Registros de contactos regulatorios NIS2 y DORA para ISO 27001
El incidente de las 02:17: cuando la lista de contactos se convierte en el control
A las 02:17 de un martes, el analista del SOC ve el patrón que nadie quiere ver. Una cuenta de servicio privilegiada se ha autenticado desde una ubicación geográfica inusual, se han consultado registros de clientes de forma secuencial y un proveedor de detección gestionada ha abierto un ticket de gravedad alta. En cuestión de minutos, el responsable del incidente confirma la preocupación: los indicadores de ransomware se están propagando lateralmente, un servicio crítico de producción está degradado y podrían estar implicados datos de clientes.
La respuesta técnica comienza rápidamente. Se aíslan los endpoints, se extraen los registros de identidad, se preservan instantáneas en la nube y el proveedor de seguridad gestionada se incorpora al puente de comunicación. Entonces empieza un pánico más frío.
El CISO pregunta: “¿A quién notificamos?”
Asesoría jurídica indica que quizá deba intervenir la autoridad de protección de datos. El delegado de protección de datos (DPO) pregunta si se trata de una violación de datos personales. El director de Operaciones afirma que debe escalarse al proveedor de servicios en la nube conforme a la cláusula de soporte empresarial. El responsable de Cumplimiento pregunta si la entidad es una entidad importante bajo NIS2, o si DORA aplica porque el servicio da soporte a una entidad financiera regulada. El Consejo de Administración quiere saber qué debe ocurrir durante las primeras 24 horas.
Nadie cuestiona la necesidad de comunicar. El problema es que los datos de contacto, la ruta de aprobación, los desencadenantes legales y los requisitos de evidencia están dispersos entre una antigua hoja de cálculo de continuidad del negocio, contratos de proveedores, hilos de correo electrónico, una wiki de cumplimiento desactualizada y el teléfono de una persona.
Eso no es solo una incomodidad operativa. En 2026, es una deficiencia de cumplimiento.
NIS2 ha convertido la notificación escalonada de incidentes en una obligación de gobernanza, incluida una alerta temprana en un plazo de 24 horas, una notificación en 72 horas y un informe final en el plazo de un mes para incidentes significativos. DORA ha creado un régimen específico de resiliencia operativa digital para entidades financieras, que incluye gestión de incidentes de TIC, clasificación, notificación a supervisores, riesgo de terceros de TIC y comunicación de crisis. GDPR sigue siendo relevante siempre que intervengan datos personales. ISO/IEC 27001:2022 convierte estas obligaciones en evidencia auditable del sistema de gestión.
Un registro de contactos regulatorios puede parecer administrativo. No lo es. Es el tejido conectivo entre la respuesta a incidentes, la notificación legal, la continuidad del negocio, la coordinación con proveedores, la responsabilidad proactiva de la dirección y la evidencia de auditoría.
Clarysec trata esto como un problema de evidencia, no como un ejercicio documental. En Zenith Blueprint: hoja de ruta de 30 pasos para auditores Zenith Blueprint, el paso 22 de la fase Controles en acción explica por qué el contacto con autoridades debe estar predefinido:
El control 5.5 garantiza que una organización esté preparada para interactuar con autoridades externas cuando sea necesario, no de forma reactiva ni bajo presión, sino mediante canales predefinidos, estructurados y bien comprendidos.
Esa es la verdadera lección del incidente de las 02:17. El momento de localizar el portal de notificación del regulador, el teléfono de guardia del CSIRT, el contacto suplente del DPO, el canal de notificación del supervisor financiero y la ruta de escalado del proveedor es antes del incidente, no cuando el reloj de notificación ya está corriendo.
Por qué los registros de contactos regulatorios se convirtieron en una prioridad de cumplimiento en 2026
Muchas organizaciones ya cuentan con listas de contactos de emergencia. El problema es que NIS2 y DORA exigen algo más disciplinado que una lista de nombres y teléfonos. Exigen una gobernanza de contactos precisa, basada en roles y preparada para aportar evidencia, vinculada a desencadenantes legales, autoridad de escalado, plazos de notificación y dependencias de proveedores.
NIS2 se aplica a un amplio conjunto de entidades esenciales e importantes en sectores como energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC, administración pública y espacio. También cubre a numerosos proveedores digitales, incluidos servicios de computación en la nube, servicios de centros de datos, redes de distribución de contenidos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda en línea y plataformas de redes sociales. Los Estados miembros debían establecer listas de entidades esenciales e importantes antes del 17 de abril de 2025 y actualizarlas al menos cada dos años. Para muchos proveedores de nube, SaaS, servicios gestionados y plataformas digitales, la exposición regulatoria ha pasado de teórica a operativa.
DORA es aplicable desde el 17 de enero de 2025 a entidades financieras como entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de inversión, proveedores de servicios de criptoactivos, centros de negociación, depositarios centrales de valores, entidades de contrapartida central, empresas de seguros y reaseguros y otras organizaciones cubiertas del sector financiero. DORA también es profundamente relevante para el ecosistema de terceros de TIC porque las entidades financieras deben gestionar a los proveedores que respaldan funciones críticas o importantes. El Artículo 17 de DORA exige un proceso de gestión de incidentes relacionados con las TIC, el Artículo 18 establece expectativas de clasificación y el Artículo 19 regula la notificación de incidentes graves relacionados con las TIC a la autoridad competente.
GDPR añade la dimensión de privacidad. Un incidente de ciberseguridad puede convertirse en una violación de datos personales si implica destrucción, pérdida, alteración, divulgación no autorizada o acceso a datos personales, de forma accidental o ilícita. El responsable del tratamiento debe poder demostrar responsabilidad proactiva, evaluar el riesgo para las personas y, cuando sea necesario, notificar a la autoridad de control y posiblemente a los interesados afectados.
Por tanto, un registro maduro de contactos regulatorios debe responder a cinco preguntas bajo presión:
- ¿Qué CSIRT, autoridad competente, supervisor financiero, autoridad de protección de datos y contacto de fuerzas y cuerpos de seguridad aplica a esta entidad legal, jurisdicción y servicio?
- ¿Qué rol interno está autorizado para iniciar el contacto, aprobar la redacción y presentar notificaciones?
- ¿Qué proveedores deben contactarse para contención, registros, restauración, preservación de evidencia o notificación contractual?
- ¿Qué ruta de comunicación con clientes, contrapartes o público se activa en cada nivel de gravedad?
- ¿Cómo demostramos que el registro fue revisado, probado y utilizado correctamente?
La respuesta no puede residir únicamente en la bandeja de entrada de asesoría jurídica ni en la memoria del CISO. Debe ser un registro controlado del SGSI.
Qué contiene un registro de contactos NIS2 y DORA preparado para aportar evidencia
Un registro de contactos regulatorios debe diseñarse para utilizarse durante un incidente real. Si el responsable del incidente necesita tomar la primera decisión de escalado en minutos, el registro no puede ser una lista imprecisa de sitios web. Debe estar estructurado, verificado y vinculado al procedimiento operativo de respuesta.
| Campo del registro | Por qué importa en un incidente | Valor como evidencia |
|---|---|---|
| Tipo de autoridad o parte interesada | Distingue CSIRT, autoridad competente, supervisor financiero, autoridad de protección de datos, fuerzas y cuerpos de seguridad, proveedor, grupo de clientes y rol interno | Demuestra que se identificaron las partes interesadas y los canales de notificación |
| Nombre del organismo o entidad específica | Identifica el regulador, supervisor, proveedor, grupo de clientes o función interna exactos | Reduce el riesgo de destinatario o jurisdicción incorrectos |
| Jurisdicción y entidad legal | Evita notificaciones al país o entidad incorrectos en grupos transfronterizos | Respalda el alcance, la aplicabilidad y el mapeo regulatorio |
| Condición desencadenante | Vincula el contacto a un incidente significativo NIS2, incidente grave relacionado con las TIC bajo DORA, violación de datos personales bajo GDPR o aviso contractual | Demuestra una lógica de decisión documentada |
| Canal de contacto principal | Proporciona portal, correo electrónico, teléfono, canal de mensajería segura o canal de soporte de alta prioridad | Respalda la notificación y el escalado oportunos |
| Canal de contacto alternativo | Proporciona resiliencia cuando el canal principal no está disponible | Demuestra continuidad de las comunicaciones |
| Propietario interno autorizado | Define quién puede contactar, aprobar o presentar información | Respalda la responsabilidad proactiva y la segregación de funciones |
| Evidencia requerida antes del contacto | Enumera hechos, evaluación de gravedad, servicios afectados, IOC, impacto en clientes y estado de revisión legal | Respalda una notificación oportuna pero controlada |
| Fecha de última validación y validador | Confirma la revisión periódica y reduce el riesgo de contactos obsoletos | Aporta evidencia de auditoría sobre el mantenimiento |
| Referencia de prueba o ejercicio | Vincula el contacto a ejercicios de mesa, simulaciones o uso en incidentes reales | Demuestra eficacia operativa |
| Ubicación de conservación | Apunta al SGSI, plataforma GRC, sistema de tickets o repositorio de evidencia | Respalda la repetibilidad y la recuperación para auditoría |
Un registro completo debe incluir al menos seis familias de contactos.
Primero, autoridades oficiales de ciberseguridad: CSIRT nacionales, autoridades competentes, puntos únicos de contacto cuando proceda y agencias sectoriales de ciberseguridad.
Segundo, supervisores financieros para DORA: autoridades competentes y canales de notificación utilizados para la notificación inicial, intermedia y final de incidentes graves relacionados con las TIC.
Tercero, autoridades de privacidad: autoridades de protección de datos, lógica de autoridad de control principal para tratamientos transfronterizos y rutas de escalado del DPO.
Cuarto, fuerzas y cuerpos de seguridad: unidades de ciberdelincuencia, unidades de fraude y contactos de emergencia para extorsión, ransomware, acceso no autorizado y preservación de evidencia.
Quinto, proveedores y terceros de TIC: proveedores de servicios en la nube, proveedores de seguridad gestionada, proveedores de servicios gestionados, plataformas de identidad, procesadores de pagos, proveedores de análisis forense digital y asesores jurídicos.
Sexto, roles internos de escalado: responsable del incidente, CISO, DPO, asesoría jurídica general, responsable de comunicación, responsable de continuidad del negocio, aprobador ejecutivo, enlace con el Consejo de Administración y propietario del servicio.
El registro también debe incluir grupos de interés especial cuando proceda, como ISAC o comunidades sectoriales de intercambio de información. No son reguladores, pero pueden convertirse en canales importantes para la inteligencia de amenazas y la respuesta coordinada.
Zenith Blueprint lo hace práctico en el paso 22:
Crear o actualizar procedimientos para interactuar con autoridades durante eventos de seguridad (5.5), incluidos datos de contacto de CERT locales, reguladores y fuerzas y cuerpos de seguridad. Mantener una lista de contactos similar para participar en foros de seguridad o grupos sectoriales específicos (5.6). Almacenar esta información en una ubicación accesible, pero protegida mediante control de acceso, e incluirla en la guía operativa de respuesta a incidentes.
Esa última frase importa. Si el registro no está en la guía operativa de respuesta a incidentes, es improbable que se utilice cuando la presión sea real.
Ejemplo de estructura de registro de contactos para un proveedor fintech o SaaS
Imaginemos un proveedor fintech SaaS que da soporte a análisis de pagos para clientes de la UE. Utiliza un proveedor de servicios en la nube, un proveedor de detección gestionada, una plataforma de identidad, una plataforma de soporte al cliente y asesores jurídicos externos. Según su rol, puede ser una entidad financiera, un proveedor tercero de servicios de TIC, un proveedor digital dentro del alcance de NIS2 o un encargado del tratamiento de datos personales bajo GDPR.
Un registro práctico podría comenzar así:
| Tipo de autoridad o entidad | Organismo o nombre específico | Punto de contacto | Método principal | Método alternativo | Desencadenante del contacto | Propietario |
|---|---|---|---|---|---|---|
| CSIRT NIS2 | CSIRT nacional | Recepción de respuesta a incidentes | Portal seguro | Correo electrónico de emergencia | Incidente cibernético significativo que afecta a servicios | CISO |
| Supervisor DORA | Autoridad financiera nacional | Mesa de notificación de incidentes de TIC | Portal del supervisor | Teléfono designado | Incidente grave relacionado con las TIC | Responsable de Cumplimiento |
| Autoridad de protección de datos GDPR | Autoridad de protección de datos | Unidad de notificación de violaciones de datos | Formulario web | Enlace del DPO con la autoridad | La evaluación de riesgos de una violación de datos personales indica que puede requerirse notificación | DPO |
| Fuerzas y cuerpos de seguridad | Unidad nacional de ciberdelincuencia | Oficial de guardia | Línea oficial de notificación | Oficial de enlace local | Sospecha de actividad delictiva, extorsión o necesidad de preservación de evidencia | Responsable Jurídico |
| Proveedor crítico de nube | Nombre del proveedor de servicios en la nube | Soporte de seguridad empresarial | Portal de tickets de alta prioridad | Responsable técnico de cuenta | Incidente que afecta al tenant, registros, contención o restauración | Responsable de Operaciones en la Nube |
| Proveedor de detección gestionada | Nombre del proveedor MDR | Responsable de escalado del SOC | Línea de escalado 24x7 | Contacto de escalado de cuenta | Detección confirmada de gravedad alta o requisito de soporte forense | Responsable del Incidente |
| Ejecutivo interno | Director General o ejecutivo delegado | Escalado ejecutivo | Móvil directo | Asistente ejecutivo | Cualquier incidente que requiera notificación externa o decisión de impacto público | CISO |
| Comunicaciones internas | Responsable de Relaciones Públicas o comunicaciones | Responsable de comunicación de crisis | Móvil directo | Canal de colaboración | Puede requerirse comunicación a clientes, medios o mercado | Asesoría Jurídica General |
Las entradas no deben contener datos personales innecesarios. Utiliza contactos basados en roles siempre que sea posible, protege los datos de contacto sensibles y garantiza disponibilidad offline durante una indisponibilidad grave. Un registro accesible únicamente desde los mismos sistemas afectados por un incidente de ransomware no es resiliente.
Mapeo del registro a evidencia de ISO/IEC 27001:2022
Los auditores rara vez emiten un hallazgo porque una organización carezca de una hoja de cálculo. Lo emiten porque la organización no puede demostrar que esa hoja de cálculo está completa, actualizada, aprobada, protegida, probada y conectada a procesos reales.
ISO/IEC 27001:2022 empieza por el contexto de la organización. Las cláusulas 4.1 a 4.4 exigen que la organización comprenda las cuestiones internas y externas, identifique las partes interesadas y sus requisitos, defina el alcance del SGSI y comprenda interfaces y dependencias. Un registro de contactos regulatorios es evidencia sólida de que los requisitos legales, regulatorios, contractuales y de partes interesadas se han traducido en relaciones operativas.
Después viene el liderazgo. Las cláusulas 5.1 a 5.3 exigen que la Alta Dirección demuestre liderazgo, asigne responsabilidades, asegure la comunicación y apoye el SGSI. Si el registro identifica quién está autorizado a notificar a un CSIRT, supervisor o autoridad de protección de datos, quién aprueba las comunicaciones externas y quién informa del estado del incidente a la Alta Dirección, respalda evidencia de liderazgo.
La planificación de riesgos convierte después las obligaciones en acciones. Las cláusulas 6.1.1 a 6.1.3 exigen un proceso de evaluación y tratamiento de riesgos, comparación con el Anexo A, una Declaración de Aplicabilidad, un plan de tratamiento de riesgos y la aceptación del riesgo residual. El registro debe aparecer en el plan de tratamiento para riesgos como fallo de notificación legal, escalado tardío de incidentes, fallo de respuesta de proveedor, error de notificación transfronteriza e interrupción de las comunicaciones de continuidad del negocio.
Los anclajes de control del Anexo A son claros:
| Control ISO/IEC 27001:2022 | Nombre del control | Relevancia del registro |
|---|---|---|
| A.5.5 | Contacto con autoridades | Establece contactos de autoridades predefinidos para incidentes y eventos regulatorios |
| A.5.6 | Contacto con grupos de interés especial | Respalda el intercambio sectorial de información y la coordinación de inteligencia de amenazas |
| A.5.19 | Seguridad de la información en las relaciones con proveedores | Vincula los contactos de proveedores con obligaciones de seguridad y rutas de escalado |
| A.5.20 | Tratamiento de la seguridad de la información en acuerdos con proveedores | Garantiza que los canales de notificación y soporte estén respaldados contractualmente |
| A.5.21 | Gestión de la seguridad de la información en la cadena de suministro de TIC | Conecta proveedores críticos de TIC con flujos de trabajo de respuesta y recuperación |
| A.5.22 | Supervisión, revisión y gestión de cambios de los servicios de proveedores | Mantiene actualizados los contactos de proveedores cuando cambian servicios o proveedores |
| A.5.23 | Seguridad de la información para el uso de servicios en la nube | Respalda el escalado de incidentes en la nube, el acceso a evidencia y la restauración |
| A.5.24 | Planificación y preparación de la gestión de incidentes de seguridad de la información | Incorpora el registro en la planificación de respuesta a incidentes |
| A.5.25 | Evaluación y decisión sobre eventos de seguridad de la información | Vincula desencadenantes con evaluación de la obligación de notificar y registros de decisiones |
| A.5.26 | Respuesta a incidentes de seguridad de la información | Respalda la coordinación externa durante la respuesta |
| A.5.27 | Aprendizaje a partir de incidentes de seguridad de la información | Impulsa actualizaciones del registro después de incidentes y ejercicios |
| A.5.28 | Recopilación de evidencia | Respalda notificaciones conservadas, acuses de recibo, notas de llamadas y retroalimentación del regulador |
| A.5.29 | Seguridad de la información durante interrupciones | Garantiza que los canales de comunicación sigan disponibles durante interrupciones |
| A.5.30 | Preparación de las TIC para la continuidad del negocio | Vincula la gobernanza de contactos con planes de continuidad y recuperación |
| A.5.31 | Requisitos legales, estatutarios, reglamentarios y contractuales | Mapea contactos con obligaciones de notificación legales y contractuales |
| A.5.34 | Privacidad y protección de la información de identificación personal (PII) | Garantiza que las rutas del DPO y de la autoridad de protección de datos estén integradas para violaciones de datos personales |
| A.8.15 | Registro de eventos | Proporciona hechos y evidencia requeridos para la notificación |
| A.8.16 | Actividades de supervisión | Permite la detección temprana y el escalado oportuno hacia flujos de trabajo de notificación |
En Zenith Controls: guía de cumplimiento cruzado Zenith Controls, el contacto con autoridades se trata como el control 5.5, con características preventivas y correctivas. Respalda la confidencialidad, integridad y disponibilidad, y se conecta con los conceptos de ciberseguridad Identificar, Proteger, Responder y Recuperar. Zenith Controls lo vincula a planificación de incidentes, notificación de eventos, inteligencia de amenazas, grupos de interés especial y respuesta a incidentes. También explica por qué los contactos preestablecidos con reguladores, fuerzas y cuerpos de seguridad, CERT nacionales o autoridades de protección de datos permiten un escalado y orientación más rápidos durante eventos como violaciones significativas o ataques de ransomware.
El control no está aislado. Zenith Controls también mapea el control 6.8, notificación de eventos de seguridad de la información, como control detectivo vinculado a planificación de incidentes, evaluación de eventos, respuesta, lecciones aprendidas, concienciación, supervisión y proceso disciplinario. El control 5.24, planificación y preparación de la gestión de incidentes de seguridad de la información, se conecta con evaluación de eventos, lecciones aprendidas, registro de eventos, supervisión, seguridad durante interrupciones, continuidad y contacto con autoridades. La narrativa de auditoría se fortalece cuando los eventos se notifican, evalúan, escalan, comunican, evidencian y mejoran.
NIS2, DORA y GDPR: un registro, distintos relojes legales
Un solo incidente puede activar varios flujos de trabajo legales. Un acceso no autorizado en un proveedor SaaS puede ser un incidente significativo NIS2, una violación de datos personales bajo GDPR y un evento de aviso contractual a clientes. Una indisponibilidad en una entidad financiera puede ser un incidente grave relacionado con las TIC bajo DORA y, a la vez, requerir análisis GDPR y coordinación con proveedores.
NIS2 exige a las entidades esenciales e importantes notificar sin dilación indebida a su CSIRT o autoridad competente los incidentes significativos que afecten a la prestación del servicio. El modelo de notificación escalonada incluye una alerta temprana sin dilación indebida y dentro de las 24 horas desde que se tenga conocimiento, una notificación de incidente sin dilación indebida y dentro de las 72 horas, informes intermedios de estado previa solicitud y un informe final dentro del mes siguiente a la notificación del incidente. Si el incidente sigue en curso, también pueden exigirse informes de progreso.
DORA exige que las entidades financieras mantengan un proceso de gestión de incidentes relacionados con las TIC que detecte, gestione y notifique incidentes, registre incidentes y ciberamenazas significativas, clasifique gravedad y criticidad, asigne roles, defina escalado y comunicación, informe de incidentes graves a la Alta Dirección y respalde una recuperación oportuna. La notificación de incidentes graves relacionados con las TIC sigue una lógica de informes iniciales, intermedios y finales, con clasificación basada en factores como clientes afectados, duración, extensión geográfica, pérdida de datos, criticidad de los servicios e impacto económico.
GDPR añade la evaluación de violaciones de datos personales. Un registro de contactos no decide por sí mismo la obligación legal de notificar. Garantiza que las personas adecuadas puedan decidir rápidamente, utilizando canales actuales y criterios documentados.
La biblioteca de políticas de Clarysec lo hace operativo. En la Política de Respuesta a Incidentes para pymes Política de Respuesta a Incidentes - pyme, la cláusula 5.1.1 establece:
El Director General (DG) es responsable de autorizar todas las decisiones de escalado de incidentes, notificaciones regulatorias y comunicaciones externas.
La misma política para pymes, en la cláusula 7.4.1, añade:
Cuando estén implicados datos de clientes, el Director General debe evaluar las obligaciones legales de notificación en función de la aplicabilidad de GDPR, NIS2 o DORA.
Para entornos empresariales, la Política de Respuesta a Incidentes Política de Respuesta a Incidentes, cláusula 5.5, establece el marco de comunicación:
Todas las comunicaciones relacionadas con incidentes deben seguir la Matriz de comunicación y escalado, garantizando:
La cláusula 6.4.2 añade el requisito de evidencia:
Todas las notificaciones de brecha deben documentarse y aprobarse antes de su presentación, y deben conservarse copias en el SGSI.
Aquí es donde el registro se convierte en evidencia ISO. No se trata solo de saber a quién llamar. Se trata de demostrar quién estaba autorizado, qué se evaluó, qué se aprobó, qué se presentó y dónde reside la copia conservada.
El modelo de evidencia de Clarysec: cuatro artefactos que funcionan juntos
Una capacidad sólida de contactos regulatorios necesita cuatro artefactos que funcionen como una única cadena de evidencia.
El registro de contactos regulatorios identifica contactos, canales, desencadenantes y propietarios. La matriz de comunicación y escalado define quién hace qué. El registro de decisiones documenta clasificación, evaluación de la obligación de notificar, revisión legal y aprobación. El paquete de evidencia de notificación conserva avisos presentados, acuses de recibo de portal, correos electrónicos, notas de llamadas, retroalimentación del regulador, respuestas de proveedores e informes finales.
La Política de Cumplimiento Legal y Normativo de Clarysec Política de Cumplimiento Legal y Normativo - pyme hace explícito el concepto de registro. La cláusula 5.5.2 establece:
Los términos clave de cumplimiento, por ejemplo, plazos de notificación de brechas y cláusulas de tratamiento de datos, deben extraerse y registrarse en el Registro de Cumplimiento.
El Registro de Cumplimiento debe alimentar el registro de contactos regulatorios. El requisito legal podría decir “alerta temprana NIS2 en 24 horas”, mientras que el registro de contactos identifica el portal del CSIRT nacional, el número de guardia alternativo, el remitente autorizado, el revisor legal, la evidencia requerida y la ruta de conservación.
Las políticas de continuidad del negocio refuerzan la misma expectativa. La Política de Continuidad del Negocio y Recuperación ante Desastres para pymes Política de Continuidad del Negocio y Recuperación ante Desastres - pyme, cláusula 5.2.1.1, se refiere a:
listas de contactos y planes alternativos de comunicación
La Política de Continuidad del Negocio y Recuperación ante Desastres empresarial Política de Continuidad del Negocio y Recuperación ante Desastres, cláusula 5.3.3, exige que los acuerdos de continuidad estén:
respaldados por listas de contactos actualizadas y flujos de escalado
La gobernanza de proveedores también pertenece al modelo. En la Política de Seguridad de Terceros y Proveedores para pymes Política de Seguridad de Terceros y Proveedores - pyme, la cláusula 5.4.3 exige una:
persona de contacto asignada
Para NIS2 y DORA, ese contacto no puede ser genérico. Si un proveedor crítico de nube, un proveedor de servicios de seguridad gestionados, un proveedor de identidad o un procesador de pagos respalda un servicio regulado, el registro debe identificar el contacto operativo, el contacto para incidentes de seguridad, el canal de aviso contractual y la ruta de escalado para solicitudes de evidencia.
Construye el registro en una única sesión de trabajo
Un registro útil puede construirse rápidamente si las personas adecuadas están en la sala. Programa una sesión de dos horas con el CISO, DPO, asesoría jurídica, responsable de proveedores, responsable de continuidad del negocio, responsable del incidente y propietario de cumplimiento.
Empieza por el Registro de Cumplimiento. Extrae las obligaciones de notificación de NIS2, DORA, GDPR, contractuales y sectoriales. Registra plazos, criterios para determinar la obligación de notificar y requisitos de evidencia.
Abre la guía operativa de respuesta a incidentes. Para cada categoría de incidente, como ransomware, acceso no autorizado, indisponibilidad del servicio, exfiltración de datos, incidente de proveedor y fallo de región en la nube, identifica los contactos externos necesarios.
Rellena el registro de contactos regulatorios con autoridad, jurisdicción, desencadenante, canal principal, canal alternativo, propietario, aprobador, evidencia necesaria, fecha de última validación y ubicación de conservación.
Vincula los contactos de proveedores. Para cada función crítica o importante, identifica el contacto de incidentes de seguridad del proveedor, el canal de aviso contractual, el contacto de auditoría y la ruta de escalado de emergencia.
Revisa contra las políticas. Confirma que la autoridad de escalado coincide con la Política de Respuesta a Incidentes, que la evidencia de notificación se conserva en el SGSI, que las listas de contactos de continuidad del negocio están alineadas y que los contactos de proveedores tienen propietarios asignados.
Prueba un escenario. Utiliza un ejercicio de mesa focalizado: “Exposición de datos de clientes detectada a las 02:17 que afecta a clientes de la UE y posiblemente causada por credenciales comprometidas de un proveedor de identidad”. Pide al equipo que identifique si pueden requerirse notificaciones al CSIRT, a la autoridad de protección de datos, al supervisor financiero, al proveedor y a clientes. El objetivo no es forzar una conclusión legal definitiva durante el ejercicio. El objetivo es demostrar dónde se encuentran los contactos, quién aprueba el contacto, qué evidencia se necesita y dónde se registran las decisiones.
Crea el paquete de evidencia. Guarda la versión del registro, asistentes a la reunión, aprobaciones, notas del escenario, registro de decisiones, acciones pendientes y referencia actualizada de la guía operativa.
Aquí es donde el paso 23 de Zenith Blueprint se vuelve práctico:
Asegúrate de contar con un plan de respuesta a incidentes actualizado (5.24), que cubra preparación, escalado, respuesta y comunicación. Define qué constituye un evento de seguridad notificable (5.25) y cómo se activa y documenta el proceso de toma de decisiones. Selecciona un evento reciente o realiza un ejercicio de mesa para validar tu plan.
El ejercicio no tiene que ser elaborado. Tiene que demostrar preparación.
Mapeo de cumplimiento cruzado: un registro, muchos marcos
El valor de un registro de contactos regulatorios es que reduce el esfuerzo duplicado de cumplimiento. Un artefacto preparado para aportar evidencia puede respaldar ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 y las expectativas de gobernanza de COBIT 2019.
| Marco | Qué respalda el registro | Evidencia esperada por auditores o evaluadores |
|---|---|---|
| ISO/IEC 27001:2022 | Partes interesadas, requisitos legales, contacto con autoridades, gestión de incidentes, gobernanza de proveedores, continuidad y recopilación de evidencia | Alcance, Declaración de Aplicabilidad, registro, aprobaciones, historial de revisión, registros de ejercicios de mesa y registros de incidentes |
| NIS2 | Contacto con CSIRT o autoridad competente, notificación escalonada de incidentes significativos, responsabilidad proactiva de la dirección y coordinación de la cadena de suministro | Decisión sobre la obligación de notificar, evidencia de alerta temprana de 24 horas, evidencia de notificación de 72 horas, informe final y supervisión del Consejo de Administración |
| DORA | Notificación a la autoridad competente, clasificación de incidentes, comunicación de incidentes graves de TIC, coordinación de terceros de TIC y comunicación de crisis | Registros de informes iniciales, intermedios y finales, clasificación de gravedad, registro de proveedores y registros de pruebas de continuidad |
| GDPR | Flujo de trabajo de notificación a la autoridad de protección de datos, escalado del DPO, evaluación de violación de datos personales y responsabilidad proactiva | Evaluación de violación de datos, análisis del rol de responsable o encargado del tratamiento, contacto de la autoridad de protección de datos, avisos presentados y decisiones de comunicación a interesados |
| NIST CSF 2.0 | Resultados GOVERN para partes interesadas, obligaciones, roles, política, supervisión y gestión del riesgo de la cadena de suministro | Perfil actual, perfil objetivo, análisis de brechas, plan de acción e hitos (POA&M), mapa de partes interesadas y evidencia de coordinación con proveedores |
| COBIT 2019 | Gobernanza de necesidades de partes interesadas, riesgo, cumplimiento, gestión de incidentes y acuerdos con terceros | RACI, evidencia de desempeño de procesos, supervisión de controles, registros de aseguramiento y evidencia de revisión por la dirección |
NIST CSF 2.0 es especialmente útil como capa de integración. Su función GOVERN espera que las organizaciones comprendan partes interesadas, obligaciones legales y regulatorias, servicios críticos, dependencias, apetito de riesgo, roles, políticas, supervisión y riesgo de proveedores. Sus perfiles CSF ayudan a las organizaciones a documentar un perfil actual, definir un perfil objetivo, analizar brechas y crear un plan de acción priorizado. Un registro de contactos regulatorios puede ser evidencia concreta que cierre la brecha entre la gobernanza de incidentes actual y la objetivo.
Para la cadena de suministro, NIST CSF 2.0 espera que proveedores, clientes y socios tengan roles y responsabilidades de ciberseguridad definidos, que se conozca la criticidad de los proveedores, que los requisitos de ciberseguridad se incorporen en acuerdos, que se evalúen los riesgos de proveedores y que los proveedores relevantes se incluyan en la planificación, respuesta y recuperación ante incidentes. Esto se mapea directamente con el riesgo de terceros de TIC de DORA y las expectativas de cadena de suministro de NIS2.
Cómo auditores y supervisores probarán el mismo registro
Un registro bien mantenido se examinará de forma diferente según la perspectiva del revisor.
Un auditor de ISO/IEC 27001:2022 empezará por el alcance y las partes interesadas. Preguntará cómo identificó la organización las autoridades aplicables, obligaciones legales, deberes contractuales de notificación y dependencias externalizadas. Después trazará el registro hasta la Declaración de Aplicabilidad, el plan de respuesta a incidentes, el plan de continuidad del negocio y la conservación de evidencia. Puede muestrear un contacto y pedir prueba de la última validación.
Un evaluador NIS2 se centrará en si la entidad ha identificado el CSIRT o autoridad competente correctos y si los umbrales de incidente significativo están operativizados. Buscará un proceso capaz de respaldar alerta temprana de 24 horas, notificación de 72 horas e informe final. También revisará la supervisión del órgano de dirección, porque el Artículo 20 de NIS2 convierte la gobernanza de la ciberseguridad en una responsabilidad de liderazgo.
Un supervisor DORA o un equipo de auditoría interna probará si el registro respalda la gestión de incidentes, la clasificación, la notificación de incidentes graves relacionados con las TIC, la comunicación de crisis, la información a la Alta Dirección, la coordinación con proveedores y la recuperación operativa. Puede preguntar si existen contactos para proveedores terceros de servicios de TIC que respaldan funciones críticas o importantes y si las obligaciones de comunicación están reflejadas en contratos.
Un auditor GDPR o una revisión del DPO se centrará en la evaluación de violaciones de datos personales. Preguntará si el DPO y los contactos legales de privacidad participan desde el inicio, si los roles de responsable y encargado del tratamiento están claros, si se identifica la autoridad de control correcta y si se registran las decisiones de comunicación a los interesados.
Un evaluador NIST CSF tratará el registro como evidencia de resultados GOVERN: expectativas de partes interesadas, obligaciones legales, roles, políticas, supervisión y riesgo de la cadena de suministro. Un auditor COBIT 2019 o de estilo ISACA examinará si las necesidades de partes interesadas se traducen en prácticas de gobernanza y gestión, si las responsabilidades están asignadas y si se supervisa el desempeño del proceso.
El mismo artefacto debe superar todas estas preguntas. Por eso el registro debe estar controlado, tener propietario, revisarse, protegerse mediante control de acceso y probarse.
Patrones comunes de fallo en la gobernanza de contactos
Las organizaciones rara vez fallan porque no tengan ningún contacto. Fallan porque no se puede confiar en los contactos durante un incidente real.
| Patrón de fallo | Por qué genera riesgo | Corrección práctica |
|---|---|---|
| El contacto del regulador es solo una página web pública | Los equipos pierden tiempo buscando la ruta real de notificación | Validar portal, correo electrónico, teléfono y canales alternativos |
| El DPO no tiene suplente | Las decisiones de privacidad fuera de horario se bloquean | Asignar y formar contactos suplentes de privacidad |
| Los contactos de proveedores están ocultos en contratos | Los equipos de incidentes no pueden escalar rápidamente | Extraer contactos de seguridad, contractuales y de soporte al registro |
| La lista de continuidad del negocio y recuperación ante desastres y la matriz de respuesta a incidentes no coinciden | Los equipos siguen rutas de escalado contradictorias | Conciliar ambos registros mediante un propietario y un ciclo de revisión |
| No existe fecha de última revisión | Los auditores no pueden verificar el mantenimiento | Añadir fechas de validación, validadores y evidencia de aprobación |
| Se omiten las fuerzas y cuerpos de seguridad | La respuesta ante ransomware o extorsión carece de soporte probatorio | Añadir contactos de ciberdelincuencia y preservación de evidencia |
| Los plazos de NIS2 y DORA no están integrados | Los flujos centrados solo en GDPR omiten obligaciones sectoriales | Mapear desencadenantes a NIS2, DORA, GDPR y contratos |
| El registro solo está en línea en sistemas afectados | Una indisponibilidad o ransomware bloquea el acceso | Mantener rutas de acceso offline protegidas y alternativas |
| Las notificaciones no se conservan | Cumplimiento no puede demostrar qué se presentó | Conservar avisos, acuses de recibo, aprobaciones y correspondencia en el SGSI |
| Los ejercicios de mesa omiten la notificación | El proceso sigue siendo teórico | Probar búsqueda de contactos, aprobación, presentación y conservación de evidencia |
Cada problema genera un hallazgo de auditoría previsible. La remediación es igualmente previsible: alinear el registro con la política, integrarlo en la respuesta a incidentes, validar contactos, probar el flujo de trabajo y conservar evidencia.
Responsabilidad proactiva del Consejo y de la dirección
NIS2 exige que los órganos de dirección aprueben medidas de gestión de riesgos de ciberseguridad, supervisen su implementación y sigan formación. El Artículo 5 de DORA hace que el órgano de dirección sea responsable de definir, aprobar, supervisar y asumir la responsabilidad de los acuerdos de riesgo de TIC, incluidas políticas, roles, continuidad del negocio de TIC, planes de respuesta y recuperación, política de terceros de TIC, concienciación y formación. ISO/IEC 27001:2022 exige que el liderazgo alinee el SGSI con la dirección estratégica, proporcione recursos, asigne responsabilidades y apoye la mejora continua.
El Consejo de Administración no necesita memorizar el teléfono del CSIRT. Sí necesita aseguramiento de que existe preparación para la notificación, que tiene propietario, que se prueba y que se revisa.
Un paquete trimestral para la dirección debe incluir:
- Estado de revisión del registro de contactos regulatorios
- Cambios en autoridades, supervisores o jurisdicciones aplicables
- Deficiencias abiertas en contactos de incidentes de proveedores
- Resultados de ejercicios de mesa y lecciones aprendidas
- Evidencia de pruebas del flujo de aprobación de notificaciones
- Métricas sobre el tiempo desde la detección hasta la decisión de escalado
- Actualizaciones de obligaciones de notificación de NIS2, DORA, GDPR y contratos
- Riesgos residuales que requieren aceptación por la dirección
Esto desplaza el registro de una hoja de cálculo operativa a un control de gobernanza.
Cómo ayuda Clarysec a construir una gobernanza de contactos preparada para auditoría
Clarysec conecta texto de políticas, secuenciación de implementación y mapeo de controles entre marcos en una única ruta de evidencia.
La biblioteca de políticas define responsabilidad proactiva y registros requeridos. La Política de Respuesta a Incidentes establece expectativas de escalado, aprobación de notificaciones y conservación. La Política de Cumplimiento Legal y Normativo exige registrar términos de cumplimiento como los plazos de notificación de brechas. La Política de Continuidad del Negocio y Recuperación ante Desastres exige listas de contactos actualizadas y planes alternativos de comunicación. La Política de Seguridad de Terceros y Proveedores exige contactos de proveedores asignados.
Zenith Blueprint proporciona la secuenciación de implementación. El paso 5 de la fase Fundamentos y liderazgo del SGSI aborda comunicación, concienciación y competencia, incluidas partes interesadas externas, tiempos, roles comunicadores y planes de comunicación. El paso 22 incorpora contactos de autoridades y grupos de interés especial en los controles organizativos. El paso 23 valida gestión de incidentes, decisiones sobre eventos notificables, preservación de evidencia forense y lecciones aprendidas.
La guía Zenith Controls proporciona la brújula de cumplimiento cruzado. Muestra cómo el contacto con autoridades se conecta con la planificación de incidentes, notificación de eventos, inteligencia de amenazas, grupos de interés especial y respuesta a incidentes. También muestra por qué la notificación de eventos de seguridad de la información y la preparación de incidentes son acompañantes necesarios. Un registro de contactos solo es eficaz si los eventos se notifican y evalúan con suficiente antelación como para activarlo.
Para pymes, esto significa un registro ágil pero defendible, responsabilidad clara y evidencia proporcional. Para empresas, significa integración entre jurisdicciones, entidades legales, unidades de negocio, proveedores, reguladores, supervisores, CSIRT e informes al Consejo de Administración.
Próximos pasos: construye el registro antes de que empiece el reloj
Si tu organización se está preparando para NIS2, DORA, preparación para la notificación de violaciones de datos bajo GDPR o certificación ISO/IEC 27001:2022, no esperes a un incidente en producción para descubrir si tu gobernanza de contactos funciona.
Empieza con cuatro acciones esta semana:
- Crea o actualiza tu registro de contactos regulatorios para CSIRT, autoridades competentes, supervisores financieros, autoridades de protección de datos, fuerzas y cuerpos de seguridad, proveedores críticos y roles internos de escalado.
- Mapea cada contacto con un desencadenante, propietario, ruta de aprobación, requisito de evidencia y ubicación de conservación.
- Ejecuta un ejercicio de mesa centrado en decisiones de notificación, contacto con autoridades, coordinación con proveedores y conservación de evidencia.
- Actualiza los registros del SGSI, incluido el Registro de Cumplimiento, la guía operativa de respuesta a incidentes, las listas de contactos de continuidad del negocio y los registros de contactos de proveedores.
Clarysec puede ayudarte a implementarlo rápidamente usando Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls y nuestras bibliotecas de políticas para pymes y empresas, incluidas la Política de Respuesta a Incidentes Política de Respuesta a Incidentes, la Política de Cumplimiento Legal y Normativo Política de Cumplimiento Legal y Normativo - pyme, la Política de Continuidad del Negocio y Recuperación ante Desastres Política de Continuidad del Negocio y Recuperación ante Desastres y la Política de Seguridad de Terceros y Proveedores Política de Seguridad de Terceros y Proveedores - pyme.
El reloj de 24 horas no se detiene mientras tu equipo busca el contacto correcto. Construye el registro ahora, pruébalo y conviértelo en parte de tu evidencia ISO antes de que el próximo incidente decida el cronograma por ti.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
