Evidencia de certificación EUCS para servicios en la nube en auditorías de 2026
El resplandor del proyector en la sala de juntas iluminaba el rostro de Amelia mientras observaba una diapositiva titulada «Horizonte de cumplimiento 2026». Como CISO de una fintech en rápido crecimiento, tenía tres acrónimos en pantalla y un problema operativo recurrente detrás de todos ellos: NIS2, DORA y GDPR remitían a las mismas plataformas en la nube.
El auditor de DORA quería evidencia de gestión del riesgo de terceros de TIC para los servicios en la nube que alojaban aplicaciones de pago. La autoridad competente de NIS2 había clasificado a la empresa como entidad importante y preguntaba cómo se gobernaba la seguridad de la cadena de suministro. El Delegado de Protección de Datos estaba preparando una revisión del GDPR centrada en la seguridad del encargado del tratamiento, la residencia de los datos y la preparación ante brechas. Entonces, Compras reenvió un breve correo electrónico de un proveedor de analítica en la nube:
«Nos estamos preparando para la certificación EUCS. ¿Puede esto sustituir su revisión de seguridad de proveedores?»
Para un CISO, un responsable de cumplimiento o un fundador con una agenda saturada, la respuesta tentadora es sí. Una certificación europea de ciberseguridad para servicios en la nube parece exactamente el tipo de evidencia que debería reducir cuestionarios, tranquilizar a los auditores y satisfacer a los clientes.
La respuesta correcta es más precisa: la certificación EUCS para servicios en la nube puede convertirse en una evidencia potente de aseguramiento del proveedor cloud, pero solo cuando se mapea en su propia evaluación de riesgos de ISO/IEC 27001:2022, Declaración de Aplicabilidad, registro de proveedores, Registro de Servicios en la Nube, controles contractuales, procedimientos de respuesta a incidentes y registros de responsabilidad proactiva del GDPR.
Esa distinción importa. NIS2 convierte la seguridad de la cadena de suministro y la resiliencia de la infraestructura digital en un asunto sujeto a supervisión. DORA hace que las entidades financieras sigan siendo responsables del riesgo de terceros de TIC, incluso cuando externalizan servicios en la nube. GDPR exige a los responsables y encargados del tratamiento demostrar un tratamiento responsable, lícito y seguro. ISO/IEC 27001:2022 exige un sistema de gestión delimitado, basado en riesgos, que tenga en cuenta dependencias legales, regulatorias, contractuales y de terceros.
EUCS no elimina esas obligaciones. Proporciona un elemento de evidencia estructurado para evaluar, normalizar, cuestionar y reutilizar.
El enfoque de Clarysec es sencillo: trate EUCS como una entrada de aseguramiento de proveedores de alto valor, no como un atajo de cumplimiento. En Zenith Controls: la guía de cumplimiento transversal, el clúster de aseguramiento en la nube parte del control 5.23 de ISO/IEC 27002:2022, seguridad de la información para el uso de servicios en la nube, y lo conecta con el 5.20, tratamiento de la seguridad de la información en los acuerdos con proveedores, y el 5.22, seguimiento, revisión y gestión de cambios de los servicios de proveedores. Esos tres controles constituyen la base de una revisión defendible de evidencia EUCS.
Por qué el aseguramiento en la nube está bajo presión por NIS2, DORA y GDPR
En 2026, el aseguramiento en la nube ya no es solo un flujo de trabajo de compras. Es un tema para el consejo de administración, los reguladores y las auditorías.
La Directiva NIS2, Directiva (UE) 2022/2555, amplía las obligaciones de ciberseguridad de las entidades esenciales e importantes. Su alcance incluye muchos sectores que dependen intensamente de la computación en la nube, y su panorama de infraestructura digital incluye proveedores de computación en la nube, proveedores de servicios de centros de datos, redes de distribución de contenidos, prestadores de servicios de confianza, proveedores de servicios DNS y registros de nombres de dominio de primer nivel. Los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados también están en el foco.
El artículo 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas, incluido el análisis de riesgos, la gestión de incidentes, la continuidad de negocio, la seguridad de la cadena de suministro, la adquisición y el desarrollo seguros, la gestión de vulnerabilidades, la evaluación de la eficacia, la higiene cibernética, la criptografía, el control de acceso, la gestión de activos y la autenticación. El artículo 23 establece expectativas escalonadas de notificación de incidentes, incluido un aviso temprano en un plazo de 24 horas y la notificación del incidente en un plazo de 72 horas, con sujeción a la Directiva y a su transposición nacional. El artículo 24 permite a los Estados miembros, en determinadas circunstancias, exigir el uso de productos, servicios o procesos de TIC certificados conforme a esquemas europeos de certificación de ciberseguridad. El artículo 25 fomenta el uso de normas europeas e internacionales pertinentes.
DORA, Reglamento (UE) 2022/2554, es aún más directo para las entidades financieras. Desde el 17 de enero de 2025, exige a las organizaciones financieras gestionar el riesgo de las TIC, notificar incidentes graves relacionados con las TIC, probar la resiliencia operativa digital y gobernar el riesgo de terceros de TIC. Para las entidades dentro de su alcance, DORA actúa como el acto jurídico sectorial específico de la Unión para las obligaciones de ciberseguridad correspondientes que se solapan con las normas nacionales de NIS2.
DORA no permite externalizar la responsabilidad proactiva. Los artículos 28 a 30 exigen a las entidades financieras realizar diligencia debida, evaluar el riesgo de concentración, mantener registros de acuerdos contractuales, incluir salvaguardas contractuales obligatorias, preservar los derechos de auditoría y acceso, garantizar asistencia en incidentes, cooperar con las autoridades competentes y mantener estrategias de salida para servicios de TIC que soporten funciones críticas o importantes.
GDPR, Reglamento (UE) 2016/679, añade la capa de responsabilidad proactiva y protección de datos. El artículo 5 exige a los responsables del tratamiento cumplir los principios de protección de datos y poder demostrar su cumplimiento. El artículo 28 regula las relaciones con encargados del tratamiento y exige garantías suficientes por parte de estos. El artículo 32 exige medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento.
El resultado es un problema de convergencia. Un único proveedor de servicios en la nube puede ser un tercero crítico de TIC bajo DORA, un proveedor directo en una cadena de suministro NIS2 y un encargado o subencargado del tratamiento bajo GDPR. Si el aseguramiento se gestiona mediante cuestionarios desconectados, certificados en PDF y carpetas contractuales, cada auditoría se convierte en un ejercicio de reconstrucción.
EUCS puede reducir ese caos, pero solo cuando se integra en un modelo de evidencia gobernado.
Qué puede demostrar EUCS y qué no
El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube, conocido habitualmente como EUCS, está diseñado para proporcionar un mecanismo europeo de aseguramiento en la nube dentro del marco más amplio de certificación de ciberseguridad de la UE. Su valor práctico no reside solo en la etiqueta. El valor está en el alcance subyacente del certificado, el nivel de aseguramiento, los servicios evaluados, las regiones, las entidades jurídicas, los límites de evaluación, el período de validez y el modelo de supervisión.
La pregunta correcta sobre aseguramiento en la nube no es simplemente: «¿Tiene este proveedor EUCS?». Es:
- ¿Qué servicios en la nube exactos están cubiertos?
- ¿Qué regiones, ubicaciones de datos y entidades jurídicas están cubiertas?
- ¿Qué nivel de aseguramiento aplica?
- ¿Qué método de evaluación se utilizó?
- ¿Qué supuestos de responsabilidad compartida siguen correspondiendo al cliente?
- ¿Qué evidencia puede divulgarse a clientes, reguladores y auditores?
- ¿Cómo afecta el certificado a los derechos de auditoría, la notificación de incidentes, la transparencia sobre subcontratistas y la planificación de la salida?
Un certificado para servicios en la nube rara vez cubre su configuración. Si su organización deshabilita MFA, expone almacenamiento, concede privilegios administrativos excesivos, no registra el acceso privilegiado o configura incorrectamente las regiones, la certificación del proveedor no salvará su auditoría.
Por eso EUCS debe estar en una matriz de evidencia, no en un pedestal. Puede respaldar el aseguramiento del lado del proveedor, pero su organización debe seguir demostrando sus propios controles de gobernanza, configuración, contratación y supervisión.
Zenith Blueprint: la hoja de ruta de 30 pasos para auditores lo deja claro en la fase de gestión de riesgos, paso 13, planificación del tratamiento de riesgos y Declaración de Aplicabilidad:
La SoA es, en la práctica, un documento puente: vincula su evaluación y tratamiento de riesgos con los controles reales que tiene implantados. Al completarla, también verifica si ha omitido algún control.
Ese es el modelo mental correcto para EUCS. El certificado es evidencia del proveedor. Su Declaración de Aplicabilidad explica por qué los controles relacionados son aplicables, cómo su organización implantó su parte de la responsabilidad compartida, qué evidencia del proveedor se aceptó y qué riesgos residuales permanecen.
La base ISO 27001 para la evidencia EUCS
ISO/IEC 27001:2022 proporciona a EUCS un lugar donde residir. Sus cláusulas exigen que las organizaciones comprendan las cuestiones internas y externas, identifiquen las partes interesadas y sus requisitos, definan el alcance del SGSI, asignen responsabilidades de liderazgo, evalúen riesgos, seleccionen controles, mantengan una Declaración de Aplicabilidad y mejoren continuamente.
Para el aseguramiento en la nube, EUCS debe incorporarse al menos en seis artefactos del SGSI.
| Artefacto del SGSI | Cómo debe utilizarse EUCS | Pregunta del auditor |
|---|---|---|
| Alcance del SGSI | Identificar servicios en la nube, regiones, entidades jurídicas, datos de clientes y dependencias externalizadas | ¿Incluye el SGSI dependencias cloud materiales y servicios externalizados? |
| Registro de Riesgos | Registrar riesgos de fallo del proveedor, configuración incorrecta, ubicación de datos, subcontratistas y notificación de incidentes | ¿Se evalúan los riesgos cloud frente al impacto en las operaciones de la organización y la responsabilidad compartida? |
| Diligencia debida de proveedores | Utilizar EUCS como evidencia y después verificar alcance, nivel de aseguramiento, validez y deficiencias | ¿Cubre el certificado el servicio exacto utilizado? |
| Declaración de Aplicabilidad | Vincular controles de nube, proveedores, acceso, registro de eventos, incidentes y continuidad con riesgos y regulaciones | ¿Está justificada y es trazable la selección de controles? |
| Registro de Servicios en la Nube | Registrar proveedor, finalidad, tipos de datos, ubicaciones, acceso y detalles contractuales | ¿Puede la organización identificar todos los servicios en la nube aprobados? |
| Expediente contractual y de auditoría | Almacenar certificación, acuerdos, derechos de auditoría, términos de notificación, términos de subcontratistas y disposiciones de salida | ¿Puede la organización demostrar obligaciones exigibles del proveedor? |
La biblioteca de políticas de Clarysec convierte estos requisitos en disciplina operativa.
La política para pymes Política de Uso de la Nube - pyme, sección Requisitos de gobernanza, cláusula 5.2, establece una configuración de referencia para servicios en la nube aprobados:
Los servicios en la nube aprobados deben cumplir los siguientes criterios de referencia: 5.2.1 El proveedor mantiene una reputación sólida en materia de disponibilidad y seguridad 5.2.2 La autenticación multifactor (MFA) está soportada y puede habilitarse 5.2.3 Las prácticas de residencia de los datos y privacidad cumplen los requisitos legales aplicables (por ejemplo, GDPR) 5.2.4 El servicio proporciona controles de acceso seguros, registro de eventos y capacidades de protección de datos
Un certificado EUCS puede respaldar la cláusula 5.2.1 y elementos de las cláusulas 5.2.3 y 5.2.4. No demuestra que su entorno de cliente tenga MFA habilitada, registro de eventos configurado, residencia de los datos aplicada o acceso administrativo revisado.
Para organizaciones de mayor tamaño, la política Enterprise Política de Uso de la Nube, sección Requisitos de gobernanza, cláusula 5.2, eleva el umbral:
Todo uso de la nube debe someterse a diligencia debida basada en riesgos antes de su activación, incluida la evaluación del proveedor, la validación del cumplimiento legal y las revisiones de validación de controles.
Esa frase es la posición de política que debe seguir toda revisión EUCS: evaluación del proveedor, validación del cumplimiento legal y validación de controles, no aceptación ciega.
Mapeo de EUCS a ISO 27001, NIS2, DORA y GDPR
EUCS queda preparada para auditoría cuando los hechos del certificado se mapean a obligaciones. Un CISO debe construir una matriz de aseguramiento en la nube de cumplimiento transversal que traduzca la evidencia del proveedor en evidencia de control reutilizable.
| Elemento de evidencia EUCS | Relevancia para ISO 27001 e ISO 27002 | Relevancia para NIS2 | Relevancia para DORA | Relevancia para GDPR |
|---|---|---|---|---|
| Alcance del certificado y servicios cubiertos | Respalda la evaluación de riesgos de proveedores y los controles 5.19, 5.20, 5.22 y 5.23 | Respalda la seguridad de la cadena de suministro y la evidencia de certificación | Respalda la diligencia debida de proveedores de TIC y la exactitud del registro | Respalda la evaluación del encargado y del subencargado del tratamiento |
| Nivel de aseguramiento y método de evaluación | Respalda la validación de controles y la justificación de la SoA | Demuestra proporcionalidad al riesgo y a la criticidad del servicio | Respalda la evaluación de funciones críticas o importantes | Respalda la responsabilidad proactiva sobre datos personales alojados |
| Evidencia de ubicación de datos y jurisdicción | Respalda el mapeo de requisitos legales, regulatorios y contractuales | Respalda la continuidad del servicio y el análisis de riesgos de la cadena de suministro | Respalda la evaluación del riesgo de concentración y subcontratación | Respalda el análisis de residencia de los datos y riesgo de transferencia |
| Compromisos de notificación de incidentes | Respalda la planificación de incidentes y los controles de acuerdos con proveedores | Respalda la preparación para la notificación de incidentes significativos | Respalda las dependencias de notificación de incidentes graves de TIC | Respalda la preparación de respuesta ante brechas de datos personales |
| Evidencia de subcontratistas y cadena de suministro | Respalda la supervisión de proveedores y la gestión de cambios | Respalda la evaluación de vulnerabilidades específica del proveedor | Respalda la cadena de subcontratación y el análisis del riesgo de concentración | Respalda la responsabilidad proactiva de la cadena de encargados del tratamiento |
| Evidencia de salida y devolución de datos | Respalda la continuidad, la terminación y el tratamiento seguro de datos | Respalda la resiliencia ante todo tipo de amenazas y la continuidad | Respalda estrategias de salida probadas para servicios de TIC críticos | Respalda evidencia de supresión, conservación y limitación del tratamiento |
Esta tabla no es solo documentación de cumplimiento. Es el puente entre el aseguramiento del proveedor y la responsabilidad proactiva de su organización.
NIS2 pregunta si su entidad adoptó medidas adecuadas y proporcionadas. DORA pregunta si su entidad financiera gobierna el riesgo de terceros de TIC mediante diligencia debida, contratos, supervisión y planificación de salida. GDPR pregunta si el tratamiento de datos personales es lícito, seguro y demostrable. ISO/IEC 27001:2022 pregunta si todo ello está integrado en un sistema de gestión basado en riesgos.
Ejemplo práctico: revisión de EUCS para un proveedor de analítica en la nube
Volvamos a la fintech de Amelia, Northstar Pay. La empresa quiere incorporar una plataforma de analítica en la nube para detección de fraude e informes de transacciones. El proveedor presenta un certificado EUCS y afirma que debería satisfacer la revisión de seguridad.
Clarysec estructuraría la revisión de evidencia en seis pasos.
Paso 1: Actualizar el Registro de Servicios en la Nube
La Política de Uso de la Nube - pyme, sección Requisitos de gobernanza, cláusula 5.3, exige un registro que recoja el nombre del servicio en la nube, la finalidad, el propietario responsable, los tipos de datos, el país o la región, los permisos de acceso, las cuentas administrativas, los detalles contractuales, las fechas de renovación y los contactos de soporte.
Para empresas, la Política de Uso de la Nube, sección Requisitos de gobernanza, cláusula 5.1, comienza con la propiedad:
La organización mantendrá un Registro de Servicios en la Nube centralizado, bajo la responsabilidad del CISO, que contenga:
Northstar Pay registra el servicio antes de la aprobación, no después de la entrada en producción.
| Campo del registro | Entrada de ejemplo |
|---|---|
| Servicio en la nube | Plataforma de analítica del proveedor |
| Finalidad de negocio | Analítica de fraude e informes de tendencias de transacciones |
| Propietario de la aplicación | Responsable de plataformas de datos |
| Tipos de datos | Identificadores de clientes, metadatos de transacciones, eventos analíticos seudonimizados |
| Ubicación de los datos | Solo región de la UE, restringida contractualmente |
| Acceso | SSO, MFA, cuentas administrativas nominales, roles de mínimo privilegio |
| Evidencia | Certificado EUCS, certificado ISO 27001, documento técnico de seguridad, DPA, contrato, lista de subencargados del tratamiento |
| Fecha de revisión | Revisión anual más revisión ante cambio material del servicio |
Paso 2: Validar el alcance del certificado
El equipo verifica si el certificado EUCS cubre el servicio de analítica exacto, el modelo de despliegue, la región y la entidad jurídica que utilizará Northstar Pay. Si el certificado cubre servicios de infraestructura pero excluye el módulo de analítica, el valor de la evidencia es limitado.
Aquí es donde fallan muchas auditorías. El proveedor afirma estar «certificado», pero el cliente no puede demostrar que el certificado aplica al servicio que trata datos regulados.
Paso 3: Mapear EUCS al tratamiento de riesgos y la SoA
Utilizando Zenith Blueprint, paso 13, Northstar Pay mapea el certificado en el registro de riesgos y la Declaración de Aplicabilidad.
| Escenario de riesgo | Valor de la evidencia EUCS | Control del lado del cliente aún requerido |
|---|---|---|
| Acceso no autorizado a datos de analítica | Respalda el aseguramiento de seguridad de la infraestructura del proveedor | Aplicar SSO, MFA, RBAC, revisión de administradores y registro de eventos |
| Datos almacenados fuera de la región aprobada | Puede respaldar los controles de ubicación del proveedor | Almacenamiento solo en la UE por contrato, configuración del entorno de cliente y verificación periódica |
| Retrasos del proveedor en la notificación de incidentes | Puede respaldar el aseguramiento del proceso de gestión de incidentes | Plazos contractuales de notificación, contactos de escalado y procedimiento de respuesta a incidentes |
| Cambio de subencargado del tratamiento que afecta al riesgo | Puede respaldar la gobernanza de la cadena de suministro | Derechos de aprobación contractual, supervisión de subencargados del tratamiento y reevaluación |
| Indisponibilidad de la nube que afecta a los informes | Puede respaldar controles de disponibilidad | Plan de Continuidad de Negocio, análisis de RTO y RPO, estrategia de copia de seguridad o exportación |
La SoA registra después los controles 5.20, 5.22 y 5.23 de ISO/IEC 27002:2022 como aplicables porque la organización utiliza servicios en la nube para tratamientos regulados y flujos de trabajo analíticos importantes.
Paso 4: Confirmar cláusulas contractuales y derechos de auditoría
La política para pymes Política de Seguridad de Terceros y Proveedores - pyme, sección Requisitos de gobernanza, cláusula 5.3, exige cláusulas contractuales obligatorias:
Los contratos deben incluir cláusulas obligatorias que cubran: 5.3.1 Confidencialidad y no divulgación 5.3.2 Obligaciones de seguridad de la información 5.3.3 Plazos de notificación de brechas de datos (por ejemplo, en un plazo de 24 a 72 horas) 5.3.4 Derechos de auditoría o disponibilidad de evidencias de cumplimiento 5.3.5 Restricciones a la subcontratación posterior sin aprobación 5.3.6 Términos de terminación, incluida la devolución o destrucción segura de datos
La evidencia EUCS y los derechos contractuales cumplen funciones distintas. El certificado respalda el aseguramiento. El contrato crea exigibilidad.
La política Enterprise Política de seguridad de terceros y proveedores, sección Requisitos de implantación de la política, cláusula 6.1.2.2, incluye explícitamente:
Revisión de informes de auditoría (por ejemplo, SOC 2, ISO 27001, ISAE 3402)
EUCS pertenece a esa familia de evidencia, junto con otros informes de aseguramiento. No debe sustituir la revisión contractual, los derechos de auditoría, la asistencia en incidentes ni las cláusulas de estrategia de salida exigidas por DORA.
Paso 5: Aplicar la residencia de los datos para datos regulados
La Política de Uso de la Nube, sección Requisitos de implantación de la política, cláusula 6.6.2, establece:
Los requisitos de residencia de los datos deben aplicarse contractualmente (por ejemplo, almacenamiento solo en la UE para datos regulados por GDPR).
Para la responsabilidad proactiva del GDPR, un certificado que describe controles regionales es útil. Sigue sin ser suficiente. Northstar Pay necesita el contrato de encargo del tratamiento, redacción contractual de almacenamiento solo en la UE, evidencia de configuración del entorno de cliente y un método para supervisar cambios.
Si la plataforma de analítica permite a los administradores seleccionar regiones, el expediente de auditoría debe incluir capturas de pantalla de configuración, ajustes exportados u otros registros que demuestren la región de la UE aprobada.
Paso 6: Programar revisiones anuales y basadas en eventos
La Política de Seguridad de Terceros y Proveedores - pyme, sección Requisitos de implantación de la política, cláusula 6.3.1, exige la revisión anual de proveedores críticos o de alto riesgo para verificar métodos de acceso seguros, certificaciones de seguridad válidas o evidencia de control actualizada, historial de incidentes y cumplimiento contractual.
La revisión también debe activarse cuando el proveedor cambie subcontratistas, regiones, servicios, arquitectura de identidad, modelo de cifrado, historial de incidentes o estado del certificado. La evidencia de aseguramiento envejece, y el riesgo de proveedores no es estático.
El paquete de evidencia EUCS de Clarysec
Un paquete de aseguramiento EUCS maduro contiene más que el PDF del certificado. Clarysec estructura la evidencia en siete secciones.
| Sección de evidencia | Contenido | Por qué importa |
|---|---|---|
| 1. Aprobación de la nube | Justificación de negocio, propietario, calificación del riesgo, decisión de aprobación | Demuestra adquisición y uso controlados de servicios en la nube |
| 2. Aseguramiento del proveedor | Certificado EUCS, otras certificaciones, resumen de seguridad, modelo de responsabilidad compartida | Demuestra evidencia de seguridad del proveedor y alcance |
| 3. Legal y privacidad | DPA, términos de residencia de los datos, lista de subencargados del tratamiento, mapeo de tratamiento lícito | Respalda la responsabilidad proactiva del GDPR y los requisitos contractuales |
| 4. Configuración técnica | MFA, SSO, RBAC, cifrado, registro de eventos, copia de seguridad, restricciones de red | Demuestra el lado del cliente de la responsabilidad compartida |
| 5. Contrato del proveedor | Obligaciones de seguridad, derechos sobre evidencia de auditoría, notificación de incidentes, subcontratación, terminación | Respalda la gobernanza de proveedores de ISO, NIS2 y DORA |
| 6. Incidentes y resiliencia | Vía de escalado del proveedor, integración del procedimiento de respuesta, RTO y RPO, registros de prueba | Respalda la notificación de NIS2 y la resiliencia operativa de DORA |
| 7. Supervisión y revisión | Revisión anual, validez del certificado, incidentes, cambios de servicio, excepciones | Respalda la supervisión continua de proveedores y la mejora continua |
La Política de Cumplimiento Legal y Normativo, sección Requisitos de implantación de la política, cláusula 6.2.1, recoge el principio operativo:
Todas las obligaciones legales y regulatorias deben mapearse a políticas, controles y propietarios específicos dentro del Sistema de Gestión de la Seguridad de la Información (SGSI).
Esa es la diferencia entre recopilar certificados y construir un modelo operativo de cumplimiento defendible.
Evidencia de incidentes y resiliencia: dónde EUCS no basta
NIS2 y DORA convierten la preparación ante incidentes y la resiliencia en una prueba seria de la gobernanza en la nube.
El certificado EUCS de un proveedor de servicios en la nube puede demostrar que el proveedor dispone de controles de gestión de incidentes. Su organización debe seguir sabiendo quién recibe las notificaciones, cómo se clasifican y priorizan las alertas, cómo se preserva la evidencia, cómo se evalúa el impacto sobre datos personales y quién se comunica con reguladores, clientes y alta dirección.
Para NIS2, los términos de notificación del proveedor deben respaldar las obligaciones de aviso temprano y notificación de incidentes. Para DORA, los incidentes en la nube deben alimentar los procesos de clasificación, escalado, notificación y comunicación a clientes de incidentes relacionados con las TIC. Para GDPR, el flujo de trabajo de brechas debe respaldar la evaluación de si se produjo una brecha de datos personales y si se requiere notificación a la autoridad de control o a las personas afectadas.
NIST CSF 2.0 es útil aquí como lenguaje de integración. Sus funciones GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND y RECOVER ayudan a las organizaciones a traducir obligaciones legales y controles técnicos en resultados operativos. Sus resultados de cadena de suministro exigen que los proveedores sean conocidos, priorizados, gobernados contractualmente, supervisados, incluidos en la planificación de incidentes y gestionados al finalizar la relación. Sus resultados de respuesta y recuperación cubren clasificación, escalado, coordinación con terceros, notificación a partes interesadas, ejecución de recuperación y verificación de restauración.
El certificado va al expediente. El procedimiento de respuesta demuestra la preparación.
Cómo probarán los auditores la evidencia EUCS
Los distintos auditores abordan el aseguramiento en la nube desde ángulos diferentes. Un modelo de evidencia de cumplimiento transversal evita tener que reconstruir los mismos hechos para cada revisión.
| Enfoque de auditoría | En qué se centrará el auditor | Evidencia que esperará |
|---|---|---|
| Auditor de ISO 27001 | Alcance del SGSI, evaluación de riesgos, SoA, controles de proveedores, gobernanza cloud, mejora continua | Registro de Servicios en la Nube, Registro de Riesgos, SoA, evaluación de proveedores, contrato, registros de configuración, evidencia de revisión |
| Supervisor o evaluador de NIS2 | Aprobación de la dirección, medidas del artículo 21, seguridad de la cadena de suministro, preparación para la notificación de incidentes | Informes al consejo de administración, análisis de riesgos de proveedores, procedimiento de respuesta a incidentes, evidencia de continuidad de negocio, flujo de trabajo de notificación |
| Auditor de DORA | Registro de terceros de TIC, evaluación de funciones críticas o importantes, contratos, derechos de auditoría, planes de salida, pruebas de resiliencia | Registro de contratos de TIC, diligencia debida, análisis del riesgo de concentración, cláusulas contractuales del artículo 30, registros de prueba, estrategia de salida |
| Revisor de GDPR | Responsabilidad proactiva, finalidad del tratamiento, categorías de datos, ubicación de datos, seguridad, preparación ante brechas | Entradas del Registro de Actividades de Tratamiento (RoPA), DPA, términos de residencia de los datos, controles de acceso, flujo de trabajo de evaluación de brechas, evidencia del encargado del tratamiento |
| Evaluador de NIST CSF | Perfiles actual y objetivo, gobernanza, gestión de riesgos de la cadena de suministro, supervisión, respuesta y recuperación | Análisis de brechas de perfil, registros del ciclo de vida de proveedores, informes de supervisión, ejercicios de incidentes, validación de recuperación |
| Auditor de COBIT 2019 o ISACA | Objetivos de gobernanza, responsabilidad de la dirección, supervisión de proveedores de servicios, optimización del riesgo, supervisión del cumplimiento | Actas de gobernanza, propiedad de controles, métricas de desempeño, registros de supervisión de terceros, panel de cumplimiento |
Zenith Blueprint, fase Controles en acción, paso 23, advierte que los controles cloud se examinan con especial detalle:
Este control suele estar sometido a un escrutinio intenso. Los auditores preguntarán:
✓ «¿Qué servicios en la nube está utilizando?» ✓ «¿Quién los aprobó?» ✓ «¿Cómo garantiza que los datos están protegidos?»
Esas preguntas son la esencia del aseguramiento EUCS. Un certificado puede ayudar a responder cómo se evidencia la protección del lado del proveedor, pero no puede responder qué servicios se utilizan ni quién los aprobó salvo que su Registro de Servicios en la Nube y su flujo de aprobación estén actualizados.
Errores habituales de aseguramiento EUCS que deben evitarse
El primer error es tratar EUCS como un pase universal. Es evidencia acotada. Si el certificado no cubre el servicio adquirido, la región, el modelo de despliegue o la entidad jurídica, su valor de aseguramiento puede ser limitado.
El segundo error es confundir los controles del proveedor con los controles del cliente. La certificación del proveedor no demuestra MFA en el entorno de cliente, RBAC, registro de eventos, ajustes de configuración del cifrado, copias de seguridad, revisiones de acceso administrativo ni supervisión.
El tercer error es pasar por alto los requisitos contractuales de DORA. Las entidades financieras necesitan derechos y obligaciones por escrito, incluidas descripciones de servicios, ubicaciones de datos, requisitos de seguridad de la información, derechos de acceso y auditoría, niveles de servicio, asistencia en incidentes, cooperación con autoridades, derechos de terminación y estrategias de salida para funciones críticas o importantes.
El cuarto error es ignorar la evidencia del GDPR. La redacción sobre residencia de los datos, la transparencia sobre subencargados del tratamiento, la gestión de brechas, el tratamiento lícito y los registros de responsabilidad proactiva siguen siendo necesarios. EUCS puede respaldar evidencia de seguridad del artículo 32, pero no define su base jurídica, finalidad del tratamiento ni reglas de conservación.
El quinto error es no supervisar el estado del certificado. Si la certificación caduca, el alcance cambia, aparecen hallazgos de supervisión o el proveedor cambia la arquitectura, su revisión del riesgo de proveedores debe capturar el cambio.
Lista de verificación práctica de revisión EUCS para 2026
Use esta lista de verificación antes de aceptar EUCS como evidencia de aseguramiento del proveedor de servicios en la nube:
- Confirme el esquema de certificación, el nivel de aseguramiento, el titular del certificado y el período de validez.
- Confirme los servicios, regiones, modelos de despliegue y entidades jurídicas exactos dentro del alcance.
- Compare el alcance del certificado con la entrada de su Registro de Servicios en la Nube.
- Mapee la evidencia a los controles 5.20, 5.22 y 5.23 de ISO/IEC 27002:2022.
- Actualice el registro de riesgos y la SoA con la evidencia del certificado y el riesgo residual.
- Valide los controles del lado del cliente, especialmente identidad, MFA, registro de eventos, cifrado, copias de seguridad y acceso administrativo.
- Confirme cláusulas de residencia de los datos, subencargados del tratamiento, notificación de brechas, evidencia de auditoría y terminación.
- Vincule las vías de notificación de incidentes con los plazos de NIS2, DORA y GDPR.
- Revise el riesgo de concentración y la estrategia de salida para servicios críticos o importantes.
- Programe la revisión anual y la reevaluación basada en eventos.
Haga que la evidencia EUCS funcione dentro de su SGSI
La certificación EUCS para servicios en la nube puede mejorar materialmente el aseguramiento de proveedores cloud en 2026. Puede reducir la fatiga de cuestionarios, reforzar la diligencia debida de proveedores y respaldar evidencia de ISO 27001, NIS2, DORA y GDPR. Pero solo se vuelve defendible cuando se mapea dentro de su sistema de gobernanza.
Clarysec ayuda a las organizaciones a convertir evidencia de certificación para servicios en la nube en operaciones de cumplimiento preparadas para auditoría mediante Zenith Blueprint, Zenith Controls, Política de Uso de la Nube, Política de Uso de la Nube - pyme, Política de Seguridad de Terceros y Proveedores - pyme, Política de seguridad de terceros y proveedores y Política de Cumplimiento Legal y Normativo.
Si su hoja de ruta de 2026 incluye EUCS, preparación para NIS2, riesgo de terceros de TIC de DORA, tratamiento en la nube bajo GDPR o certificación ISO/IEC 27001:2022, empiece con una acción práctica: construya su Registro de Servicios en la Nube, adjunte evidencia de aseguramiento del proveedor y mapee cada servicio en la nube crítico a riesgos, contratos, controles y propietarios. Ahí es donde el aseguramiento en la nube se vuelve defendible.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
