Ámbito de práctica · Cumplimiento

Consultoría de cumplimiento normativo ISO, ENS y RGPD

Última revisión: 28 de mayo de 2026

ISO de gestión (9001, 27001, 22301, 42001), Esquema Nacional de Seguridad (ENS), RGPD, NIS2 y DORA. Trato el cumplimiento como ventaja competitiva — apertura de licitaciones, reducción de fricción comercial, protección del balance — no como carga burocrática.

Resumen ejecutivo · TL;DR

Una pyme española en 2026 navega un mapa normativo amplio pero ordenable: las ISO de gestión cubren calidad, seguridad de la información, continuidad de negocio e inteligencia artificial; el Esquema Nacional de Seguridad (ENS) es obligatorio para proveer a Administración Pública desde RD 311/2022; el RGPD aplica a todo tratamiento de datos personales; NIS2 entró en vigor en 2026 y amplía obligaciones cibernéticas a las pymes esenciales e importantes; y DORA regula la resiliencia operativa del sector financiero. La buena noticia: el 60-75% de la documentación es compartida cuando se implantan varias normas a la vez. Un bundle ISO 9001 + 27001 + ENS coordinado cuesta 18 000-35 000 € de consultoría externa más 4 000-8 000 € de auditoría de tercera parte (AENOR, Bureau Veritas, SGS, LRQA), en 5-7 meses si la dirección está implicada desde el día uno. Para pymes con cliente AAPP, este bundle abre acceso a licitaciones que de otro modo quedan vetadas.

Índice de esta página

¿Qué entiendo por cumplimiento en la práctica?
Los seis ejes de trabajo en cumplimiento
¿En qué fase entra el consultor externo?
Mini-guías y artículos detallados
Cómo trabajo esta práctica
Cinco antipatrones recurrentes
Cómo se relaciona con otros ámbitos
Preguntas frecuentes sobre cumplimiento normativo
¿Listo para empezar?

Definición operativa

¿Qué entiendo por cumplimiento en la práctica?

El cumplimiento normativo no es papeleo defensivo: es el conjunto de sistemas de gestión que protege a la empresa contra riesgos operativos, regulatorios y reputacionales, mientras abre acceso a clientes, mercados y licitaciones que sin esos sellos quedan cerrados.

En España, en 2026, la pyme media se enfrenta a tres tensiones a la vez. Primera: el cliente B2B y la administración pública exigen cada vez más sellos formales (ISO 9001, ISO 27001, ENS) como condición para licitar o entrar en pliego. Segunda: la regulación europea ha pasado de ser un trasfondo lejano (RGPD, 2018) a un calendario denso de obligaciones (NIS2 transpuesta 2026, DORA enero 2025, EU AI Act agosto 2026, CSRD por escalas hasta 2028). Tercera: las sanciones reales han crecido de forma material — AEPD impuso 53 sanciones a pymes en 2025 con multas medias de 30 000 €.

Mi enfoque rechaza dos extremos. Por un lado, la consultoría "vendedora de papel" que entrega un manual de 400 páginas idéntico al de la pyme de al lado y se desentiende del uso real — la auditoría externa lo detecta y la certificación se cae. Por otro, la actitud minimalista de "que esto pase y ya". El cumplimiento bien hecho deja a la organización mejor preparada para crecer; el mal hecho la deja con cargas administrativas sin retorno.

Estructura del ámbito

Los seis ejes de trabajo en cumplimiento normativo.

El paraguas de cumplimiento se ordena en seis ejes que cubren las exigencias habituales para una pyme española B2B o proveedora de AAPP. Cada proyecto activa los que aplican según sector y madurez.

Eje 01ISO de gestión (9001, 14001, 27001, 45001, 22301, 42001)

Las normas ISO de la familia ISO/IEC son el lenguaje internacional de los sistemas de gestión. Comparten estructura de alto nivel (HLS, Anexo SL) lo que permite implantarlas en bundle con ahorro real de horas: ISO 9001 (calidad), 14001 (ambiental), 27001 (seguridad de la información), 45001 (seguridad y salud en el trabajo), 22301 (continuidad de negocio) y la novísima 42001 (gestión de sistemas de IA). La 9001 sigue siendo la puerta de entrada habitual; la 27001 ha pasado a ser casi obligatoria para servicios TIC; la 22301 sube en prioridad con NIS2.

Profundizo en este eje desde el hub interno cumplimiento · ISO, donde se enlazan las guías específicas por norma. Las guías ya publicadas cubren ISO 9001 · implantación y certificación, ISO 22301 de continuidad de negocio e ISO 42001 de gestión de inteligencia artificial. Para ISO 27001, el glosario del sitio mantiene la entrada de referencia ISO 27001 · glosario mientras se publica la guía completa.

Eje 02Esquema Nacional de Seguridad (ENS)

El ENS, regulado por el Real Decreto 311/2022, es de aplicación obligatoria a Administración Pública y a sus proveedores TIC desde mayo de 2024. Establece tres categorías (Básica, Media, Alta) según impacto de los servicios prestados y un catálogo de medidas más prescriptivas que las de ISO 27001. Una empresa con ISO 27001 cubre aproximadamente el 75% de ENS Básico; el 25% restante son requisitos específicos del marco español (CCN-CERT, productos CPSTIC, procedimientos de uso, formación específica).

Trato el ENS desde dos ángulos en el sitio: el hub interno cumplimiento · ENS y el artículo comparativo ENS frente a ISO 27001 · diferencias que resuelve la duda más frecuente del directivo TIC. Para pymes que ya van a licitar con AAPP en 2026, recomiendo el pack ISO 27001 + ENS + RGPD para licitaciones AAPP de Castilla y León como entrada coordinada.

Eje 03Ciberseguridad · plan director y MAGERIT

Más allá de los sellos, la ciberseguridad real exige un plan director con análisis de riesgos (MAGERIT o equivalente), políticas técnicas (gestión de identidades, parcheo, backup, monitorización), procedimientos operativos y simulacros de incidente. Sin estos elementos, las normas ISO o el ENS quedan en papel y la primera brecha real obliga a empezar de cero.

El hub cumplimiento · ciberseguridad agrupa el trabajo en este eje. Los artículos clave: normativa de ciberseguridad en España (RGPD, ENS, NIS2, DORA) como mapa general, ransomware · prevención, detección y recuperación para la amenaza dominante y auditoría de ciberseguridad como instrumento de diagnóstico independiente.

Eje 04RGPD y protección de datos

El Reglamento General de Protección de Datos sigue siendo el suelo común para cualquier organización que trate datos personales. Después de seis años de aplicación, el cumplimiento real en pymes españolas es desigual: muchas tienen las cláusulas legales en la web pero fallan en lo operativo (gestión de derechos del titular en plazo, notificación de brechas en 72 horas, base jurídica documentada por tratamiento, evaluaciones de impacto cuando proceden).

Para profundizar, ver la entrada de glosario RGPD · glosario. La obligatoriedad del Delegado de Protección de Datos (DPO) aplica en tres supuestos del artículo 37: organismos públicos, observación habitual a gran escala y tratamiento a gran escala de categorías especiales. Para una pyme media, el DPO externo cuesta 200-700 € al mes según sector.

Eje 05NIS2 y DORA · resiliencia cibernética sectorial

La directiva NIS2 (UE 2022/2555) sustituye a la NIS de 2016 y entró en vigor mediante transposición española en 2026. Amplía el perímetro de obligados desde grandes operadores a pymes esenciales (sectores: energía, agua, transporte, banca, sanidad, infraestructura digital) e importantes (alimentación, química, residuos, manufactura sanitaria, etc.). Multas hasta 10 M€ o 2% de facturación anual.

DORA (Reglamento UE 2022/2554) regula desde el 17 de enero de 2025 la resiliencia operativa digital del sector financiero — bancos, fintech, gestoras, compañías de seguros — y de sus proveedores TIC críticos. Cinco bloques: gobernanza, gestión de riesgo TIC, gestión de incidentes, pruebas de resiliencia y supervisión de terceros.

Mis dos artículos de referencia: NIS2 · directiva de ciberseguridad para pymes en España y DORA · reglamento de resiliencia operativa digital del sector financiero.

Eje 06Cumplimiento orientado a licitaciones AAPP

El cumplimiento adquiere sentido económico inmediato cuando se traduce en acceso a contratación pública. Una memoria competitiva en 2026 exige tres bloques: solvencia técnica (ISO 9001 + ISO 27001 obligatorios para servicios TIC, ENS según categoría del contrato), compromisos (protocolo RGPD, plan de continuidad ISO 22301 si el servicio es crítico, política RSC) y memoria técnica del sobre B bien construida.

El caso documentado en el sitio es el pack ISO 27001 + ENS + RGPD para licitaciones AAPP de Castilla y León: tres normas implantadas en paralelo con ahorro de tiempo y coste, dimensionadas para una pyme TIC que entra al mercado público.

Fase de entrada del consultor

¿En qué fase entra un consultor externo de cumplimiento?

Hay tres formatos habituales de entrada y conviene distinguirlos antes de firmar la propuesta.

Diagnóstico de cumplimiento (4-6 semanas). La empresa quiere saber qué normas le aplican, en qué prioridad y con qué coste y plazo. Output: mapa de cumplimiento, gap analysis frente a cada norma candidata, plan de actuación 12-18 meses y estimación presupuestaria. Precio típico: 4 000-9 000 €. Idóneo si el cliente vende a AAPP por primera vez o entra en sector regulado.

Implantación + acompañamiento a certificación (4-9 meses). El consultor diseña el sistema de gestión, redacta procedimientos junto al cliente, forma al equipo, conduce la auditoría interna previa y acompaña la auditoría externa de certificación. Precio típico: 8 000-30 000 € según número de normas y tamaño. Modelo estándar para ISO 9001, 27001, 22301, 42001 y para ENS.

Auditoría independiente y mantenimiento (anual). Empresas ya certificadas que externalizan la auditoría interna anual (requisito formal de las ISO) y el seguimiento del SGS. Precio típico: 3 500-8 000 € al año. También aplicable como segunda opinión antes de la renovación de la certificación, cuando el SGS ha quedado obsoleto.

Profundizar

Mini-guías y artículos detallados.

Selección curada de los artículos del sitio en el ámbito de cumplimiento, ordenados por sub-cluster.

Hub · ISO

Cumplimiento ISO

Mapa de normas ISO de gestión aplicables a pyme española.

Ver hub → ISO 9001

ISO 9001 · guía completa

Implantación y certificación de calidad paso a paso.

Leer guía → ISO 22301

ISO 22301 · continuidad de negocio

BCP, BIA y resiliencia operativa para pyme y mid-market.

Leer guía → ISO 42001

ISO 42001 · gestión de IA

La primera norma internacional para gobernanza de sistemas de IA.

Leer guía → ISO 27001

ISO 27001 · glosario

Anexo A, controles y sistema de gestión de seguridad de la información.

Ver entrada → Hub · ENS

Cumplimiento ENS

Esquema Nacional de Seguridad para empresas y AAPP.

Ver hub → ENS vs ISO 27001

ENS vs ISO 27001

Qué cambia, qué se solapa y cómo aprovechar uno para el otro.

Leer artículo → Hub · Ciber

Cumplimiento ciberseguridad

Plan director, RGPD operativo y respuesta a incidentes.

Ver hub → Normativa

Normativa ciberseguridad España

Mapa RGPD + ENS + NIS2 + DORA para directivos no técnicos.

Leer artículo → Ransomware

Ransomware: prevención y respuesta

Antes, durante y después del incidente más caro para una pyme.

Leer artículo → Auditoría

Auditoría de ciberseguridad

Cómo se hace una auditoría independiente con criterio.

Leer artículo → NIS2

NIS2 para pymes en España

Quién está obligado, qué hay que hacer y plazos reales.

Leer artículo → DORA

DORA · resiliencia financiera

Cinco bloques para entidades financieras y sus proveedores TIC.

Leer artículo → Pack AAPP

Pack ISO 27001 + ENS + RGPD

Tres normas en paralelo para abrir licitaciones AAPP Castilla y León.

Leer guía → RGPD

RGPD · glosario

Bases jurídicas, derechos del titular, DPO y brechas de seguridad.

Ver entrada →

Metodología

Cómo trabajo esta práctica.

Cinco pasos que se repiten en casi todos los proyectos de cumplimiento. Los plazos varían según número de normas implicadas y disponibilidad del cliente.

Paso 01

Diagnóstico inicial

Mapa de cumplimiento aplicable, gap analysis contra cada norma candidata, evaluación de riesgos críticos. 2-4 semanas.

Paso 02

Diseño del sistema

Política, manuales, procedimientos y registros adaptados al cliente — sin copy-paste. Aprovechamiento del Anexo SL para bundle de normas. 4-8 semanas.

Paso 03

Implantación y formación

Despliegue operativo. Formación al equipo. Configuración de evidencias y métricas. 4-12 semanas.

Paso 04

Auditoría interna

Auditoría interna previa según ISO 19011. Plan de acciones correctivas antes de la auditoría externa. 1-2 semanas.

Paso 05

Certificación y mantenimiento

Acompañamiento durante la auditoría externa (AENOR, Bureau Veritas, SGS, LRQA). Renovación anual y plan de mejora continua.

Errores recurrentes

Cinco antipatrones en proyectos de cumplimiento.

Los proyectos de cumplimiento que terminan en certificación obtenida y SGS abandonado se repiten con cinco patrones identificables. Quien los reconoce a tiempo evita rehacer el trabajo a los dos años.

Implantar la norma sin entender el negocio. La consultora descarga plantillas genéricas, sustituye el nombre de la empresa y entrega un manual de 400 páginas. La auditoría externa lo detecta en la primera visita (entrevistas a procesos): nadie reconoce los procedimientos. Solución: el SGS se redacta con responsables operativos en la mesa, partiendo de cómo se trabaja realmente y formalizándolo donde aporta valor.

Hacer cumplimiento "para auditoría" en vez de "para el negocio". Se prepara el sistema durante seis meses, se certifica y luego cae en desuso hasta seis semanas antes de la siguiente auditoría. Resultado: cargas continuas sin retorno y riesgo creciente de no superar la siguiente revisión. Solución: el SGS se integra en rutinas operativas existentes (comités, comités de seguridad, sesiones de revisión).

Saltar el análisis de riesgos serio. Se usa una matriz genérica importada de plantilla y los riesgos quedan sin priorizar realmente. Cuando ocurre un incidente, los controles no estaban dimensionados. Solución: análisis de riesgos formal (MAGERIT, ISO 27005, FAIR) con activos reales y amenazas plausibles del sector concreto.

Olvidar la formación y los simulacros. El SGS dice que hay procedimiento de respuesta a incidentes pero el equipo no lo ha ensayado nunca. Cuando llega el ransomware, la primera vez que se mira el procedimiento es a las 3 de la mañana. Solución: simulacros anuales obligatorios documentados y formaciones periódicas con asistencia registrada.

No actualizar tras cambios normativos. El SGS quedó alineado con la versión anterior de la ISO o con la NIS de 2016. La nueva versión exige cambios sustanciales (controles del Anexo A 2022, sectores ampliados en NIS2) y la auditoría externa los detecta. Solución: revisión periódica del marco normativo de referencia y plan de transición cuando aplica.

Mapa de relación

Cómo se relaciona el cumplimiento con otros ámbitos.

El cumplimiento no se vive aislado. Tres cruces relevantes con otras prácticas del sitio.

Cumplimiento + digitalización. Toda transformación digital genera obligaciones: si introduces IA en RR.HH. caes en Anexo III del AI Act, si pasas el negocio a cloud entras en el alcance del ENS para servicios AAPP, si despliegas IoT industrial activas requisitos NIS2. La digitalización mal hecha multiplica la superficie de incumplimiento; bien hecha consolida el sistema. Ver el ámbito de digitalización.

Cumplimiento + marketing. El marketing digital recopila y trata datos personales — formularios, cookies, lead scoring, personalización. RGPD y LSSI imponen obligaciones operativas concretas: consentimientos válidos (opt-in granular), información transparente, derechos del titular accesibles, brechas notificables en 72 horas. Ver el ámbito de marketing.

Cumplimiento + ventas y licitaciones. Para una pyme proveedora de AAPP o B2B regulado, los sellos de cumplimiento determinan acceso al mercado más que la propuesta comercial. ISO 9001 + ISO 27001 + ENS en pliego suelen ser eliminatorios. Cumplimiento es, en estos casos, infraestructura comercial.

Preguntas frecuentes

Lo que más se pregunta sobre cumplimiento normativo.

¿Qué normas de cumplimiento aplican a una pyme española en 2026?

Cinco bloques. ISO de gestión (9001 calidad universal, 14001 ambiental si hay impacto medible, 45001 PRL para industriales, 27001 si manejas datos sensibles, 22301 continuidad si NIS2 aplica, 42001 si despliegas IA). Esquema Nacional de Seguridad (ENS) obligatorio para todo proveedor AAPP desde RD 311/2022. RGPD y LOPDGDD universales para datos personales. NIS2 para entidades esenciales e importantes en sectores críticos. EU AI Act para quien desarrolla o usa IA, sobre todo en los casos del Anexo III.

¿Cuánto cuesta certificarse en ISO 9001 + ISO 27001 + ENS?

Bundle estándar pyme de 10-50 empleados implantando las tres normas en paralelo: 18 000-35 000 € de consultoría externa más 3 500-8 000 € al año de mantenimiento más 4 000-8 000 € de auditoría externa de tercera parte (AENOR, Bureau Veritas, SGS, LRQA). Plazo realista 5-7 meses si la dirección está implicada desde el día uno. Kit Consulting puede cofinanciar hasta 24 000 € en la fase de asesoramiento.

¿Quién está obligado a tener Delegado de Protección de Datos (DPO)?

Tres supuestos según artículo 37 del RGPD: autoridad u organismo público; actividades principales que requieran observación habitual y sistemática a gran escala de datos personales (clínicas, escuelas, plataformas digitales con muchos usuarios); tratamiento a gran escala de categorías especiales (datos de salud, biométricos, ideología, sindicación). El DPO puede ser interno o externo. Coste medio externo en pyme: 200-700 € al mes según sector y volumen.

¿Qué es NIS2 y a qué pymes obliga?

NIS2 es la directiva europea 2022/2555 transpuesta en España en 2026. Obliga a entidades esenciales (>250 empleados o >50 M€ de facturación en sectores críticos: energía, agua, transporte, banca, sanidad, infraestructura digital) y a entidades importantes (50-250 empleados o 10-50 M€) en sectores ampliados (alimentación, química, residuos, manufactura de equipos médicos). Pymes industriales medianas con operaciones críticas sí están obligadas. Multas hasta 10 M€ o 2% de facturación anual.

¿Cómo licitar con Administración Pública en 2026?

Memoria competitiva con tres bloques. Solvencia técnica: ISO 9001 + ISO 27001 obligatorios para servicios TIC, ENS Bajo o Medio según categoría del contrato. Compromisos: protocolo RGPD, plan de continuidad ISO 22301 si el servicio es crítico, política RSC. Memoria técnica del sobre B: metodología, equipo, hitos, KPIs medibles. Para Castilla y León y Canarias las propias administraciones publican plantillas oficiales. Plataforma central: contrataciondelestado.es.

¿La ISO 9001 sustituye al cumplimiento legal de calidad?

No. La ISO 9001 es voluntaria; el cumplimiento legal sectorial (sanidad, alimentaria, automoción, farmacia) es obligatorio aparte. La ISO 9001 es complementaria: ofrece un sistema de gestión sobre el que se asienta el cumplimiento legal, pero no lo reemplaza. La auditoría externa de certificación tampoco sustituye a las inspecciones administrativas.

¿Puedo hacer la implantación ISO yo solo sin consultora?

Es posible si tienes un responsable de calidad interno con experiencia y la organización es pequeña (menos de 10 empleados, procesos simples). Por encima de eso, el ahorro de consultora (3 000-8 000 €) suele compensar con creces el riesgo de cometer errores que retrasen la certificación 6-12 meses. Lo más habitual es contratar consultor para diseño y formación, y mantener internamente la operación posterior.

¿Cuál es la diferencia entre ENS y ISO 27001?

La ISO 27001 es estándar internacional de gestión de seguridad de la información, voluntaria y aplicable a cualquier organización. El ENS es marco español obligatorio para AAPP y sus proveedores TIC desde el RD 311/2022. Los controles del ENS son más prescriptivos (qué hacer); los de ISO 27001 son más basados en gestión del riesgo (cómo decidirlo). Una empresa con ISO 27001 cubre aproximadamente el 75% de ENS Bajo; el ENS añade requisitos específicos (CCN-CERT, productos CPSTIC, formación obligatoria).

¿Hay sanciones reales por incumplir RGPD en España?

Sí. La AEPD impuso 53 sanciones a pymes españolas en 2025 con multas medias de 30 000 €. Las infracciones más sancionadas: brecha de seguridad sin notificar en 72 horas, tratamiento sin base jurídica documentada y cesión irregular de datos a terceros. Para pyme el tope sancionador es 2% de facturación anual o 10 M€ (la mayor de las dos); para gran empresa 4% o 20 M€.

Continúa leyendo

Artículos sobre Cumplimiento

ENS

¿Hablamos de tu proyecto?

Primera sesión sin coste. Cuéntame el contexto y, si encajamos, te preparo propuesta a medida en 5 días.

hola@angelortegacastro.com → Formulario contacto