ISO 27001ISO 9001ISO 42001NIS2RGPDBSI C5:2026NIST CSF 2.0SOC 2
NIST CSF 2.0 · Ciberriesgo

NIST CSF 2.0: gestionar el ciberriesgo de forma estructurada

El NIST Cybersecurity Framework (CSF) 2.0 es un marco voluntario y reconocido a nivel mundial para gestionar el ciberriesgo. La versión 2.0, publicada en febrero de 2024, organiza la seguridad en seis funciones centrales y está dirigida a organizaciones de cualquier tamaño y sector. Esta página explica qué es el CSF 2.0, para quién tiene sentido (y para quién menos), cómo trabajan juntas las seis funciones, y cómo utilizar el marco con Sightadel como lenguaje común y capa de gestión.

¿Qué es NIST CSF 2.0?

El CSF fue desarrollado por el National Institute of Standards and Technology (NIST) de EE. UU. No es un catálogo de controles prescriptivo, sino que describe los resultados de ciberseguridad deseados — es decir, qué debería lograr una organización, no necesariamente cómo. Esto lo hace flexible para adaptarse al tamaño, el sector y la madurez.

La versión 2.0 trae tres actualizaciones clave:

  • Nueva función "Govern". La gobernanza, la estrategia de riesgo, los roles y el riesgo de la cadena de suministro se hacen visibles como una sexta función independiente — antes estaban dispersos en "Identify."
  • Alcance ampliado. El CSF ya no se dirige principalmente a las infraestructuras críticas, sino a todas las organizaciones.
  • Perfiles y niveles. Con los Organizational Profiles, asigna su estado actual y objetivo; los niveles describen la madurez de su enfoque del ciberriesgo.

Las seis funciones: Govern, Identify, Protect, Detect, Respond, Recover — juntas, un ciclo de vida del riesgo completo.

¿Para quién es útil NIST CSF 2.0 — y para quién menos?

El CSF 2.0 es útil para usted si …

… necesita un lenguaje común y orientado al negocio para el ciberriesgo — entre la TI, la dirección y la alta dirección. Especialmente adecuado si:

  • quiere que la ciberseguridad evolucione de una tarea técnica a una responsabilidad de gobernanza,
  • necesita comunicar el riesgo de forma comprensible a nivel ejecutivo y al consejo,
  • tiene socios internacionales o estadounidenses que esperan el CSF como referencia,
  • quiere organizar diversos requisitos (ISO 27001, NIS2, DORA) bajo un techo común.

El CSF 2.0 por sí solo no es suficiente si …

… necesita una prueba certificable por razones contractuales o regulatorias. El CSF no es certificable. Cuando los clientes exigen una certificación ISO 27001 o una atestación C5, el CSF no las sustituye — pero funciona excelentemente como una capa de gestión y estructuración general a la que pueden engancharse esas normas.

Las seis funciones de un vistazo

  • Govern (GV): estrategia, roles, políticas, gestión del riesgo y riesgo de la cadena de suministro. La base estratégica para las demás funciones.
  • Identify (ID): comprender los propios activos, sistemas, datos y riesgos.
  • Protect (PR): salvaguardas como el control de acceso, MFA, formación y copias de seguridad de datos.
  • Detect (DE): detectar anomalías y eventos de seguridad.
  • Respond (RS): responder a incidentes, contención, comunicación.
  • Recover (RC): restaurar servicios y mejorar tras los incidentes.

El reto típico al aplicar el CSF

  • Orientado a resultados, pero abstracto. El CSF indica qué lograr — no cómo. Traducir eso en medidas concretas y evidencia queda en manos de la organización.
  • Comparación estado actual/objetivo a mano. Mantener los Organizational Profiles en hojas de cálculo es tedioso y queda desactualizado rápidamente.
  • Un silo junto a otras normas. Sin vínculos con ISO 27001, NIS2 o C5, surge trabajo duplicado.

Cómo Sightadel simplifica la aplicación del CSF

Sightadel es el portal de cumplimiento dentro de la Pervigon Security Suite. Representa el CSF 2.0 con sus seis funciones, categorías y subcategorías, convirtiendo el modelo de resultados en un catálogo manejable de medidas y evidencias.

Del resultado a la medida. Sightadel vincula las subcategorías del CSF con medidas concretas y evidencia. "Qué debería lograrse" se convierte en "quién hace qué y para cuándo."
Perfil actual y objetivo siempre al día. Mantiene su Organizational Profile en el portal en lugar de en hojas de cálculo y ve el progreso por función de un vistazo.
Una capa de gestión común. El CSF sirve de techo: Sightadel asigna sus medidas tanto a las funciones del CSF como a los requisitos correspondientes de ISO 27001, NIS2 y DORA.
Reutilización de la evidencia. Una medida — como el control de acceso — satisface simultáneamente "Protect" en el CSF y el requisito correspondiente de ISO 27001 y NIS2. Una sola evidencia, varios marcos.
Sin consultores externos como muleta permanente. La lógica de asignación está integrada en el portal y respaldada por el núcleo neoAI. Su equipo gestiona el marco de forma autónoma.

NIST CSF 2.0 con Sightadel en la práctica

  1. 1
    Cree el perfil actual.Capture el estado actual por función y subcategoría.
  2. 2
    Defina el perfil objetivo.Establezca el estado objetivo y la madurez (nivel), y saque a la luz las lagunas.
  3. 3
    Derive medidas.Un plan priorizado con responsables y plazos — vinculado a sus demás normas.
  4. 4
    Gestione y comunique.Haga seguimiento del progreso y presente el ciberriesgo en términos listos para la dirección.

Preguntas frecuentes sobre NIST CSF 2.0

No. El CSF es un marco voluntario, no una norma certificable. Funciona como una capa de gestión y comunicación.

La gestión del ciberriesgo como estado, no como una instantánea

El ciberriesgo evoluciona continuamente — el CSF lo subraya explícitamente. Sightadel mantiene su perfil actual/objetivo y las medidas vinculadas continuamente al día, de modo que el marco siga siendo una práctica viva en lugar de una evaluación puntual.

Vea su perfil de CSF 2.0 en Sightadel.

Solicitar una demo