Qué cambió de la versión 2013 a la 2022
La ISO 27001:2022 mantiene la estructura de alto nivel (Harmonized Structure) pero introduce cambios significativos en el Anexo A. Los 114 controles organizados en 14 dominios de la versión 2013 se han reorganizado en 93 controles distribuidos en 4 temas: 37 controles organizativos (tema 5), 8 controles de personas (tema 6), 14 controles físicos (tema 7) y 34 controles tecnológicos (tema 8). Se han eliminado controles duplicados, se han fusionado otros, y se han añadido 11 controles completamente nuevos que abordan áreas como inteligencia de amenazas, seguridad cloud, DLP, codificación segura y filtrado web. La Declaración de Aplicabilidad (SoA) debe actualizarse completamente para reflejar la nueva estructura.
Opciones si tu certificado 2013 ha caducado
Si tu empresa no completó la transición antes del 1 de noviembre de 2025, tienes dos opciones. La primera es realizar una nueva certificación completa en ISO 27001:2022, lo que implica una auditoría inicial de dos fases (Fase 1 de revisión documental y Fase 2 de evaluación de implementación). El coste para una PYME oscila entre 14.000 y 46.000 euros incluyendo consultoría de implementación y auditoría de certificación. El plazo típico es de 6 a 9 meses si partes de un sistema que ya existía (aunque caducado) y necesita actualización, o de 9 a 12 meses si el sistema estaba abandonado y necesita reconstrucción sustancial.
La segunda opción, si el sistema de gestión se ha mantenido operativo aunque el certificado haya caducado, es trabajar con tu entidad de certificación para programar una auditoría de certificación inicial en la nueva versión aprovechando la documentación existente. Algunas certificadoras pueden reconocer parcialmente el trabajo previo y reducir el alcance de la auditoría. En cualquier caso, la Declaración de Aplicabilidad debe actualizarse, los 11 controles nuevos deben evaluarse e implementarse cuando sea aplicable, y toda la documentación debe reflejar la nueva estructura de controles.
Te puede interesar:ISO 9001:2026: Qué Cambios Trae la Revisión y CómoCertificaciones ISO en España 2024: Ranking Mundia.
ISO 27001 como base para ENS y NIS2
Si tu empresa trabaja con la administración pública española, la ISO 27001:2022 es un complemento natural del Esquema Nacional de Seguridad (RD 311/2022). La Guía CCN-STIC 825 establece el mapeo oficial entre los controles de ambas normas, con un solapamiento estimado del 70-80%. Implementar ambas de forma conjunta ahorra entre un 30% y un 40% del esfuerzo total. Además, la Directiva NIS2 (que España aún no ha transpuesto pero que genera obligaciones indirectas a través de clientes europeos) se basa en gran medida en los principios de ISO 27001. Una empresa con ISO 27001:2022 vigente está en una posición mucho más favorable para cumplir con cualquiera de estos marcos regulatorios.
/controles-nuevos-iso-27001-2022/, /blog/ens-vs-iso-27001/, /precio-iso-27001/, /nis2-espana-empresas/
ARTÍCULOS RELACIONADOS SUGERIDOS: ver índice del cluster ISO para enlazado cruzado.
Preguntas frecuentes
¿Mi certificado ISO 27001:2013 sigue siendo válido?
No. Desde el 1 de noviembre de 2025, solo son válidos los certificados ISO 27001:2022. Si tu certificado no se actualizó, ha caducado.
¿Puedo renovar directamente o tengo que empezar de cero?
Si tu sistema de gestión se ha mantenido operativo, puedes aprovechar el trabajo previo. Si estaba abandonado, necesitarás una reconstrucción sustancial. Consulta con tu certificadora qué opciones tienes.
¿Cuánto tarda la transición para una PYME?
Si el sistema estaba activo, entre 3 y 6 meses. Si necesita reconstrucción, entre 6 y 12 meses. El factor limitante suele ser la implementación de los 11 controles nuevos.
¿Puedo implementar ISO 27001 y ENS a la vez?
Sí, y es lo más eficiente. El solapamiento entre ambas normas es del 70-80%. La implementación conjunta ahorra entre un 30% y un 40% del esfuerzo total respecto a hacerlas por separado.
¿La ISO 27001 me sirve para cumplir con NIS2?
Parcialmente. NIS2 cubre aspectos organizativos y de gobernanza que van más allá de ISO 27001, pero tener el SGSI implementado y certificado cubre la mayoría de los requisitos técnicos y operativos de la directiva.
Preguntas frecuentes.
¿Mi certificado ISO 27001:2013 sigue siendo válido?
No. Desde el 1 de noviembre de 2025, solo son válidos los certificados ISO 27001:2022. Si tu certificado no se actualizó, ha caducado.
¿Puedo renovar directamente o tengo que empezar de cero?
Si tu sistema de gestión se ha mantenido operativo, puedes aprovechar el trabajo previo. Si estaba abandonado, necesitarás una reconstrucción sustancial. Consulta con tu certificadora qué opciones tienes.
¿Cuánto tarda la transición para una PYME?
Si el sistema estaba activo, entre 3 y 6 meses. Si necesita reconstrucción, entre 6 y 12 meses. El factor limitante suele ser la implementación de los 11 controles nuevos.
¿Puedo implementar ISO 27001 y ENS a la vez?
Sí, y es lo más eficiente. El solapamiento entre ambas normas es del 70-80%. La implementación conjunta ahorra entre un 30% y un 40% del esfuerzo total respecto a hacerlas por separado.
¿La ISO 27001 me sirve para cumplir con NIS2?
Parcialmente. NIS2 cubre aspectos organizativos y de gobernanza que van más allá de ISO 27001, pero tener el SGSI implementado y certificado cubre la mayoría de los requisitos técnicos y operativos de la directiva.
¿Empezamos a trabajar juntos?
Cuéntanos qué necesitas. Te respondemos en menos de 24 h con un plan concreto.
Empecemos →