política de Continuidad del Negocio y Recuperación ante Desastres vincula el alcance a los resultados del BIA:
“Esta política se aplica a todas las unidades organizativas, sistemas de información, procesos de la organización, personal y servicios de terceros clasificados como críticos o esenciales en función de los resultados del análisis de impacto en el negocio (BIA).”
Esa cláusula se alinea de forma natural con las funciones críticas o importantes DORA y la continuidad del servicio NIS2.
Para organizaciones más pequeñas, las políticas para pymes de Clarysec mantienen una redacción concisa sin perder la misma lógica. La Política de Auditoría y Supervisión del Cumplimiento-sme para pymes Política de Auditoría y Supervisión del Cumplimiento-sme - pyme define la cobertura de auditoría como:
“Todos los controles y sistemas dentro del alcance del Sistema de Gestión de la Seguridad de la Información (SGSI)”
La Política de Protección de Datos y Privacidad-sme para pymes Política de Protección de Datos y Privacidad-sme - pyme define el alcance de privacidad como:
“Cualquier sistema, aplicación o ubicación en la que se almacenen o transmitan datos personales”
La Política de Gestión de Riesgos-sme para pymes Política de Gestión de Riesgos-sme - pyme mantiene visibles los servicios externalizados:
“Toda la información, servicios y activos gestionados internamente o a través de terceros”
Cláusulas breves como estas son eficaces porque impiden que un límite de certificación excluya datos regulados, servicios en la nube o activos gestionados por proveedores.
El inventario de activos es donde el alcance se vuelve real
Una declaración de alcance solo es creíble si puede trazarse hasta activos, propietarios, proveedores, flujos de datos y evidencias.
Zenith Blueprint, en la fase de Gestión de riesgos, paso 9: identificación de activos, amenazas y vulnerabilidades, instruye a las organizaciones para listar los activos dentro del alcance del SGSI y capturar propietario, ubicación y clasificación. Incluye un ejemplo práctico:
“Base de datos de clientes – propiedad del Departamento de TI – alojada en AWS – contiene datos personales y financieros (sensibilidad alta).”
El mismo paso añade un recordatorio de alcance directamente relevante para NIS2 y GDPR:
“Asegúrese de marcar los activos con datos personales por su relevancia para GDPR y de señalar los activos de servicios críticos por su posible aplicabilidad NIS2 si opera en un sector regulado.”
Zenith Controls: guía de cumplimiento cruzado de Clarysec Zenith Controls trata el control 5.9 de ISO/IEC 27002:2022, Inventario de información y otros activos asociados, como un control fundacional de cumplimiento cruzado. Sus atributos clasifican el control como preventivo, de apoyo a la confidencialidad, integridad y disponibilidad, alineado con el concepto de ciberseguridad Identificar, la capacidad operativa de gestión de activos y los dominios de gobernanza, ecosistema y protección.
Zenith Controls explica con claridad la relevancia para GDPR y NIS2:
“Sin un inventario de activos exacto y actualizado, las organizaciones no pueden evaluar ni implantar protecciones adecuadas.”
Para NIS2, el inventario de activos apoya la identificación de sistemas y componentes críticos que sustentan servicios esenciales o importantes. Para DORA, DORA Article 8 convierte la identificación de activos TIC y activos de información en un elemento central de la resiliencia operativa. Para GDPR, el inventario de activos respalda el mapeo de flujos de datos, la calidad del RoPA y la respuesta ante brechas.
Las normas ISO de apoyo refuerzan la misma lógica. ISO/IEC 27005:2024 fortalece la identificación de activos en la evaluación de riesgos de seguridad de la información. ISO 22301:2019 ayuda a identificar los recursos necesarios para la continuidad del negocio. ISO/IEC 19770-1:2017 apoya la madurez de la gestión de activos de TI. ISO/IEC 27017:2015 e ISO/IEC 27018:2019 respaldan controles específicos para la nube y la protección de información de identificación personal (PII) en nubes públicas. ISO/IEC 27701:2019 amplía la gestión de la información de privacidad. ISO/IEC 29100:2011 aporta principios de privacidad como transparencia, minimización y salvaguardas de seguridad.
Un ejercicio práctico de alcance para equipos SaaS y fintech
Empiece por un servicio regulado, no por toda la empresa. Por ejemplo: “SaaS de analítica de pagos de la UE para entidades financieras”.
Después, construya un mapa de servicio a activo y a tratamiento.
| Elemento del alcance | Ejemplo de entrada | Por qué pertenece al alcance |
|---|---|---|
| Servicio regulado | SaaS de analítica de pagos de la UE | Puede respaldar la clasificación NIS2 de servicio digital y obligaciones regulatorias de clientes |
| Función crítica o importante | Panel de supervisión de transacciones para clientes financieros regulados | Puede ser considerado por los clientes como soporte de funciones críticas o importantes DORA |
| Tratamiento de datos personales | Identidad de usuario, datos de contacto de clientes, direcciones IP, tickets de soporte, registros de auditoría | GDPR se aplica al tratamiento automatizado o estructurado de datos personales |
| Activos esenciales | Tenant en la nube de producción, clúster de bases de datos, pasarela API, IAM, canalización de CI/CD, stack de supervisión | Requeridos para la evaluación de riesgos ISO 27001, la gestión de activos NIS2 y la visibilidad TIC DORA |
| Proveedores clave | Proveedor de servicios en la nube, proveedor gestionado de detección, SaaS de soporte al cliente, servicio de correo electrónico, proveedor de copias de seguridad | Requeridos para la seguridad de la cadena de suministro NIS2 y el riesgo de terceros TIC DORA |
| Dependencias de continuidad | Bóveda de copias de seguridad, región de recuperación ante desastres, comunicaciones de soporte, puente de incidentes | Requeridas para la resiliencia DORA y la continuidad del negocio NIS2 |
| Propietarios de evidencias | CISO, DPD, responsable de ingeniería, responsable de compras, propietario del servicio | Requeridos para la responsabilidad de auditoría y la revisión por la dirección |
Una muestra de activos más detallada podría ser así.
| Nombre o descripción del activo | Propietario | Servicio de la organización soportado | Relevancia regulatoria | ¿Dentro del alcance del SGSI? | Justificación |
|---|---|---|---|---|---|
| Servicio de autenticación de clientes | Responsable de Plataforma | Inicio de sesión de usuarios y MFA | DORA, GDPR, NIS2 | Sí | Crítico para el acceso a la plataforma y trata datos personales |
| Base de datos de preproducción | Equipo DevOps | Pruebas de preproducción | GDPR | Sí | Trata datos personales seudonimizados y puede afectar a la seguridad de producción |
| API de pagos de terceros | Responsable de Producto | Procesamiento principal de pagos | DORA, GDPR | Sí, gestión del proveedor | Soporta la prestación de un servicio crítico y trata datos personales o financieros |
| Wiki interna | Responsable de TI | Documentación interna | ISO 27001 | Sí | Contiene detalles de configuración, procedimientos y documentación de seguridad |
| Red aislada de I+D | Responsable de I+D | Investigación futura | No aplicable actualmente | No | Aislada mediante air gap, sin datos de producción, sin PII, sin función crítica, exclusión aprobada formalmente |
A continuación, utilice Zenith Blueprint paso 13: planificación del tratamiento de riesgos y Declaración de Aplicabilidad. La guía indica a los usuarios que construyan la SoA con la plantilla que lista todos los controles del Anexo A y que decidan la aplicabilidad en función del tratamiento de riesgos, los requisitos legales o contractuales, la relevancia para el alcance y el contexto organizativo. Indica:
“Para cada control (fila) en la hoja de la SoA, decida si es aplicable a su SGSI.”
Para el ejemplo anterior, la SoA debe considerar controles de seguridad de proveedores, servicios en la nube, gestión de incidentes, continuidad, requisitos legales y reglamentarios, privacidad, gestión de vulnerabilidades, copias de seguridad, registro de eventos, supervisión, criptografía, desarrollo seguro, pruebas de seguridad y gestión de cambios.
Un flujo de trabajo práctico es:
- Cree una pestaña “Mapeo del alcance del SGSI” en el Registro de Riesgos y el generador de la SoA.
- Añada una fila por cada servicio regulado o línea de producto.
- Vincule cada servicio con activos, tipos de datos, proveedores, ubicaciones y propietarios de la organización.
- Marque la relevancia NIS2, la relevancia DORA y la relevancia del tratamiento GDPR.
- Añada escenarios de riesgo por indisponibilidad del servicio, brecha de datos personales, fallo de proveedor, configuración incorrecta de la nube, vulnerabilidad crítica y fallo en la notificación de incidentes.
- Seleccione controles de la SoA en función de esos riesgos y obligaciones.
- Documente exclusiones, controles compensatorios y aceptación del riesgo.
- Obtenga la aprobación de la alta dirección para los límites y exclusiones finales.
- Integre el límite final en la auditoría interna, la revisión por la dirección y la supervisión de proveedores.
El resultado no es solo una mejor declaración de alcance. Es una cadena defendible desde el servicio regulado hasta el activo, proveedor, dato, control, propietario y evidencia.
Mapeo de cumplimiento cruzado: un alcance, muchas obligaciones
Un SGSI ISO 27001 bien delimitado se convierte en la capa operativa donde pueden reconciliarse las expectativas de NIS2, DORA, GDPR, NIST CSF y COBIT.
| Control ISO/IEC 27002:2022 | Valor principal para el alcance | Relevancia NIS2 | Relevancia DORA | Relevancia GDPR | Relevancia NIST CSF y COBIT |
|---|---|---|---|---|---|
| 5.9 Inventario de información y otros activos asociados | Identifica activos, propietarios, ubicaciones, clasificación y dependencias de servicios | Respaldar Article 21 sobre gestión de activos e identificación de sistemas que soportan servicios | Respaldar Article 8 sobre identificación de activos TIC, activos de información y funciones | Respaldar la exactitud del RoPA, la seguridad del tratamiento y la investigación de brechas | Mapea a NIST CSF ID.AM y COBIT 2019 BAI09 Gestionar activos |
| 5.31 Requisitos legales, estatutarios, reglamentarios y contractuales | Vincula obligaciones con políticas, controles, propietarios y evidencias | Respaldar la gobernanza de obligaciones NIS2 y el cumplimiento de la cadena de suministro | Respaldar la gestión del riesgo TIC, la notificación y las obligaciones de terceros | Respaldar la responsabilidad proactiva y el cumplimiento legal | Mapea a NIST CSF GOVERN y COBIT 2019 MEA03 Gestionar el cumplimiento de requisitos externos |
| 5.34 Privacidad y protección de PII | Garantiza que el tratamiento de datos personales sea visible y esté protegido | Respaldar la protección de datos de destinatarios del servicio cuando sea pertinente | Respaldar la integridad, seguridad y confidencialidad de datos en servicios TIC | Respaldar GDPR Article 32 y las expectativas de protección de datos desde el diseño | Respaldar la gobernanza de privacidad y la gestión operativa de la privacidad |
Para el control 5.31 de ISO/IEC 27002:2022, Requisitos legales, estatutarios, reglamentarios y contractuales, Zenith Controls vincula las obligaciones de cumplimiento con la privacidad, la protección de PII, la conservación de registros, la revisión independiente y el cumplimiento de políticas internas. Se mapea de forma natural con la responsabilidad proactiva GDPR, el cumplimiento de la cadena de suministro NIS2, la gestión del riesgo TIC y el cumplimiento DORA, la gobernanza NIST CSF y la supervisión del cumplimiento externo COBIT 2019.
Para el control 5.34 de ISO/IEC 27002:2022, Privacidad y protección de PII, Zenith Controls conecta la privacidad con el inventario de activos, los servicios en la nube, la clasificación, la transferencia de información, el control de acceso, la gestión de identidades y las revisiones de cambios de proyecto. Su mapeo GDPR cubre la seguridad del tratamiento y la protección de datos desde el diseño. Su mapeo DORA respalda la integridad, seguridad y confidencialidad de los datos, incluidos los datos personales gestionados en servicios TIC.
El principio es simple: no cree cuatro programas de cumplimiento desconectados. Cree un SGSI con un alcance definido que pueda explicar cómo se satisfacen, evidencian y auditan las obligaciones.
Alcance de la notificación de incidentes: cuando los límites afectan a los plazos regulatorios
Un alcance incorrecto se vuelve dolorosamente visible durante los incidentes.
NIS2 Article 23 exige una notificación escalonada de incidentes significativos, incluida una alerta temprana en 24 horas, una notificación de incidente en 72 horas, informes intermedios cuando se soliciten y un informe final en el plazo de un mes. También puede exigirse la comunicación a destinatarios afectados.
DORA exige que las entidades financieras detecten, gestionen, clasifiquen y notifiquen incidentes graves relacionados con las TIC utilizando criterios como clientes o contrapartes afectados, duración, indisponibilidad, extensión geográfica, pérdidas de datos, criticidad de los servicios afectados e impacto económico. Los clientes deben ser informados sin demora indebida cuando un incidente TIC grave afecte a sus intereses financieros.
La notificación de una brecha de datos personales conforme a GDPR depende de si la brecha provoca destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales, de forma accidental o ilícita.
Si la plataforma de soporte, el entorno de registros, el servicio de identidad, el canal de notificación a clientes o el proveedor gestionado de detección quedan fuera del alcance del SGSI, los equipos de incidentes pueden no saber si un evento activa NIS2, DORA, GDPR, obligaciones contractuales con clientes o todas ellas. Esa incertidumbre consume el reloj de notificación.
Un alcance maduro incluye dependencias relevantes para incidentes: herramientas de detección, almacenes de registros, repositorios forenses, canales de comunicación con clientes, herramientas de soporte, entornos de copia de seguridad, puentes de incidentes y proveedores implicados en el triaje o la recuperación.
Cómo auditores y supervisores pondrán a prueba el alcance de su SGSI
Un alcance sólido resiste el muestreo. Un alcance débil colapsa cuando los auditores comparan documentos con la realidad.
| Lente de auditoría | Qué comprobará el auditor | Evidencias típicas solicitadas |
|---|---|---|
| Auditor ISO 27001 | Si el alcance considera contexto, requisitos de partes interesadas, interfaces, dependencias y exclusiones documentadas | Declaración del alcance del SGSI, registro de partes interesadas, registro legal, inventario de activos, SoA, aprobación de la dirección |
| Evaluador orientado a NIST | Si activos, proveedores, respuestas al riesgo, supervisión y criterios de incidente se alinean con el límite declarado | Perfiles actual y objetivo, inventario de activos, registro de riesgos, plan de acción, cobertura de supervisión, planes de incidentes |
| Auditor COBIT 2019 | Si la gobernanza cubre obligaciones externas, servicios críticos, supervisión del cumplimiento y responsabilidad proactiva | Informes al Consejo de Administración, mapeos de cumplimiento, propiedad del servicio, cuadros de mando de riesgos, supervisión estilo MEA03 |
| Auditor ISACA ITAF | Si las evidencias son suficientes, adecuadas y trazables desde las obligaciones hasta los controles y resultados | Activos muestreados, contratos con proveedores, registros, registro legal, pistas de auditoría, entrevistas con propietarios |
| Revisor DORA | Si los activos TIC y servicios de terceros que soportan funciones críticas o importantes están identificados y probados | Registro TIC, mapeo de funciones críticas, contratos, planes de salida, resultados de pruebas, registros de incidentes |
| Auditor de privacidad | Si el tratamiento de datos personales está inventariado, protegido y vinculado a controles | RoPA, EIPD, contratos de encargo de tratamiento, registros de acceso, evidencias de conservación, procedimientos de brechas |
Zenith Controls proporciona expectativas de auditoría útiles para el control 5.9 de ISO/IEC 27002:2022. Los auditores con enfoque ISO/IEC 19011 solicitan el inventario pronto para delimitar otras evaluaciones y realizar comprobaciones aleatorias de activos físicos, software y activos en la nube. Los auditores con enfoque ISO/IEC 27007 preguntan cómo y cuándo se actualiza el inventario, buscando vínculos con compras, gestión de cambios y retirada. Los auditores con enfoque NIST SP 800-53A verifican que los detalles del inventario incluyan tipo de activo, propietario, ubicación, dirección de red cuando corresponda y estado, y que se incluyan activos en la nube, virtuales y móviles.
Para el control 5.31, Zenith Controls señala que los auditores de certificación esperan un registro de cumplimiento o una lista de leyes y contratos, referenciado en la SoA y en los planes de tratamiento del riesgo. Los auditores COBIT buscan propietarios de cumplimiento, evaluaciones e informes a la alta dirección. Los auditores ISACA ITAF muestrean evidencias para confirmar que la organización no solo conoce sus obligaciones, sino que garantiza activamente su cumplimiento.
Para el control 5.34, los auditores revisan políticas de privacidad, inventarios de datos, EIPD, registros de formación, evidencias de cifrado, controles de acceso, muestras de solicitudes de derechos de los interesados, evidencias de privacidad desde el diseño y registros de incidentes que impliquen PII. Una declaración de alcance que excluya un sistema que trata datos personales será cuestionada rápidamente.
La pregunta del Consejo: ¿qué no puede excluirse?
La alta dirección pregunta a menudo si una unidad de negocio, ubicación, proveedor o sistema puede permanecer fuera del alcance del SGSI. A veces la respuesta es sí. Pero no si la exclusión impide a la organización cumplir obligaciones legales, reglamentarias, contractuales o de seguridad del servicio.
Use esta prueba de exclusión antes de aprobar cualquier limitación del límite:
- ¿La unidad, sistema o proveedor soporta un servicio regulado por NIS2?
- ¿Soporta una función crítica o importante DORA para la organización o sus clientes regulados?
- ¿Recopila, almacena, transmite, registra, da soporte o elimina datos personales?
- ¿Proporciona supervisión de seguridad, identidad, copia de seguridad, respuesta a incidentes o recuperación para un servicio dentro del alcance?
- ¿Proporciona evidencias necesarias para la clasificación de incidentes o la notificación regulatoria?
- ¿Exige un contrato con cliente que esté cubierto por el SGSI?
- ¿Su compromiso afectaría a la confidencialidad, integridad, disponibilidad, cumplimiento legal o continuidad del servicio dentro del alcance declarado?
Si la respuesta es sí, la exclusión requiere evidencias sólidas, gobernanza compensatoria, aceptación del riesgo y aprobación formal de la alta dirección. En muchos casos, no debe excluirse.
Un alcance moderno del SGSI ISO 27001 debe incluir:
- Servicios de la organización y líneas de producto cubiertos.
- Entidades jurídicas, unidades organizativas y ubicaciones cubiertas.
- Segmentos de clientes y jurisdicciones que generan obligaciones.
- Funciones críticas o importantes y servicios esenciales basados en BIA.
- Activos de información, activos TIC y entornos en la nube.
- Actividades de tratamiento de datos personales y repositorios de PII.
- Procesos de desarrollo, pruebas, soporte, supervisión e incidentes.
- Proveedores y servicios externalizados que soportan servicios dentro del alcance.
- Interfaces y dependencias con empresas del grupo o proveedores externos.
- Exclusiones explícitas con justificación, aceptación del riesgo y aprobación de la alta dirección.
Así es como el alcance de ISO 27001 se convierte en una posición de gobernanza a nivel del Consejo, no en un atajo de certificación.
Prepare el alcance de su SGSI para auditorías antes de que el auditor lo defina por usted
El peor momento para descubrir un problema de alcance es durante una certificación, una revisión supervisora, una diligencia debida de cliente o un incidente en curso.
Un certificado estrecho puede satisfacer una casilla de compras, pero no resistirá un escrutinio serio si excluye los servicios, funciones TIC, proveedores y tratamientos de datos personales que generan exposición regulatoria. En 2026, las organizaciones que superen auditorías con confianza serán aquellas capaces de mostrar un mapa coherente desde el servicio regulado hasta el activo, proveedor, dato personal, control, propietario y evidencia.
Empiece con tres acciones concretas:
- Utilice Zenith Blueprint Zenith Blueprint, fase: Fundamentos y liderazgo del SGSI, paso 2, para rediseñar el alcance de su SGSI alrededor de servicios, funciones, tratamientos y dependencias.
- Utilice Zenith Controls Zenith Controls para mapear el inventario de activos, las obligaciones legales y la protección de PII frente a las expectativas de auditoría de ISO 27001, NIS2, DORA, GDPR, NIST y COBIT 2019.
- Alinee el alcance de las políticas mediante la Política de Seguridad de la Información de Clarysec Política de Seguridad de la Información, la Política de Cumplimiento Legal y Normativo Política de Cumplimiento Legal y Normativo, la Política de Gestión de Riesgos Política de Gestión de Riesgos, la Política de Protección de Datos y Privacidad Política de Protección de Datos y Privacidad y la Política de Continuidad del Negocio y Recuperación ante Desastres Política de Continuidad del Negocio y Recuperación ante Desastres.
Si el alcance actual de su SGSI todavía parece una etiqueta departamental, reconstruyalo como un límite de cumplimiento. Descargue los kits de herramientas de Clarysec, mapee un servicio regulado de extremo a extremo y convierta su alcance ISO 27001 en evidencias preparadas para auditorías de NIS2, DORA y GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
