Normas
Una plataforma, tantos marcos normativos como necesite.
El catálogo abarca 28 marcos en 9 categorías: desde SGSI y privacidad hasta gobernanza de IA, operaciones específicas del sector e informes de sostenibilidad. Cada paquete cuesta €600/año. Incorporamos cualquier marco a tu instancia bajo petición —normalmente en torno a dos semanas, esté ya en el catálogo o no— y después queda disponible para todos al mismo precio. Sin límite máximo de estándares simultáneos en una misma instalación.
9 categorías
Qué cubre cada tipo de marco.
Los marcos de referencia se agrupan de forma natural en 9 categorías. La mayoría de las implementaciones se basan en una norma de SGSI, añaden el marco de privacidad que exigen sus datos y superponen paquetes sectoriales o de gobernanza de IA a medida que crece el alcance.
Ciberseguridad y SGSI
8
La columna vertebral de la seguridad de la información.
Bajar ↓
Privacidad y protección de datos
4
Registros y derechos al nivel que exige el regulador.
Bajar ↓
Gobernanza de la IA
2
La nueva superficie de cumplimiento normativo.
Bajar ↓
Sector financiero
4
Normas con marcas de tiempo y auditores.
Bajar ↓
Específico del sector
3
Marcos sectoriales que Cybsis mapea por usted.
Bajar ↓
Gestión de la calidad y la integridad
2
Sistemas de gestión más allá de la seguridad.
Bajar ↓
Medioambiente y sostenibilidad
3
Carbono, energía y divulgación de la UE.
Bajar ↓
Continuidad del negocio
1
SGCN y continuidad de las TIC.
Bajar ↓
Auditoría y aseguramiento
1
Atestación, no un catálogo de controles.
Bajar ↓
Ciberseguridad y SGSI · 8
La columna vertebral de la seguridad de la información.
Los marcos en los que se basan la mayoría de las implementaciones de Cybsis: ISO 27001 y el E-ITS estonio en el centro, junto con la gestión de riesgos (27005), la nube (27017/18), las obligaciones de NIS2 y la familia estadounidense NIST en paralelo.
E-ITS
EstoniaEstándar estonio de seguridad de la información (E-ITS) 2024
El estándar estonio obligatorio de seguridad de la información, con unas 1.600 medidas en el catálogo.
Disponible ahora
Más información →Cybsis Baseline
UniversalCybsis Baseline — las medidas esenciales de seguridad de la información que toda organización debería implantar
La base de seguridad esencial, incluida sin coste adicional en cada instalación de Cybsis.
Siempre incluido · sin partida adicional
Más información →BSI GS++
GermanyBSI IT-Grundschutz (BSI-Standards 200-1/200-2/200-3 + IT-Grundschutz-Kompendium)
The German federal information-security baseline — IT-Grundschutz building blocks mapped to a working ISMS, with Basis-, Standard- and Kern-Absicherung scoping.
Disponible ahora
Más información →ISO 27001
InternacionalISO/IEC 27001:2022 — Sistemas de gestión de la seguridad de la información
El estándar internacional de certificación de SGSI.
Disponible ahora
Más información →ISO 27005
InternacionalISO/IEC 27005:2022 — Gestión de riesgos de seguridad de la información
La metodología de gestión de riesgos que complementa ISO 27001.
Disponible ahora
Más información →NIS2
UEDirectiva NIS2 (UE) 2022/2555
La principal directiva de ciberseguridad de la UE: gestión de riesgos, notificación de incidentes y seguridad de la cadena de suministro para entidades esenciales e importantes.
Disponible ahora
Más información →ISO 27017 + ISO 27018
InternacionalISO/IEC 27017 (seguridad en la nube) + ISO/IEC 27018 (procesador de PII en la nube)
Las dos extensiones de ISO 27001 específicas para la nube: controles de seguridad para servicios en la nube y protección de PII en encargados del tratamiento en nubes públicas.
Bajo petición · ~2 semanas
Más información →Familia NIST
EE. UU.NIST CSF 2.0 + SP 800-53 + SP 800-171 + CMMC
La familia de marcos de ciberseguridad del gobierno federal de EE. UU. y del DoD: Cybersecurity Framework, dos catálogos de controles y el modelo de madurez CMMC.
Bajo petición · ~2 semanas
Más información →
Privacidad y protección de datos · 4
Registros y derechos al nivel que exige el regulador.
Registros del artículo 30 del GDPR, requisitos estatales de EE. UU. (CCPA/CPRA, HIPAA) e ISO 27701 como extensión PIMS sobre un SGSI existente.
RGPD
UEReglamento General de Protección de Datos (UE) 2016/679
El reglamento de protección de datos de la UE, más el trabajo de registros del artículo 30.
Disponible ahora
Más información →ISO 27701
InternacionalISO/IEC 27701:2019 — Gestión de la información de privacidad (PIMS)
La extensión de privacidad de ISO 27001. Conecta el ISMS y el RGPD mediante un Sistema de Gestión de Información de Privacidad.
Bajo petición · ~2 semanas
Más información →HIPAA
EE. UU.Ley de Portabilidad y Responsabilidad del Seguro Médico
El régimen estadounidense de privacidad y seguridad sanitaria: Privacy Rule, Security Rule y Breach Notification Rule.
Bajo petición · ~2 semanas
Más información →CCPA / CPRA
EE. UU.-CALey de Privacidad del Consumidor de California + Ley de Derechos de Privacidad de California
El régimen de privacidad del consumidor de California: el modelo para la ola de leyes estatales de privacidad en EE. UU.
Bajo petición · ~2 semanas
Más información →
Gobernanza de la IA · 2
La nueva superficie de cumplimiento normativo.
EU AI Act con ISO 42001 como estándar operativo, y US NIST AI RMF, ambos incluidos con mapeo previo para que los inventarios de sistemas de IA, las evaluaciones de conformidad y las revisiones de riesgos no empiecen desde cero.
Reglamento de IA de la UE + ISO 42001
UE + InternacionalLey de IA de la UE (Reg. 2024/1689) + ISO/IEC 42001:2023 (AIMS)
La regulación de IA de la UE por niveles de riesgo, junto con la norma internacional de Sistema de Gestión de IA. Se venden juntas porque sus conjuntos documentales se solapan.
Disponible ahora
Más información →NIST AI RMF + Marco de Privacidad
EE. UU.Marco de Gestión de Riesgos de IA de NIST 1.0 + Marco de Privacidad de NIST 1.0
Dos marcos NIST complementarios y voluntarios — gestión del riesgo de IA y privacidad — que usan el patrón "Profile" de NIST.
Bajo petición · ~2 semanas
Más información →
Sector financiero · 4
Normas con marcas de tiempo y auditores.
DORA para entidades financieras de la UE, PCI DSS para datos de tarjetas, SOX para empresas cotizadas en EE. UU. y SWIFT CSP para la mensajería interbancaria: los cuatro marcos que llegan con plazos estrictos y atestación externa.
DORA
UEReglamento de Resiliencia Operativa Digital (Reg. UE 2022/2554)
El reglamento de la UE sobre resiliencia operativa del sector financiero. Gestión de riesgos TIC, notificación de incidentes, supervisión de terceros y pruebas de penetración basadas en amenazas.
Disponible ahora
Más información →PCI DSS 4.0.1
InternacionalEstándar de Seguridad de Datos para la Industria de Tarjetas de Pago, versión 4.0.1
El estándar de seguridad para datos de tarjetas de pago. Obligatorio por contrato con las marcas de tarjetas para cualquiera que almacene, procese o transmita datos de titulares de tarjetas.
Bajo petición · ~2 semanas
Más información →SOX
EE. UU.Ley Sarbanes-Oxley de 2002
Controles internos sobre la información financiera para empresas públicas de EE. UU. Certificaciones de las secciones 302/404/906 y controles generales de TI.
Bajo petición · ~2 semanas
Más información →SWIFT CSP
InternacionalPrograma de Seguridad del Cliente de SWIFT (CSCF v2024)
El marco de seguridad para la interconexión bancaria. Autocertificación anual obligatoria frente al Customer Security Controls Framework.
Bajo petición · ~2 semanas
Más información →
Específico del sector · 3
Marcos sectoriales que Cybsis mapea por usted.
ISO 13485 para dispositivos médicos, NERC CIP para el sistema eléctrico interconectado norteamericano, TISAX para cadenas de suministro de automoción: especializados por naturaleza y costosos de mapear desde cero si aún no dispone de ellos.
TISAX
AlemaniaTrusted Information Security Assessment Exchange (VDA ISA 6.0.4)
El marco alemán de seguridad de la información para automoción. Obligatorio por contrato para proveedores que gestionan información de OEM.
Bajo petición · ~2 semanas
Más información →ISO 13485
InternacionalISO 13485:2016 — SGC para dispositivos médicos
La norma de gestión de la calidad para productos sanitarios. Obligatoria para el marcado CE bajo el MDR/IVDR de la UE y para el registro ante la FDA en EE. UU.
Bajo petición · ~2 semanas
Más información →NERC CIP
EE. UU. + CanadáNorth American Electric Reliability Corporation — Protección de Infraestructuras Críticas
El estándar de ciberseguridad para el sistema eléctrico masivo de EE. UU. y Canadá. Aplicado por la FERC, con sanciones civiles de hasta 1 millón de dólares por día y por infracción.
Bajo petición · ~2 semanas
Más información →
Gestión de la calidad y la integridad · 2
Sistemas de gestión más allá de la seguridad.
ISO 9001 para la gestión de la calidad e ISO 37001 para la gestión antisoborno: ambas comparten el Anexo SL con ISO 27001, por lo que un único SGSI no entra en conflicto con ellas.
ISO 9001
InternacionalISO 9001:2015 — Sistemas de gestión de la calidad
La norma internacional de gestión de la calidad.
Disponible ahora
Más información →ISO 37001
InternacionalISO 37001:2016 — Sistemas de gestión antisoborno (ABMS)
La norma internacional de gestión antisoborno. Familia Annex SL; se comercializa junto con ISO 9001 e ISO 27001.
Bajo petición · ~2 semanas
Más información →
Medioambiente y sostenibilidad · 3
Carbono, energía y divulgación de la UE.
ISO 14001 SGA, ISO 50001 SGEn y CSRD/ESRS con alineación con la Taxonomía de la UE: el régimen de información en el que ahora entran las empresas cotizadas de la UE y las grandes empresas no cotizadas.
ISO 14001
InternacionalISO 14001:2015 — Sistemas de gestión ambiental
La norma internacional de gestión ambiental.
Disponible ahora
Más información →ISO 50001
InternacionalISO 50001:2018 — Sistemas de gestión de la energía (SGEn)
La norma Annex SL de gestión energética. Sus datos alimentan la divulgación climática CSRD E1.
Bajo petición · ~2 semanas
Más información →CSRD / ESRS / Taxonomía de la UE
UEDirectiva sobre información corporativa en materia de sostenibilidad + Normas Europeas de Información sobre Sostenibilidad + Reglamento de Taxonomía de la UE
El régimen de información sobre sostenibilidad de la UE. Evaluación de doble materialidad + 12 normas temáticas ESRS + divulgación de alineación con la Taxonomía.
Bajo petición · ~2 semanas
Más información →
Continuidad del negocio · 1
SGCN y continuidad de las TIC.
La familia ISO 22300 — BCMS, gestión de crisis, preparación para la continuidad de las TIC — en un único paquete.
serie ISO 22300
InternacionalISO 22301 (SGCN) + ISO 22361 (gestión de crisis) + ISO 27031 (preparación de las TIC)
La familia de continuidad del negocio: BCMS, gestión de crisis y preparación TIC para la continuidad del negocio. Se vende como un único paquete.
Disponible ahora
Más información →
Auditoría y aseguramiento · 1
Atestación, no un catálogo de controles.
SOC 2: certificación impulsada por auditor frente a los Trust Services Criteria. Es de naturaleza distinta al resto; se incluye para que los clientes que prestan servicio a empresas estadounidenses puedan gestionarlo junto con su SGSI principal.
SOC 2
EE. UU.SOC 2 — Criterios de Servicios de Confianza de AICPA
El marco estadounidense de auditoría para proveedores empresariales. Atestación guiada por auditor frente a los Trust Services Criteria; no es un catálogo de controles.
Bajo petición · ~2 semanas
Más información →
Antes de configurar
Dos cosas que conviene saber.
Cybsis Baseline viene en cada instancia
Cada instancia de Cybsis incluye Cybsis Baseline activa por defecto: la base de seguridad esencial de la que parte cada instancia. No cuenta para el cupo de estándares incluidos en el combo, no aparece en la factura y no puede desmarcarse en el configurador.
Es la base de seguridad que conviene tener sea cual sea la certificación que persigas: asígnale un alcance y queda operativa, y añade encima cualquier otro marco cuando quieras.
Paquetes combinados y el pack de €600/año
Esencial y Razonable incluyen cada uno 1 estándar de su elección; Completo agrupa 3. Cada marco adicional cuesta €600/año por paquete, sin límite máximo de estándares simultáneos en una misma instalación.
El configurador muestra el total actualizado a medida que marca o desmarca marcos normativos, para que vea el coste incremental de añadir ISO 27001 junto con NIS2 en la misma vista en la que los selecciona.
¿Necesita algo que no está en el catálogo?
Esquemas sectoriales específicos (ISO 14971, IEC 62443, AS9100, HITRUST CSF, FDA 21 CFR Part 820…), variantes nacionales de marcos ya cubiertos o un marco contractual específico de sus clientes: indíquelo en la solicitud de presupuesto. La ingesta del catálogo, el mapeo de controles y la carga inicial nos llevan aproximadamente dos semanas; después, se incorpora al catálogo para todos por €600/año por paquete.
Solicite un presupuesto →Elija los marcos normativos. La plataforma los gestiona en paralelo.
Una sola interfaz de SGSI, un único conjunto de controles y una biblioteca de evidencias común, incluso cuando media docena de marcos están activos en la misma instalación. El configurador muestra qué añade cada paquete adicional a la factura antes de confirmar.