Saltar al contenido
Cybsis

Normas

Una plataforma, tantos marcos normativos como necesite.

El catálogo abarca 28 marcos en 9 categorías: desde SGSI y privacidad hasta gobernanza de IA, operaciones específicas del sector e informes de sostenibilidad. Cada paquete cuesta €600/año. Incorporamos cualquier marco a tu instancia bajo petición —normalmente en torno a dos semanas, esté ya en el catálogo o no— y después queda disponible para todos al mismo precio. Sin límite máximo de estándares simultáneos en una misma instalación.

Ciberseguridad y SGSI · 8

La columna vertebral de la seguridad de la información.

Los marcos en los que se basan la mayoría de las implementaciones de Cybsis: ISO 27001 y el E-ITS estonio en el centro, junto con la gestión de riesgos (27005), la nube (27017/18), las obligaciones de NIS2 y la familia estadounidense NIST en paralelo.

  • E-ITS

    Estonia

    Estándar estonio de seguridad de la información (E-ITS) 2024

    El estándar estonio obligatorio de seguridad de la información, con unas 1.600 medidas en el catálogo.

    Disponible ahora

    Más información →
  • Cybsis Baseline

    Universal

    Cybsis Baseline — las medidas esenciales de seguridad de la información que toda organización debería implantar

    La base de seguridad esencial, incluida sin coste adicional en cada instalación de Cybsis.

    Siempre incluido · sin partida adicional

    Más información →
  • BSI GS++

    Germany

    BSI IT-Grundschutz (BSI-Standards 200-1/200-2/200-3 + IT-Grundschutz-Kompendium)

    The German federal information-security baseline — IT-Grundschutz building blocks mapped to a working ISMS, with Basis-, Standard- and Kern-Absicherung scoping.

    Disponible ahora

    Más información →
  • ISO 27001

    Internacional

    ISO/IEC 27001:2022 — Sistemas de gestión de la seguridad de la información

    El estándar internacional de certificación de SGSI.

    Disponible ahora

    Más información →
  • ISO 27005

    Internacional

    ISO/IEC 27005:2022 — Gestión de riesgos de seguridad de la información

    La metodología de gestión de riesgos que complementa ISO 27001.

    Disponible ahora

    Más información →
  • NIS2

    UE

    Directiva NIS2 (UE) 2022/2555

    La principal directiva de ciberseguridad de la UE: gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro para entidades esenciales e importantes.

    Disponible ahora

    Más información →
  • ISO 27017 + ISO 27018

    Internacional

    ISO/IEC 27017 (seguridad en la nube) + ISO/IEC 27018 (procesador de PII en la nube)

    Las dos extensiones de ISO 27001 específicas para la nube: controles de seguridad para servicios en la nube y protección de PII en encargados del tratamiento en nubes públicas.

    Bajo petición · ~2 semanas

    Más información →
  • Familia NIST

    EE. UU.

    NIST CSF 2.0 + SP 800-53 + SP 800-171 + CMMC

    La familia de marcos de ciberseguridad del gobierno federal de EE. UU. y del DoD: Cybersecurity Framework, dos catálogos de controles y el modelo de madurez CMMC.

    Bajo petición · ~2 semanas

    Más información →

Privacidad y protección de datos · 4

Registros y derechos al nivel que exige el regulador.

Registros del artículo 30 del GDPR, requisitos estatales de EE. UU. (CCPA/CPRA, HIPAA) e ISO 27701 como extensión PIMS sobre un SGSI existente.

  • RGPD

    UE

    Reglamento General de Protección de Datos (UE) 2016/679

    El reglamento de protección de datos de la UE, más el trabajo de registros del artículo 30.

    Disponible ahora

    Más información →
  • ISO 27701

    Internacional

    ISO/IEC 27701:2019 — Gestión de la información de privacidad (PIMS)

    La extensión de privacidad de ISO 27001. Conecta el ISMS y el RGPD mediante un Sistema de Gestión de Información de Privacidad.

    Bajo petición · ~2 semanas

    Más información →
  • HIPAA

    EE. UU.

    Ley de Portabilidad y Responsabilidad del Seguro Médico

    El régimen estadounidense de privacidad y seguridad sanitaria: Privacy Rule, Security Rule y Breach Notification Rule.

    Bajo petición · ~2 semanas

    Más información →
  • CCPA / CPRA

    EE. UU.-CA

    Ley de Privacidad del Consumidor de California + Ley de Derechos de Privacidad de California

    El régimen de privacidad del consumidor de California: el modelo para la ola de leyes estatales de privacidad en EE. UU.

    Bajo petición · ~2 semanas

    Más información →

Gobernanza de la IA · 2

La nueva superficie de cumplimiento normativo.

EU AI Act con ISO 42001 como estándar operativo, y US NIST AI RMF, ambos incluidos con mapeo previo para que los inventarios de sistemas de IA, las evaluaciones de conformidad y las revisiones de riesgos no empiecen desde cero.

  • Reglamento de IA de la UE + ISO 42001

    UE + Internacional

    Ley de IA de la UE (Reg. 2024/1689) + ISO/IEC 42001:2023 (AIMS)

    La regulación de IA de la UE por niveles de riesgo, junto con la norma internacional de Sistema de Gestión de IA. Se venden juntas porque sus conjuntos documentales se solapan.

    Disponible ahora

    Más información →
  • NIST AI RMF + Marco de Privacidad

    EE. UU.

    Marco de Gestión de Riesgos de IA de NIST 1.0 + Marco de Privacidad de NIST 1.0

    Dos marcos NIST complementarios y voluntarios — gestión del riesgo de IA y privacidad — que usan el patrón "Profile" de NIST.

    Bajo petición · ~2 semanas

    Más información →

Sector financiero · 4

Normas con marcas de tiempo y auditores.

DORA para entidades financieras de la UE, PCI DSS para datos de tarjetas, SOX para empresas cotizadas en EE. UU. y SWIFT CSP para la mensajería interbancaria: los cuatro marcos que llegan con plazos estrictos y atestación externa.

  • DORA

    UE

    Reglamento de Resiliencia Operativa Digital (Reg. UE 2022/2554)

    El reglamento de la UE sobre resiliencia operativa del sector financiero. Gestión de riesgos TIC, notificación de incidentes, supervisión de terceros y pruebas de penetración basadas en amenazas.

    Disponible ahora

    Más información →
  • PCI DSS 4.0.1

    Internacional

    Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago, versión 4.0.1

    El estándar de seguridad para datos de tarjetas de pago. Obligatorio por contrato con las marcas de tarjetas para cualquiera que almacene, procese o transmita datos de titulares de tarjetas.

    Bajo petición · ~2 semanas

    Más información →
  • SOX

    EE. UU.

    Ley Sarbanes-Oxley de 2002

    Controles internos sobre la información financiera para empresas públicas de EE. UU. Certificaciones de las secciones 302/404/906 y controles generales de TI.

    Bajo petición · ~2 semanas

    Más información →
  • SWIFT CSP

    Internacional

    Programa de Seguridad del Cliente de SWIFT (CSCF v2024)

    El marco de seguridad para la interconexión bancaria. Autocertificación anual obligatoria frente al Customer Security Controls Framework.

    Bajo petición · ~2 semanas

    Más información →

Específico del sector · 3

Marcos sectoriales que Cybsis mapea por usted.

ISO 13485 para dispositivos médicos, NERC CIP para el sistema eléctrico interconectado norteamericano, TISAX para cadenas de suministro de automoción: especializados por naturaleza y costosos de mapear desde cero si aún no dispone de ellos.

  • TISAX

    Alemania

    Trusted Information Security Assessment Exchange (VDA ISA 6.0.4)

    El marco alemán de seguridad de la información para automoción. Obligatorio por contrato para proveedores que gestionan información de OEM.

    Bajo petición · ~2 semanas

    Más información →
  • ISO 13485

    Internacional

    ISO 13485:2016 — SGC para dispositivos médicos

    La norma de gestión de la calidad para productos sanitarios. Obligatoria para el marcado CE bajo el MDR/IVDR de la UE y para el registro ante la FDA en EE. UU.

    Bajo petición · ~2 semanas

    Más información →
  • NERC CIP

    EE. UU. + Canadá

    North American Electric Reliability Corporation — Protección de Infraestructuras Críticas

    El estándar de ciberseguridad para el sistema eléctrico masivo de EE. UU. y Canadá. Aplicado por la FERC, con sanciones civiles de hasta 1 millón de dólares por día y por infracción.

    Bajo petición · ~2 semanas

    Más información →

Gestión de la calidad y la integridad · 2

Sistemas de gestión más allá de la seguridad.

ISO 9001 para la gestión de la calidad e ISO 37001 para la gestión antisoborno: ambas comparten el Anexo SL con ISO 27001, por lo que un único SGSI no entra en conflicto con ellas.

  • ISO 9001

    Internacional

    ISO 9001:2015 — Sistemas de gestión de la calidad

    La norma internacional de gestión de la calidad.

    Disponible ahora

    Más información →
  • ISO 37001

    Internacional

    ISO 37001:2016 — Sistemas de gestión antisoborno (ABMS)

    La norma internacional de gestión antisoborno. Familia Annex SL; se comercializa junto con ISO 9001 e ISO 27001.

    Bajo petición · ~2 semanas

    Más información →

Medioambiente y sostenibilidad · 3

Carbono, energía y divulgación de la UE.

ISO 14001 SGA, ISO 50001 SGEn y CSRD/ESRS con alineación con la Taxonomía de la UE: el régimen de información en el que ahora entran las empresas cotizadas de la UE y las grandes empresas no cotizadas.

  • ISO 14001

    Internacional

    ISO 14001:2015 — Sistemas de gestión ambiental

    La norma internacional de gestión ambiental.

    Disponible ahora

    Más información →
  • ISO 50001

    Internacional

    ISO 50001:2018 — Sistemas de gestión de la energía (SGEn)

    La norma Annex SL de gestión energética. Sus datos alimentan la divulgación climática CSRD E1.

    Bajo petición · ~2 semanas

    Más información →
  • CSRD / ESRS / Taxonomía de la UE

    UE

    Directiva sobre información corporativa en materia de sostenibilidad + Normas Europeas de Información sobre Sostenibilidad + Reglamento de Taxonomía de la UE

    El régimen de información sobre sostenibilidad de la UE. Evaluación de doble materialidad + 12 normas temáticas ESRS + divulgación de alineación con la Taxonomía.

    Bajo petición · ~2 semanas

    Más información →

Continuidad del negocio · 1

SGCN y continuidad de las TIC.

La familia ISO 22300 — BCMS, gestión de crisis, preparación para la continuidad de las TIC — en un único paquete.

  • serie ISO 22300

    Internacional

    ISO 22301 (SGCN) + ISO 22361 (gestión de crisis) + ISO 27031 (preparación de las TIC)

    La familia de continuidad del negocio: BCMS, gestión de crisis y preparación TIC para la continuidad del negocio. Se vende como un único paquete.

    Disponible ahora

    Más información →

Auditoría y aseguramiento · 1

Atestación, no un catálogo de controles.

SOC 2: certificación impulsada por auditor frente a los Trust Services Criteria. Es de naturaleza distinta al resto; se incluye para que los clientes que prestan servicio a empresas estadounidenses puedan gestionarlo junto con su SGSI principal.

  • SOC 2

    EE. UU.

    SOC 2 — Criterios de Servicios de Confianza de AICPA

    El marco estadounidense de auditoría para proveedores empresariales. Atestación guiada por auditor frente a los Trust Services Criteria; no es un catálogo de controles.

    Bajo petición · ~2 semanas

    Más información →

Antes de configurar

Dos cosas que conviene saber.

Cybsis Baseline viene en cada instancia

Cada instancia de Cybsis incluye Cybsis Baseline activa por defecto: la base de seguridad esencial de la que parte cada instancia. No cuenta para el cupo de estándares incluidos en el combo, no aparece en la factura y no puede desmarcarse en el configurador.

Es la base de seguridad que conviene tener sea cual sea la certificación que persigas: asígnale un alcance y queda operativa, y añade encima cualquier otro marco cuando quieras.

Paquetes combinados y el pack de €600/año

Esencial y Razonable incluyen cada uno 1 estándar de su elección; Completo agrupa 3. Cada marco adicional cuesta €600/año por paquete, sin límite máximo de estándares simultáneos en una misma instalación.

El configurador muestra el total actualizado a medida que marca o desmarca marcos normativos, para que vea el coste incremental de añadir ISO 27001 junto con NIS2 en la misma vista en la que los selecciona.

¿Necesita algo que no está en el catálogo?

Esquemas sectoriales específicos (ISO 14971, IEC 62443, AS9100, HITRUST CSF, FDA 21 CFR Part 820…), variantes nacionales de marcos ya cubiertos o un marco contractual específico de sus clientes: indíquelo en la solicitud de presupuesto. La ingesta del catálogo, el mapeo de controles y la carga inicial nos llevan aproximadamente dos semanas; después, se incorpora al catálogo para todos por €600/año por paquete.

Solicite un presupuesto →

Elija los marcos normativos. La plataforma los gestiona en paralelo.

Una sola interfaz de SGSI, un único conjunto de controles y una biblioteca de evidencias común, incluso cuando media docena de marcos están activos en la misma instalación. El configurador muestra qué añade cada paquete adicional a la factura antes de confirmar.