NIST CSF 2.0 vs ENS vs ISO 27001: Comparativa de Marcos de Ciberseguridad
Comparativa técnica entre NIST Cybersecurity Framework 2.0, ENS (Esquema Nacional de Seguridad) e ISO 27001:2022. Análisis de funciones, controles, certificación, costes y estrategia combinada de implementación para organizaciones en España y Europa.
Tres marcos, un mismo objetivo
La ciberseguridad corporativa no se construye improvisando controles. Se construye sobre marcos que proporcionan estructura, lenguaje común y criterios verificables. Las tres referencias más relevantes para organizaciones que operan en España y Europa son el NIST Cybersecurity Framework 2.0, el Esquema Nacional de Seguridad (ENS) y la norma ISO/IEC 27001:2022.
Cada uno nació en un contexto diferente, con alcance y obligatoriedad distintos. Pero lejos de ser incompatibles, son complementarios. El problema es que muchas organizaciones los implementan como silos, duplicando esfuerzos y generando fatiga de compliance. Este artículo analiza en profundidad cada marco, compara sus elementos clave y propone una estrategia unificada de implementación.
NIST CSF 2.0: la referencia estratégica global
El NIST Cybersecurity Framework fue publicado originalmente en 2014 por el National Institute of Standards and Technology de Estados Unidos, inicialmente orientado a infraestructuras críticas. La versión 2.0, publicada en febrero de 2024, amplía su alcance a cualquier tipo de organización, independientemente de su tamaño o sector.
Las 6 funciones core
La novedad más significativa de CSF 2.0 es la incorporación de la función Govern (Gobernar), que se sitúa en el centro del framework y conecta con las cinco funciones originales:
Govern (GV). Establece y supervisa la estrategia de gestión de riesgos de ciberseguridad. Incluye: contexto organizacional, estrategia de riesgo, roles y responsabilidades, políticas, supervisión y gestión del riesgo de cadena de suministro. Esta función reconoce que la ciberseguridad es una responsabilidad de la dirección, no solo del equipo técnico.
Identify (ID). Comprensión del contexto de ciberseguridad de la organización. Inventario de activos, entorno de negocio, evaluación de riesgos y estrategia de gestión de riesgos. Sin un inventario completo de activos, cualquier estrategia de protección tiene ángulos muertos.
Protect (PR). Implementación de salvaguardas para garantizar la entrega de servicios críticos. Gestión de identidades y accesos, formación y concienciación, seguridad de datos, procesos y procedimientos de protección, mantenimiento y tecnología de protección.
Detect (DE). Desarrollo e implementación de actividades para identificar la ocurrencia de eventos de ciberseguridad. Anomalías y eventos, monitorización continua y procesos de detección. Esta función conecta directamente con las capacidades SOC.
Respond (RS). Desarrollo e implementación de actividades de respuesta ante incidentes detectados. Planificación de respuesta, comunicaciones, análisis, mitigación y mejora continua.
Recover (RC). Desarrollo e implementación de actividades para restaurar capacidades afectadas por un incidente. Planificación de recuperación, mejoras y comunicaciones durante la recuperación.
Estructura jerárquica
CSF 2.0 organiza sus elementos en cuatro niveles: Functions (las 6 descritas), Categories (agrupaciones de resultados dentro de cada función), Subcategories (resultados específicos) e Implementation Examples (ejemplos prácticos de implementación). El framework no prescribe controles técnicos específicos, sino resultados que la organización debe alcanzar.
Perfiles organizacionales
Otra novedad de CSF 2.0 son los perfiles organizacionales, que permiten a cada entidad definir su estado actual (Current Profile) y su estado objetivo (Target Profile) respecto a cada subcategoría. La diferencia entre ambos perfiles define la hoja de ruta de mejora.
ENS: el marco obligatorio en España
El Esquema Nacional de Seguridad (Real Decreto 311/2022) es el marco normativo de obligado cumplimiento para las administraciones públicas españolas y las empresas que les prestan servicios o gestionan su información. A diferencia de NIST CSF, que es voluntario, el ENS tiene fuerza de ley.
Estructura del ENS
El ENS se organiza en torno a tres ejes principales:
Principios básicos. Seguridad como proceso integral, gestión de riesgos basada en las dimensiones DICAT (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad), prevención, detección, respuesta y conservación.
Requisitos mínimos. Organización e implantación del proceso de seguridad, análisis y gestión de riesgos, gestión de personal, profesionalidad, autorización y control de accesos, protección de instalaciones, adquisición de productos y contratación de servicios, mínimo privilegio, integridad del sistema, protección de la información almacenada y en tránsito, protección de los servicios, y monitorización del sistema.
Medidas de seguridad (Anexo II). 73 medidas agrupadas en tres marcos: Organizativo (org), Operacional (op) y Medidas de protección (mp). Cada medida se clasifica según aplique a nivel Bajo, Medio o Alto.
Categorización y niveles
El ENS establece tres niveles de seguridad (Bajo, Medio, Alto) determinados por el impacto potencial de un incidente sobre las cinco dimensiones DICAT. El nivel más alto de cualquiera de las dimensiones determina la categoría global del sistema. Para ENS Alto, todas las medidas del Anexo II son obligatorias sin excepciones.
Certificación
La certificación ENS la emiten entidades acreditadas por ENAC (Entidad Nacional de Acreditación). El proceso incluye auditoría documental, auditoría técnica in situ, análisis de no conformidades y emisión de certificado con validez de dos años.
ISO 27001:2022: el estándar internacional de gestión
ISO/IEC 27001:2022 es el estándar internacional para sistemas de gestión de seguridad de la información (SGSI). Publicado por ISO (International Organization for Standardization) e IEC, su alcance es global y aplica a cualquier tipo de organización.
Estructura del estándar
ISO 27001 se divide en dos partes: las cláusulas principales (4 a 10) que definen los requisitos del SGSI, y el Anexo A que contiene los controles de referencia.
Cláusulas principales:
- 4: Contexto de la organización
- 5: Liderazgo
- 6: Planificación (incluyendo evaluación y tratamiento de riesgos)
- 7: Soporte (recursos, competencia, concienciación, comunicación, documentación)
- 8: Operación
- 9: Evaluación del desempeño (monitorización, auditoría interna, revisión por dirección)
- 10: Mejora (no conformidades, acciones correctivas, mejora continua)
Anexo A: 93 controles
La versión 2022 reorganizó los controles de 114 (en 14 dominios) a 93 controles agrupados en 4 temas:
- Organizacionales (37 controles): políticas, roles, inventario de activos, clasificación, gestión de proveedores
- De personas (8 controles): selección, formación, proceso disciplinario, responsabilidades tras finalización
- Físicos (14 controles): perímetros, control de acceso físico, protección contra amenazas ambientales
- Tecnológicos (34 controles): autenticación, cifrado, protección contra malware, gestión de vulnerabilidades, logging, seguridad de red
Certificación
La certificación ISO 27001 la realizan organismos acreditados internacionalmente. Consta de dos fases: auditoría de Fase 1 (revisión documental) y auditoría de Fase 2 (verificación de implementación). El certificado tiene validez de tres años con auditorías de seguimiento anuales.
Tabla comparativa: NIST CSF 2.0 vs ENS vs ISO 27001
| Criterio | NIST CSF 2.0 | ENS (RD 311/2022) | ISO 27001:2022 |
|---|---|---|---|
| Origen | NIST (EE.UU.) | Gobierno de España | ISO/IEC (internacional) |
| Año versión actual | 2024 | 2022 | 2022 |
| Carácter | Voluntario | Obligatorio (sector público ES) | Voluntario (certificable) |
| Alcance | Cualquier organización | Administración pública + proveedores | Cualquier organización |
| Estructura | 6 funciones, categorías, subcategorías | 3 marcos (org/op/mp), 73 medidas | 7 cláusulas + 93 controles Anexo A |
| Certificación | No (autoevacuación con perfiles) | Sí (ENAC, 2 años) | Sí (organismos acreditados, 3 años) |
| Enfoque | Resultados y gestión de riesgo | Medidas técnicas prescriptivas | Sistema de gestión (PDCA) |
| Gobernanza | Función Govern explícita | Principios básicos y org.1-org.4 | Cláusulas 5 (Liderazgo) y 6 (Planificación) |
| Gestión de riesgos | Core del framework | Dimensiones DICAT | Cláusula 6.1.2 (proceso de evaluación) |
| Cadena de suministro | GV.SC (subcategoría dedicada) | mp.eq.1, mp.eq.2 (adquisición) | A.5.19-A.5.23 (relación proveedores) |
| Coste estimado implantación | Bajo (sin certificación) | Medio-alto (certificación obligatoria) | Alto (certificación + mantenimiento) |
| Reconocimiento | Global (referencia de facto) | España + contratación pública UE | Global (requisito comercial frecuente) |
Mapping NIST CSF 2.0 a medidas ENS
La correspondencia entre las funciones de NIST CSF 2.0 y las medidas del ENS no es uno a uno, pero existe un alineamiento claro que permite implementar ambos marcos de forma coordinada.
Govern (GV) a ENS
La función Govern mapea directamente a las medidas organizativas del ENS:
- GV.OC (Contexto organizacional) corresponde a org.1 (Política de seguridad) y org.2 (Normativa de seguridad)
- GV.RM (Estrategia de riesgos) corresponde a org.3 (Procedimientos de seguridad) y la categorización del sistema (Anexo I)
- GV.RR (Roles y responsabilidades) corresponde a org.1 y la designación del Responsable de Seguridad
- GV.SC (Cadena de suministro) corresponde a mp.eq.1 (Adquisición de productos) y mp.eq.2 (Contratación de servicios)
Identify (ID) a ENS
- ID.AM (Gestión de activos) corresponde a op.pl.1 (Análisis de riesgos) que requiere inventario de activos
- ID.RA (Evaluación de riesgos) corresponde a op.pl.1 y la metodología MAGERIT recomendada por el CCN
Protect (PR) a ENS
- PR.AC (Gestión de identidades) corresponde a op.acc (controles de acceso, op.acc.1 a op.acc.7)
- PR.AT (Formación) corresponde a mp.per.3 (Concienciación) y mp.per.4 (Formación)
- PR.DS (Seguridad de datos) corresponde a mp.info (protección de la información, mp.info.1 a mp.info.9)
- PR.PT (Tecnología de protección) corresponde a mp.com (protección de comunicaciones) y mp.si (protección de soportes)
Detect (DE) a ENS
- DE.CM (Monitorización continua) corresponde a op.mon.1 (Detección de intrusión) y op.mon.2 (Sistema de métricas)
- DE.AE (Análisis de anomalías) corresponde a op.mon.1 y la gestión de registros de actividad (op.exp.8)
Respond (RS) a ENS
- RS.MA (Gestión de incidentes) corresponde a op.exp.7 (Gestión de incidentes) y la notificación al CCN-CERT
- RS.CO (Comunicaciones) corresponde a los requisitos de notificación al CCN-CERT y, si aplica NIS2, al CSIRT de referencia
Recover (RC) a ENS
- RC.RP (Planificación de recuperación) corresponde a op.cont.1 (Análisis de impacto), op.cont.2 (Plan de continuidad) y op.cont.3 (Pruebas periódicas)
Mapping NIST CSF 2.0 a ISO 27001 Anexo A
La correspondencia entre NIST CSF 2.0 e ISO 27001:2022 es más directa, ya que ambos marcos comparten una orientación basada en gestión de riesgos.
Govern (GV)
- GV.OC mapea a A.5.1 (Políticas de seguridad de la información) y Cláusula 4 (Contexto de la organización)
- GV.RM mapea a Cláusula 6.1 (Acciones para abordar riesgos) y A.5.2 (Roles de seguridad)
- GV.RR mapea a Cláusula 5.3 (Roles organizacionales) y A.5.2
- GV.SC mapea a A.5.19 a A.5.23 (Seguridad en relaciones con proveedores)
Identify (ID)
- ID.AM mapea a A.5.9 (Inventario de activos), A.5.10 (Uso aceptable), A.5.11 (Devolución de activos)
- ID.RA mapea a Cláusula 6.1.2 (Evaluación de riesgos) y A.5.12 (Clasificación de información)
Protect (PR)
- PR.AC mapea a A.5.15-A.5.18 (Control de acceso), A.8.2-A.8.5 (Autenticación, restricción de acceso)
- PR.AT mapea a A.6.3 (Concienciación, educación y formación)
- PR.DS mapea a A.8.10 (Borrado de información), A.8.11 (Enmascaramiento), A.8.24 (Criptografía)
- PR.PT mapea a A.8.20 (Seguridad de red), A.8.21 (Seguridad servicios de red), A.8.22 (Segregación de red)
Detect (DE)
- DE.CM mapea a A.8.15 (Logging), A.8.16 (Actividades de monitorización)
- DE.AE mapea a A.8.16 y A.5.25 (Evaluación y decisión sobre eventos)
Respond (RS)
- RS.MA mapea a A.5.24 (Planificación de gestión de incidentes), A.5.26 (Respuesta a incidentes), A.5.27 (Aprendizaje)
- RS.CO mapea a A.5.5 (Contacto con autoridades) y A.5.6 (Contacto con grupos de interés)
Recover (RC)
- RC.RP mapea a A.5.29 (Seguridad durante disrupciones) y A.5.30 (Preparación de TIC para continuidad de negocio)
Matriz de decisión: cuándo usar cada marco
No todos los marcos aplican igual a todas las organizaciones. La decisión depende de factores concretos: obligaciones legales, sector, clientes, presupuesto y madurez de seguridad.
Escenario 1: empresa que trabaja con la administración pública española
Obligatorio: ENS. Sin certificación ENS del nivel correspondiente, la empresa no puede presentarse a licitaciones públicas ni prestar servicios a la administración. Es el primer marco a implementar.
Recomendado: ISO 27001. Refuerza la posición competitiva en licitaciones (muchos pliegos lo valoran como criterio de adjudicación). El solapamiento con ENS reduce el esfuerzo marginal a un 30-40% adicional.
Complementario: NIST CSF 2.0. Útil como marco estratégico para estructurar la gobernanza (función Govern) y para comunicar el estado de madurez a la dirección.
Escenario 2: empresa tecnológica con clientes internacionales
Prioritario: ISO 27001. Es el estándar que piden clientes fuera de España, especialmente en SaaS B2B, fintech y healthtech. Muchos contratos exigen certificación ISO 27001 como requisito.
Complementario: NIST CSF 2.0. Proporciona una capa estratégica que ISO 27001 no cubre con la misma claridad, especialmente en gestión de riesgo de cadena de suministro y perfiles organizacionales.
Condicional: ENS. Solo si la empresa trabaja o planea trabajar con la administración pública española.
Escenario 3: startup en fase temprana
Prioritario: NIST CSF 2.0. Sin coste de certificación, proporciona estructura sin burocracia. Permite definir un perfil objetivo y avanzar incrementalmente. La función Govern es especialmente valiosa para startups que necesitan demostrar gobernanza a inversores sin el peso de una certificación formal.
A medio plazo: ISO 27001. Cuando los clientes lo exijan o cuando se busque financiación institucional.
Escenario 4: administración pública
Obligatorio: ENS. Sin discusión. El nivel (Bajo, Medio, Alto) depende de la categorización del sistema según dimensiones DICAT.
Recomendado: NIST CSF 2.0 como marco complementario para la función de gobernanza y la comunicación del estado de madurez a responsables políticos.
Estrategia combinada de implementación
Para organizaciones que necesitan cumplir con dos o tres marcos, la clave es evitar la duplicación. Aquí se describe una estrategia de implementación unificada en cinco fases.
Fase 1: gobernanza y contexto (semanas 1-4)
Definir el alcance del SGSI (ISO 27001), la categorización del sistema (ENS) y el perfil organizacional (NIST CSF 2.0) de forma conjunta. Un solo ejercicio de análisis de contexto alimenta los tres marcos. Designar al Responsable de Seguridad (ENS) como también el responsable del SGSI (ISO 27001).
Entregable: documento de alcance unificado, política de seguridad que cubra los requisitos de los tres marcos, y perfil actual NIST CSF.
Fase 2: análisis de riesgos unificado (semanas 5-8)
Realizar un análisis de riesgos que cumpla simultáneamente con MAGERIT (recomendación ENS), con la Cláusula 6.1.2 de ISO 27001 y con la función Identify de NIST CSF 2.0. Herramientas como PILAR (del CCN) generan outputs compatibles con los tres marcos.
Entregable: inventario de activos, valoración de riesgos, plan de tratamiento de riesgos con controles mapeados a ENS (medidas Anexo II), ISO 27001 (controles Anexo A) y NIST CSF (subcategorías).
Fase 3: implementación de controles (semanas 9-20)
Implementar los controles una sola vez, documentando la cobertura en los tres marcos. Un control de acceso basado en MFA, por ejemplo, cubre simultáneamente op.acc.5 (ENS), A.8.5 (ISO 27001) y PR.AC (NIST CSF). El truco es mantener una matriz de trazabilidad que muestre cada control y los requisitos que satisface en cada marco.
Entregable: controles implementados, evidencias recopiladas, matriz de trazabilidad cross-framework.
Fase 4: monitorización y operación (semanas 21-24)
Establecer los procesos operativos: monitorización continua (SOC/SIEM), gestión de incidentes, gestión de cambios, continuidad de negocio. Estos procesos son comunes a los tres marcos con diferencias menores en nomenclatura y requisitos de notificación.
Entregable: procedimientos operativos, plan de continuidad, acuerdos de notificación (CCN-CERT para ENS, CSIRT para NIS2 si aplica).
Fase 5: auditoría y certificación (semanas 25-30)
Primero auditoría interna (requisito de ISO 27001 y buena práctica para ENS). Después, auditoría externa de ENS (si aplica) y de ISO 27001 en la misma ventana temporal para aprovechar la disponibilidad de evidencias.
Entregable: certificaciones obtenidas, perfil objetivo NIST CSF actualizado, plan de mejora continua.
Herramientas de soporte para el mapping
Varias herramientas facilitan la gestión integrada de múltiples marcos:
PILAR (CCN). Herramienta oficial del CCN para análisis de riesgos según MAGERIT. Genera outputs compatibles con ENS. Gratuita para administraciones públicas.
NIST CSF 2.0 Reference Tool. Herramienta interactiva del NIST para explorar las funciones, categorías y subcategorías del framework, con mappings a otros estándares (NIST SP 800-53, CIS Controls, COBIT).
OpenSCAP / ComplianceAsCode. Proyectos open source que automatizan la verificación técnica de controles. Incluyen perfiles para NIST y parcialmente para ENS.
GRC platforms (Eramba, SimpleRisk). Plataformas open source de GRC que permiten gestionar múltiples frameworks con matrices de trazabilidad cruzada.
Recursos y referencias
- NIST CSF 2.0 (texto completo): Framework publicado en febrero de 2024, incluyendo guías de implementación y herramientas de referencia.
- RD 311/2022 (BOE): Texto consolidado del Esquema Nacional de Seguridad actualizado.
- ISO/IEC 27001:2022: Estándar internacional para sistemas de gestión de seguridad de la información.
- Guías CCN-STIC (CCN-CERT): Serie de guías técnicas del CCN para implementación del ENS, incluyendo la guía 804 de ENS y la 825 de certificación.
- NIST CSF 2.0 Mappings: Crosswalk oficial del NIST entre CSF 2.0 y otros frameworks (SP 800-53, CIS Controls, ISO 27001).
- Herramienta PILAR: Análisis y gestión de riesgos según metodología MAGERIT, compatible con ENS.
- ENISA Cybersecurity Framework mapping: Mapeo europeo de marcos de ciberseguridad incluyendo NIST CSF y NIS2.
Preguntas frecuentes
Artículos relacionados
ENS Alto: Requisitos Técnicos de Ciberseguridad para Organizaciones
ISO 27001:2022: Sistema de Gestión de Seguridad de la Información
NIS2: Nueva Directiva Europea de Ciberseguridad y sus Obligaciones (2024-2026)
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.