NIS2, ISO 27001 y SOC 2: qué tocar primero en pyme.
Tres frameworks que muchas pymes B2B miran sin saber por dónde empezar. Qué obliga cada uno, cuándo conviene certificar, coste real y cómo combinarlos sin pagar tres veces lo mismo.
Actualizado mayo 2026
Tres cosas distintas que parecen lo mismo y no lo son.
NIS2 es directiva europea de ciberseguridad obligatoria para entidades esenciales e importantes (energía, transporte, banca, salud, proveedores cloud, plataformas digitales, fabricantes ciertos sectores). En España transpuesta en 2024. No es certificación: es obligación legal con sanciones. Ver qué es NIS2.
ISO 27001 es estándar internacional de gestión de seguridad de la información. Voluntario pero muy demandado por clientes B2B medianos y grandes. Certificación de auditor acreditado, válida 3 años con vigilancia anual. Ver qué es ISO 27001.
SOC 2 es informe de auditoría americano sobre controles de seguridad. Type I (puntual) o Type II (sobre periodo 6-12 meses). Voluntario pero muy demandado por clientes USA y tech. Auditor CPA. Ver qué es SOC 2.
Para una pyme B2B en 2026, la pregunta no es cuál es mejor. Es cuál cubre la obligación, cuál abre puertas comerciales y cómo combinarlos para no duplicar coste y horas. Ver también RGPD pyme 2026 práctico.
Cuándo necesitas NIS2, ISO 27001 o SOC 2
NIS2 si...
Estás en sector cubierto (energía, transporte, banca, salud, proveedor cloud, ICT services managed, fabricantes ciertos sectores, food, química, manufactura) y tamaño mediano o grande (más de 50 empleados o 10M euros facturación). Obligatorio, no voluntario.
ISO 27001 si...
Vendes a clientes B2B medianos/grandes que lo piden. Sector público o corporate suele exigirlo. Estándar internacional muy reconocido. Marketing comercial: certificado abre puertas. Voluntario pero muy demandado.
SOC 2 si...
Vendes a clientes USA o SaaS que lo piden. Comprador americano confía en SOC 2 más que en ISO 27001. Para SaaS B2B que escala internacional: casi obligado. Voluntario pero clave para mercado USA y tech.
Mucho del trabajo se reutiliza entre los tres.
1. Políticas y procedimientos. Política de seguridad de la información, gestión de accesos, gestión de cambios, gestión de incidentes, política de continuidad. Los tres frameworks exigen lo mismo en esencia. Documento bien hecho una vez, sirve para ISO 27001, NIS2 y SOC 2.
2. Controles técnicos. MFA, cifrado, backups, monitorización, gestión vulnerabilidades, gestión accesos, segmentación red. Lo que pide ISO 27001 Annex A o SOC 2 Trust Services Criteria es muy similar. NIS2 añade obligaciones específicas (notificación incidentes 24h y 72h).
3. Gestión riesgos. Identificación, análisis y tratamiento de riesgos de seguridad. Procedimiento documentado, revisión anual, matriz de riesgos. Reutilizable entre los tres frameworks con ajustes menores.
4. Gestión proveedores. Inventario proveedores con datos sensibles, contratos con cláusulas seguridad, revisión riesgo cadena suministro. Tres frameworks lo exigen.
5. Auditoría y revisión. Auditoría interna anual, revisión dirección, plan de mejora continua. Estructura común que cubre los tres.
Trabajo único, certificación múltiple. Una pyme bien implementada con base ISO 27001 sólida cubre 70-80% de lo que pide NIS2 y SOC 2. Quedan piezas específicas (notificación NIS2, controles SOC 2 específicos USA). Pero ahorro de tiempo y dinero es masivo vs hacerlos por separado.
Hoja de ruta combinada NIS2 + ISO 27001 + (opcional) SOC 2
Mes 1-2 · Diagnóstico y alcance
Determinar si NIS2 aplica (sector + tamaño). Decidir si vas a certificar ISO 27001 (cuándo y qué alcance). Decidir si SOC 2 entra en el plan o aplaza. Gap analysis vs estado actual.
Mes 3-5 · Políticas y procedimientos
Conjunto de políticas que cubre los tres frameworks: seguridad info, accesos, incidentes, cambios, continuidad, proveedores. Redacción adaptada a tamaño real de la pyme (no copy-paste de gran empresa).
Mes 4-9 · Controles técnicos
Implementar controles que faltan: MFA universal, cifrado en reposo y tránsito, backups con prueba, monitorización (SIEM ligero o servicio gestionado), gestión vulnerabilidades, segmentación red, EDR/antivirus.
Mes 9-12 · Auditoría interna y certificación ISO
Auditoría interna previa. Si todo bien: auditoría externa ISO 27001 (etapa 1 y 2). Certificado válido 3 años. Si NIS2 aplica: registro autoridad nacional (INCIBE en España), notificaciones operativas activas.
Mes 13-18 · SOC 2 si aplica
Con ISO 27001 conseguido, SOC 2 Type II requiere periodo observación 6-12 meses con controles operando. Auditor CPA. Coste 30-80k euros adicional. Solo si hay justificación comercial USA clara.
Cuánto cuesta cada framework en una pyme española
ISO 27001 pyme
Consultoría implantación: 15-50 k euros según tamaño y madurez. Certificación inicial: 5-15 k euros. Vigilancia anual: 3-8 k euros. Total año 1: 20-65 k euros. Plazo realista: 9-15 meses. Esfuerzo interno: 0.3-0.5 FTE durante el proceso.
NIS2 cumplimiento
Sin certificación formal (es obligación legal). Coste implantación: 10-40 k euros según tamaño y solapamiento con ISO. Si ya tienes ISO 27001 + RGPD bien: gap pequeño, 5-15 k euros más. Sanciones por incumplimiento: hasta 10M euros o 2% facturación.
SOC 2 Type II
Preparación interna: 15-40 k euros. Auditor CPA: 25-60 k euros. Plazo realista 12-18 meses desde inicio. Renovación anual: 15-40 k euros. Solo si negocio justifica (clientes USA, SaaS B2B internacional). Sin justificación comercial, no compensa.
Combinado eficiente
Pyme con ISO 27001 + NIS2 (si aplica) + SOC 2 año 2: 60-150 k euros total año 1, 30-60 k recurrente. Pyme que hace cada framework aislado: 100-250 k euros año 1. Ahorro de combinar bien: 30-50% real.
Checklist mínima antes de arrancar cualquier framework
Caso de uso comercial documentado
Por qué necesitas el framework: NIS2 por obligación legal, ISO 27001 porque clientes lo piden, SOC 2 porque vendes USA. Sin caso claro, certificación es ego o cumplimiento de cara a inversor sin retorno real.
Patrocinio dirección
Estos procesos requieren decisiones que afectan a varias áreas. Sin patrocinio de CEO o CTO, se atascan en 3 meses. Mejor no arrancar que arrancar sin sponsor real.
Inventario activos básico
Lista de servidores, aplicaciones SaaS críticas, datos sensibles, sistemas productivos. Sin esto no se puede definir alcance ni medir riesgos. Trabajo previo de 2-4 semanas con CTO o IT.
Equipo técnico que ejecute
Persona o equipo que va a implementar los controles técnicos. Si IT está saturado, hay que reforzar antes de empezar o contratar consultora con manos. Política sin implementación es papel.
Calendario realista
ISO 27001 desde cero: 9-15 meses, no 3. NIS2 si aplica: 6-12 meses para cumplimiento sólido. SOC 2 Type II: 12-18 meses incluyendo periodo observación. Promesas más rápidas suelen ser certificación cosmética.
Dudas que nos hacéis llegar
¿NIS2 te aplica? ¿Necesitas ISO 27001 para vender a corporate?
Diagnóstico de qué frameworks aplican, plan combinado eficiente y soporte ejecución. Sin certificación cosmética, lo que protege y abre mercado de verdad.