¿Quién decide realmente si su auditor está cualificado? Por qué difieren las normas y de ellas depende que apruebe su auditoría.
Si está a cargo del cumplimiento, la pregunta es si su ISO 27001, Si un auditor NIS 2 está "cualificado" puede parecer un enigma envuelto en burocracia. La realidad es diferente a las listas de verificación que el marketing de productos pretende hacer creer: la elegibilidad del auditor es un mosaico de factores nacionales, Decisiones sectoriales y, ocasionalmente, de las autoridades localesNo existe una lista centralizada de "superauditores" de ENISA. En cambio, las autoridades, desde Berlín hasta Ámsterdam, o desde París hasta Praga, mantienen sus propios registros, establecen condiciones de entrada específicas, aplican interpretaciones políticas y exigen renovaciones periódicas. Lo que facilita la entrada de un auditor en un país puede dejarlo fuera, o incluso ignorado, en otro (Noerr).
Un certificado que garantiza la confianza de una autoridad puede no significar nada para su vecina: cuando se trata de la aceptación de una auditoría, solo cuenta el juego local.
La autorización suele estar controlada por una combinación de agencias nacionales, comisiones sectoriales y, en el caso de las industrias reguladas, un conjunto adicional de normas verticales específicas. Confiar únicamente en el certificado de "Auditor Líder" de un auditor, emitido por la ISO o por un organismo global, se ha convertido en una apuesta arriesgada: a veces, una credencial es bienvenida en una jurisdicción, pero no cumple con el escrutinio legal en otra. La BSI alemana, la NCSC holandesa y la ANSSI francesa operan con sus propias listas, auditorías y ciclos de validación. Si su auditor no está presente ni acreditado en el registro correcto, el resultado de su auditoría está en riesgo, independientemente de su reputación internacional o sus certificados. Para una doble cobertura en ISO 27001 y NIS 2Los auditores deben validarse repetidamente en cada geografía y sector, un proceso que es tan continuo como político.
Registros Nacionales: Más que una Formalidad
Muchos países de la UE cuentan con registros oficiales, controlados, actualizados y regulados. sectores críticos (energía, telecomunicaciones, sanidad, banca)Estas listas suelen ser los principales obstáculos: el nombre del auditor debe aparecer, las credenciales deben estar activas y el reconocimiento del sector debe estar vigente. Para las organizaciones multinacionales, esto crea un obstáculo adicional: lo que funciona para un país o sector vertical no se aplica sin documentación nueva. Incluso dentro de un país, las divisiones intersectoriales implican que un auditor registrado para el sector salud podría no ser aceptado en el... sector financiero a menos que se registren y evalúen por separado.
Auditores con doble formación: poco comunes y nunca la opción predeterminada
A pesar de la creciente demanda, los auditores con cualificaciones ISO 27001 y NIS 2, además de estar al día en todos los registros sectoriales y nacionales necesarios, son escasos y rara vez obtienen reconocimiento por casualidad. Estar registrado en una autoridad no garantiza la aceptación en otra. Antes de contratar a un auditor, especialmente para proyectos transfronterizos o intersectoriales, exija una certificación escrita y vigente para cada registro pertinente. Esta diligencia debida aumentará sus probabilidades de aprobar una auditoría más que cualquier marca o décadas de experiencia autocertificada.
Contacto¿Una o dos auditorías? Cómo evitar la redundancia cuando los marcos de trabajo chocan
Es una pregunta sensata: "¿Podemos lograr el cumplimiento de las normas ISO 27001 y NIS 2 con una sola auditoría?". Para la mayoría de las organizaciones, la respuesta honesta es: "Solo si se armoniza cuidadosamente la documentación y el auditor cuenta con el reconocimiento genuino de ambas normas por parte de todas las autoridades competentes". Sin una doble cualificación y una evidencia mapeada y multimarco, se corre el riesgo de pasar por dos ciclos de auditoría diferentes, cada uno con su propia documentación, entrevistas e interpretaciones. Incluso cuando los controles y los resultados se solapan, la legislación local o las directrices sectoriales suelen exigir comparaciones explícitas, mapeo de índices y expedientes específicos para cada régimen (NCSC UK).
Las auditorías superpuestas no sólo son una pérdida de tiempo, sino que duplican los costos y agotan a los equipos más necesarios para la seguridad continua.
Planificación temprana: verificar, no suponer
Antes de contratar a un auditor, inicie un diálogo con su socio de certificación ISO y con las autoridades locales NIS 2. Aclare dónde se puede aprovechar la evidencia, dónde se debe mapear o traducir la documentación y, fundamentalmente, cómo la guía sectorial interpreta la cobertura de auditoría "aceptable". En infraestructuras críticas, sanidad o banca, es de esperar que los reguladores insistan en auditorías sectoriales y específicas para cada contexto. ¿Cuál es la forma más rápida de frustrar una auditoría? Asumir que basta con un solo certificado, solo para enfrentarse a un rechazo tras semanas de preparación. Obtenga la aprobación explícita por escrito de su auditor en todos los registros pertinentes; deben esperar y aceptar el escrutinio.
| Fase | Expectativa | Realidad: | Lo Obras |
|---|---|---|---|
| Compromiso previo | “Una sola auditoría servirá para ambos marcos”. | Las credenciales y los registros rara vez están alineados. | Verificar los requisitos únicos de ambas normas. |
| Planificación de auditoría | “Nuestra evidencia ISO 27001 será aceptada”. | Normas sectoriales y las plantillas se anulan. | Obtenga orientación directamente de los reguladores. |
| Engagement | “Las plantillas nos ayudarán a superar el problema con facilidad”. | Las jurisdicciones exigen cruces peatonales mapeados. | Cree y pruebe sus propios índices de cumplimiento. |
¿Por qué el patchwork? Las reglas locales prevalecen
ENISA proporciona directrices, realiza revisiones y difunde buenas prácticas, pero no tiene autoridad legal sobre el registro nacional o sectorial. La BSI alemana, el NCSC neerlandés y sus homólogos gestionan sus propios procesos de validación, establecen sus propios ciclos de actualización de registros, exigen su propia documentación y se reservan el derecho a rechazar cualquier certificado no validado específicamente bajo su marca (ENISA). Incluso dentro de la UE, el reconocimiento mutuo es poco frecuente; la transferencia intersectorial es prácticamente inaudita. Los equipos que buscan optimizar deben supervisar todos los registros pertinentes, y la revalidación de credenciales se convierte en una tarea recurrente.
Domine NIS 2 sin el caos de las hojas de cálculo
Centralice el riesgo, los incidentes, los proveedores y la evidencia en una plataforma limpia.
Atrapado entre líneas: Por qué los requisitos de documentación y control no se sincronizan
Si bien tanto la norma NIS 2 como la ISO 27001 exigen una mejora continua, la recopilación de evidencia y una sólida Gestión sistemática del riesgo, Sus vías de implementación difieren marcadamente en el momento de la aplicación. Las autoridades nacionales pueden exigir informes en su propio formato, plantillas específicas, notificación de incidentes Dentro de plazos específicos de cada país, o incluso demostraciones en vivo. En sectores críticos, la legislación adicional condiciona la madurez y el alcance del control, obligando a los equipos de cumplimiento a gestionar lógicas duales, evidencia cruzada y vocabulario específico del sector.
Los obstáculos que ralentizan o bloquean las auditorías generalmente no son técnicos: son desajustes en la forma en que las autoridades esperan que se organicen las pruebas, los informes y los controles.
Retrasos, disputas y rechazos de auditorías suelen deberse a suposiciones no examinadas, como presentar evidencia ISO 27001 "tal cual" a una auditoría NIS 2, solo para descubrir que sus pruebas no se ajustan a la matriz de informes o documentación que exige el regulador de su sector. Los equipos multinacionales se enfrentan a desafíos aún mayores: tanto el NCSC holandés como el BSI alemán tienen la facultad de establecer plantillas y plazos únicos. Un mapeo deficiente, vínculos de evidencia no documentados o credenciales de registro faltantes son las fuentes más comunes y evitables de sorpresas en el día de la auditoría. Cree índices de mapeo explícitos, mantenga registros de evidencia meticulosos y vincule cada artefacto de prueba con su marco requerido.
Acreditación en acción: asesoramiento de ENISA y opinión de las autoridades locales
El cometido de ENISA es estrictamente consultivo: ofrece orientación, herramientas y centros de recursos para las mejores prácticas. No gestiona registros, emite aprobaciones de auditoría ni media en disputas de credenciales. Esta facultad reside exclusivamente en los guardianes: las autoridades nacionales y sectoriales. Estos organismos establecen sus propias normas de registro, ciclos de actualización y procedimientos de renovación, y se espera que usted se mantenga al día (incluso cuando los cambios son frecuentes u opacos) (Guía ENISA NIS 2).
Alemania vs. Países Bajos: Registro, renovación e impacto en la vida real
- Alemania (BSI): Mantiene un registro central con doble estándar; las aprobaciones transfronterizas, e incluso intersectoriales, son intransferibles. Los auditores deben revalidar periódicamente y demostrar conocimientos actualizados para cada sector vertical al que prestan servicios.
- Países Bajos (NCSC): Emite registros sectoriales; la aprobación extranjera (incluso de países vecinos de la UE) no se acepta automáticamente. La documentación debe actualizarse según sus requisitos específicos, y los plazos de renovación pueden variar según el sector.
Las verificaciones de credenciales se han vuelto tan dinámicas como el propio panorama de amenazas: las listas cambian, las actualizaciones de políticas se propagan por todos los sectores y las empresas deben revisar periódicamente cada aprobación relacionada con la preparación para auditorías. Una sola entrada de registro ausente puede paralizar todo el proceso de auditoría.
Mantenerse actualizado: el cumplimiento como disciplina activa
La gestión de credenciales es ahora un proceso dinámico, no una tarea de "configurar y olvidar". Las organizaciones líderes realizan un seguimiento de las actualizaciones de registros, las fechas de vencimiento y los registros de CPD a través de propietarios dedicados o plataformas automatizadas (KPMG). No hacerlo es un problema emergente. causa principal De auditorías fallidas y sanciones regulatorias. A medida que los requisitos cambian, a menudo con poca antelación, los equipos internos de cumplimiento deben considerar la validación de credenciales como un tema permanente en la agenda. La evidencia digital, los recordatorios y los comprobantes de renovación deben estar listos para presentar en cualquier inspección.
Esté preparado para NIS 2 desde el primer día
Comience con un espacio de trabajo y plantillas comprobadas: simplemente personalice, asigne y listo.
¿Qué hace que un auditor esté "plenamente cualificado"? Va más allá de tener un certificado.
Para que un auditor esté “totalmente calificado” para atender sus necesidades NIS 2 e ISO 27001, tres cosas deben estar probadas, ser actuales y estar adaptadas a su sector y país:
- Un certificado válido de Auditor Líder ISO 27001: Reciente, vigente y emitido por organismo reconocido.
- Presencia actualizada en los registros del sector NIS 2: Incluido en cada jurisdicción y autoridad sectorial relevante para su contexto comercial.
- Desarrollo profesional continuo y documentado: Incluye capacitación basada en escenarios, actualizaciones anuales de registros y referencias directas rastreables a ambos estándares.
Organismos como PECB o AENOR advierten que el estatus “dual” o “completo” no puede convertirse en cumplimiento por defecto; debe mantenerse conscientemente y puede ser rescindido, sin previo aviso, por cualquier autoridad si se retrasan los registros, la asistencia o la renovación.
Estar en el registro es un acto continuo. El vencimiento, la falta de CPD o la desviación del sector bastan para que se pierda un estatus de plena cualificación.
Calificación en acción: Referencias de tablas
Ciclo de vida de las credenciales de auditor
| Fase | Evidencia crítica | Referencia de control |
|---|---|---|
| Integración | Certificado ISO 27001 LA, registro NIS 2 | ISO 27001 Anexo A.7.2, NIS 2 Art 20 |
| Mantenimiento | Registros de CPD nuevos, actualizaciones de registro | ISO 27001 Cláusulas 7/9, NIS 2 Art 21 |
| Renovación | Referencias, mapeos de cruces, auditorías | ISO 27001 A.7.2, NIS 2 Arte 20/21 |
Trazabilidad: Minitabla de “Cambios en la Evidencia”
| Desencadenar | Cambio de riesgo | Enlace de control/SoA | Evidencia capturada |
|---|---|---|---|
| Incorporación de auditores | Escaneo de credenciales/registro | SoA A.7.2, NIS 2 Art. 21 | Enlaces de registro, CPD, prueba de referencia |
| Revisión anual | Registro + CPD actualizado | SoA A.7.2, NIS 2 Art. 21 | Registros y entradas digitales actualizados |
| Cambio de regulación | Escenario/sesión entre pares, actualización | SoA A.7.2, NIS 2 Art. 24 | Capacitación, evidencia de DPC, registro de revisión |
Prueba antes de auditoría: haga de las verificaciones de credenciales una disciplina cotidiana, no un pánico de último minuto
Los líderes en cumplimiento normativo integran la validación de credenciales en su flujo de trabajo habitual. Antes de que cualquier auditor, ya sea interno o externo, inspeccione la información:
- Certificados activos y verificables digitalmente de organismos auditores líderes ISO 27001 reconocidos.
- Entradas de registro escritas de cada país y sector relevante.
- Registros con marca de tiempo de eventos de capacitación y DPC (incluidos simulacros cuando sea posible).
- Prueba documental de desempeño reciente de auditoría o compromiso de escenario.
Los equipos globales y multisectoriales con una gestión proactiva de credenciales reportan sistemáticamente menos sorpresas y resultados de auditoría más rápidos y transparentes (ICAEW). Cada credencial no entregada representa un posible retraso o, en el peor de los casos, un rechazo directo.
Las organizaciones que automatizan el seguimiento de credenciales (utilizando las herramientas de monitoreo y panel de control de ISMS.online) están en mejores condiciones para eliminar el pánico de último momento y asegurar auditorías rápidas y repetibles.
Eliminando las prisas de última hora
Asignar un responsable de cumplimiento para cada marco; utilizar recordatorios digitales y validación automatizada siempre que sea posible. Consolidar los enlaces de registro y las fechas de vencimiento de las normas ISO 27001 y NIS 2 en un solo sistema. Exigir pruebas semanas antes de cualquier auditoría, no al inicio. Esto convierte el cumplimiento en una disciplina repetida, no en una lucha.
Todos tus NIS 2, todo en un solo lugar
Desde los artículos 20 a 23 hasta los planes de auditoría: ejecutar y demostrar el cumplimiento de principio a fin.
Creación de equipos de auditoría resilientes y de doble cumplimiento: de los certificados a la práctica continua
Hoy en día, un equipo preparado para auditorías se sustenta mediante capacitación continua, registro de datos y resiliencia adaptada a escenarios, no solo mediante la documentación de un solo uso. El éxito más sostenible se logra integrando la verificación de credenciales en las rutinas de gestión de auditores internos y externos, especificando la doble certificación y el estado de registro en todos los contratos, y creando ciclos de retroalimentación de mejora después de cada intervención (AENOR).
Los equipos que se mantienen preparados para las auditorías son aquellos comprometidos con una renovación constante, no con el cumplimiento de requisitos.
Contratos de auditoría y controles internos: para ahora y para mañana
- Exigir auditores duales y registrados en todos los contratos de auditoría.
- Incorpore cláusulas de capacitación basada en escenarios y revisión de credenciales en los contratos.
- Supervisar las credenciales de los equipos de auditoría interna y externa.
- Realizar revisiones retrospectivas después de cada auditoría: investigar las brechas en las credenciales, abordar las desviaciones del proceso y documentar las actualizaciones para el próximo ciclo.
Trazabilidad: Tabla de referencia de eventos de renovación
| Evento de renovación | Paso requerido | Prueba necesaria |
|---|---|---|
| Actualización regulatoria | Capacitación entre pares/sesión | Certificación reciente, CPD/registros de eventos |
| Renovación de auditoría | Escaneo de registro/contrato | Registro actualizado, historial de auditoría |
| Nuevo auditor | Incorporación, transferencia | Lista de verificación de incorporación, transferencia de credenciales |
Prepárese para el cumplimiento dual antes de que se cierre su próxima auditoría
Su camino hacia un cumplimiento repetible y sin fricciones comienza con la incorporación de la gestión de credenciales en su día a día. SGSI.online Le ofrece un repositorio central y visible para el estado del registro de socios de auditoría, la supervisión de certificados y los registros de CPD. Configure paneles de control basados en roles, indicadores de vencimiento y recordatorios de renovación para evitar problemas de última hora y disfrutar de una tranquilidad absoluta.
- Vincular los registros de políticas, riesgos y controles de ISO 27001 y NIS 2 en marcos prediseñados, lo que demuestra preparación para la auditoría para cualquier país, sector o estándar.
- Automatice recordatorios de vencimiento de credenciales y renovación requerida, tanto internos como externos.
- Mantenga una vista siempre activa de las entradas del registro a medida que las reglas cambian y se actualizan una vez y aparecen en todas partes.
La excelencia en auditoría es el producto de la disciplina diaria de credenciales, no del heroísmo bajo presión.
Al alinear a las personas, los procesos y las pruebas, transforma el cumplimiento de una fuente de fricción a una capacidad competitiva. Al hacerlo, logrará no solo aprobar, sino una resiliencia de auditoría que crece a lo largo de cada ciclo y cambio regulatorio-mantenerse preparado, mejorar con cada paso y liberar a sus equipos para impulsar el negocio hacia adelante.
Preguntas Frecuentes
¿Quién determina si los auditores NIS 2 deben tener capacitación ISO 27001 y la norma cambia según el país?
El regulador nacional de ciberseguridad o sectorial de cada Estado miembro de la UE decide directamente la elegibilidad del auditor NIS 2, incluyendo si las credenciales ISO 27001 se consideran relevantes o suficientes. No existe una lista única de aprobación a nivel de la UE ni aprobada por ENISA.Autoridades como la BSI de Alemania, la ANSSI de Francia o el NCSC de los Países Bajos mantienen sus propios registros y modelos de cumplimiento. En algunos países, los certificados de Auditor Líder o Auditor Interno ISO 27001 son un requisito inicial, pero siempre se complementan con requisitos adicionales como formación específica en NIS 2, experiencia en el sector y la inscripción en el registro local. Un auditor con licencia en un Estado miembro no tiene garantía de reconocimiento en otro; el reconocimiento legal nunca se transmite automáticamente (ENISA, 2023).
La elegibilidad de auditor para NIS 2 nunca se implica únicamente por el estatus ISO 27001. Consulte siempre con la autoridad nacional o sectorial pertinente antes de confirmar los acuerdos de auditoría.
¿Cómo se comparan las habilidades requeridas para las auditorías NIS 2 e ISO 27001, y dónde divergen los requisitos?
Las habilidades exigidas para las auditorías NIS 2 e ISO 27001 se superponen significativamente: ambas requieren familiaridad con seguridad de la información marcos, controles y mejora continua. Sin embargo, Las auditorías NIS 2 requieren exclusivamente el conocimiento de las regulaciones estatales, la legislación específica del sector, evidencia de ensayos de escenarios de incidentes y demostración de gobernanza a nivel de directorio.Los auditores de la norma ISO 27001 se centran en el diseño del SGSI, los controles internos, la documentación y el tratamiento de riesgos; los auditores de la norma NIS 2 deben demostrar su conocimiento de la legislación local de implementación y las superposiciones sectoriales (p. ej., salud, energía, finanzas) y podrían asumir responsabilidad legal directa por inexactitudes. Un auditor NIS 2 cualificado tiene experiencia en el registro de evidencias según los estándares de las autoridades sectoriales, demostrando su capacidad de notificación en situaciones reales y resultados de simulacros de escenario, no solo revisando los documentos de control (Grupo BSI, 2023).
Los auditores con doble cualificación en ISO 27001 y registrados sectorialmente en NIS 2 tienen una gran demanda, especialmente para trabajos transfronterizos o de infraestructura crítica.
¿Qué tipos de certificaciones, registros o documentación se requieren de los auditores y las organizaciones durante las auditorías NIS 2 e ISO 27001?
Ambos marcos esperan que las organizaciones y sus auditores presenten:
- Certificados profesionales activos: Estado de Auditor Interno/Líder ISO 27001, además de listado nacional o sectorial para NIS 2 (insignia digital o identificación de registro oficial).
- Estado del registro documentado: Cita directa o captura de pantalla de la inclusión en cada registro nacional/sectorial pertinente.
- Registros de desarrollo profesional continuo (DPC): Registros anuales o periódicos de capacitaciones aprobadas, talleres de escenarios y revisiones por pares: los diferentes países requieren un mapeo a plantillas locales.
- Evidencia sectorial e historial de auditoría: Comprobante de compromisos recientes en sectores relevantes (especialmente para entidades CNI).
La documentación faltante o vencida, o la ausencia de registros de CPD, retrasan o bloquean rutinariamente la finalización de la auditoría (PECB, 2024).
Los estándares de documentación están aumentando: los registros nacionales y los registros de CPD ahora son tan importantes como los certificados.
¿Puede un Auditor Líder ISO 27001 realizar una auditoría NIS 2 sin registro adicional o aprobación sectorial?
El estatus de Auditor Líder según la norma NIS 27001 nunca confiere por sí solo autoridad legal para realizar auditorías NIS 2. Las reglamentaciones nacionales de cada sector y Estado miembro dictan requisitos adicionales, como la inclusión en el registro, exámenes específicos del sector y la aceptación legal local.
- Alemania: Requiere registro BSI y puede exigir exámenes sectoriales, independientemente de las credenciales ISO.
- Países Bajos: Los auditores deben figurar en el registro del NCSC; el estatus ISO previo no es suficiente.
- Reino Unido (a partir de 2025): Sólo los profesionales aprobados por el NCSC pueden realizar trabajos oficiales de auditoría NIS 2, además de cualquier certificado ISO.
Confirme siempre la inclusión en el registro nacional NIS 2 antes de asignar un trabajo de auditoría y nunca suponga que un “certificado” es suficiente sin la aprobación local y un registro sectorial válido.
¿Es posible combinar las auditorías NIS 2 e ISO 27001 en un solo trabajo y qué documentación es necesaria para la aceptación?
Se pueden realizar auditorías combinadas (integradas), pero solo cuando el auditor esté formalmente registrado en todas registros nacionales y sectoriales pertinentes, mantiene un mapa actualizado de controles y obligaciones y puede producir cartas de aceptación (o equivalentes) tanto de los reguladores sectoriales como de los organismos de certificación ISO.
- La prueba de auditoría integrada debe incluir:
- Nombre/ID presente en cada registro activo vinculado al alcance del compromiso;
- Tablas de referencias cruzadas explícitas de las superposiciones de ISO 27001 y NIS 2 nacionales/sectoriales, con evidencia mapeada para cada una;
- Aprobación escrita o correspondencia de los reguladores del sector y del organismo ISO certificador que muestre la aceptación de la auditoría combinada (AENOR, 2023; ENISA, 2023).
Si falta algún registro, cruce de criterios o evidencia de aceptación, se espera que las auditorías combinadas sean rechazadas o fragmentadas en la revisión.
¿Cuál es el enfoque más sólido para garantizar el cumplimiento normativo a futuro y garantizar la preparación para las auditorías?
- Centralice credenciales, referencias de registro y registros de CPD: dentro de un único panel de control de cumplimiento (ISMS.online está diseñado para esto).
- Validar rutinariamente las entradas del registro y los registros de CPD: para todos los auditores internos y externos, no sólo aquellos que visitan una vez al año.
- Evidencia estructurada agregada en distintos marcos y sectores: garantizar la trazabilidad para cada evento de auditoría o recertificación.
- Programar revisiones trimestrales de documentación y credenciales: hacer de la preparación para la auditoría una actividad de gobernanza permanente, no una carrera antes de cumplir los plazos.
Las organizaciones que pasan las auditorías sin estrés son aquellas con seguimiento en vivo, evidencia de registro digitalizada y revisiones programadas, no aquellas que tratan la auditoría como un evento único.
ISMS.online reúne todos los certificados, registros y evidencia de CPD en un solo lugar siempre disponible, para que usted demuestre control, resiliencia y preparación, sin importar cómo evolucionen los requisitos del auditor o la ley NIS 2.
Tabla de requisitos de auditoría ISO 27001 vs NIS 2
| Requisito | Auditor ISO 27001 (Global) | Auditor NIS 2 (Sector/Nacional) |
|---|---|---|
| Certificado | Sí (estándar global) | Sí (nacional, sectorial, aprobado/renovación) |
| Listado del Registro Nacional | No | Sí (recertificación anual o sectorial) |
| Experiencia Sectorial | No se requiere | A menudo se requiere para sectores críticos |
| Ejercicio de escenario/incidente | A veces; no siempre específico del sector | Obligatorio, con revisión por pares/autoridad |
| Reconocimiento internacional | Sí, pero el registro NIS 2 local aún prevalece | Raro; debe aceptarse explícitamente |
| CPD/Formación continua | Mejores prácticas; no siempre comprobadas | Obligatorio; debe estar documentado y actualizado. |
Tabla de trazabilidad de evidencia: actualizaciones de credenciales de auditoría
| Desencadenante de auditoría | Actualización de Riesgo o Control | Referencia de SoA/Registro | Ejemplo de evidencia de auditoría |
|---|---|---|---|
| Renovación del certificado ISO 27001 | Auditorías internas, cambios de equipo | ISO 27001 Cláusula 9.2, 7.2: Competencia | Certificado LA válido, listado de registro |
| Actualización del registro NIS 2 | Reinclusión o eliminación del registro | Registro NIS 2 sectorial/nacional, SoA | Captura de pantalla del registro, correo electrónico oficial |
| Actualización del registro de CPD | Nueva función o asignación de sector | Códigos CPD ISO 27001 7.2, NIS 2 | Historial de entrenamiento, registros de revisión por pares |
| Simulacro de mesa sectorial | Mejora de políticas y procesos | ISO 27001 Anexo A (6), NIS 2 legislación local | Informe de simulacro, revisión posterior a la acción |
Para ver con precisión cómo ISMS.online puede optimizar la gestión de credenciales, la documentación de cumplimiento del registro y la preparación para las auditorías ISO 27001 y NIS 2, solicite una visita práctica. Sus auditorías (y su junta directiva) se lo agradecerán.
