UNE-EN ISO/IEC 27006-1:2024: la norma que garantiza la credibilidad de la certificación ISO 27001

EN: Sistemas de Gestión

31 de marzo de 2026. Esa es la fecha que marca el final del periodo de transición a la norma UNE-EN ISO/IEC 27006-1:2024, de Tecnologías de la información, ciberseguridad y protección de la privacidad. Requisitos para organismos que realizan auditorías y certificación de sistemas de gestión de seguridad de la información. Parte 1: Generalidades. A partir de ese momento, solo los organismos que cumplan con este nuevo estándar estarán plenamente habilitados para auditar y certificar Sistemas de Gestión de la Seguridad de la Información (SGSI) de conformidad con ISO/IEC 27001, reforzando la fiabilidad y el reconocimiento internacional de las certificaciones.

Este cambio normativo tiene impacto directo en la forma en la que se planifican, calculan y ejecutan las auditorías ISO 27001, especialmente en lo relativo a duración, alcance y criterios de competencia.

¿Qué es la norma UNE-EN ISO/IEC 27006-1:2024?

La UNE-EN ISO/IEC 27006-1:2024 es una actualización clave que establece los requisitos específicos que deben cumplir los organismos de certificación que auditan SGSI conforme a ISO/IEC 27001, de Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos. Además, esta norma complementa a la ISO/IEC 17021-1, de Evaluación de la conformidad – Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión, adaptando sus principios generales al contexto particular de la seguridad de la información, la ciberseguridad y la protección de la privacidad.

Su objetivo principal es garantizar que las auditorías y certificaciones ISO 27001 se realizan de forma competente, coherente e imparcial, asegurando que los certificados emitidos tengan competencia técnica y valor real en el mercado.

¿A quién aplica la UNE-EN ISO/IEC 27006-1:2024 y por qué es tan importante?

A diferencia de la ISO/IEC 27001, que se aplica a las organizaciones que implantan un SGSI, la ISO/IEC 27006-1:2024 se dirige a los organismos que certifican esos sistemas. Esto significa que no regula cómo implantarlos, sino cómo auditarlos y certificarlos correctamente.

La confianza en una certificación ISO 27001 depende directamente de la competencia del certificador. Por ello, la norma UNE-EN ISO/IEC 27006-1:2024 resulta fundamental para:

  • Asegurar la competencia técnica de los auditores de SGSI.
  • Garantizar la imparcialidad y coherencia en los procesos de certificación.
  • Facilitar el reconocimiento internacional de los certificados ISO 27001.
  • Evitar diferencias de criterio entre auditorías similares en distintos países.

Principales novedades de la ISO/IEC 27006-1:2024 frente a la versión 2015

La  versión 2024 introduce cambios significativos con respecto a la ISO/IEC 27006:2015 en cuanto a los criterios de auditoría ISO 27001, especialmente en la planificación y el cálculo del tiempo de la misma:

  • Cálculo del tiempo de auditoría basado en el número total de personas. El tiempo de auditoría debe calcularse considerando a todas las personas bajo el control de la organización incluidas en el alcance del SGSI, no únicamente al personal de TI o a los usuarios directos del sistema.
  • Clasificación del personal en actividades idénticas. La nueva normativa obliga a agrupar a los trabajadores por tipologías homogéneas (teleoperadores, comerciales, operarios, personal sin acceso a sistemas, etc.) para poder aplicar reducciones de tiempo de forma coherente y documentada.
  • Nuevos criterios de complejidad y riesgo del SGSI. Factores como el tipo de actividad, el entorno tecnológico, el uso de proveedores externos, la criticidad de los servicios o la madurez del SGSI pueden incrementar o reducir la duración mínima de la auditoría ISO 27001.
  • Requisitos más precisos para auditorías remotas. Se perfeccionan los criterios para el uso de técnicas de auditoría remota, estableciendo límites claros para garantizar la eficacia, la trazabilidad y la fiabilidad de los resultados.
  • Cambios en auditorías multisitio. Se clarifica cómo deben evaluarse organizaciones con múltiples sedes:
    • Identificación de sedes relevantes.
    • Criterios de muestreo.
    • Impacto de centros de procesamiento de datos (CPD) internos o externalizados.
  • Nuevos requisitos para ampliaciones de alcance. Cuando un cliente amplía el alcance de su certificación ISO 27001 (nuevos procesos, actividades o centros), la norma exige un incremento mínimo obligatorio del tiempo de auditoría:
    • +0,5 días si la ampliación se evalúa junto con una auditoría de seguimiento o renovación.
    • +1 día si requiere auditoría independiente.

Este incremento es obligatorio y se suma al tiempo recalculado en función de personas, complejidad y riesgo.

  • Otros cambios relevantes:
    • Eliminación del requisito cuantitativo relativo a la experiencia laboral y la formación de los auditores del SGSI, priorizando la competencia demostrada en contexto SGSI.
    • Actualización del Anexo D para alinearlo con los controles de seguridad de la información enumerados en el Anexo A de la norma ISO/IEC 27001:2022.
    • Eliminación de redundancias con ISO/IEC 17021-1:2015.

Cronograma de transición a la UNE-EN ISO/IEC 27006-1:2024

La norma fue publicada el 31 de marzo de 2024 y el calendario de transición, de acuerdo con ENAC, establece que:

  • Hasta el 31 de marzo de 2026, las auditorías ISO 27001 podrán realizarse con los criterios anteriores, siempre que no hayan transcurrido más de dos meses desde la fecha en que ENAC haya actualizado formalmente la acreditación.
  • A partir del 1 de abril de 2026 (o dos meses desde la actualización de la acreditación, si esto ocurriera antes), la aplicación de los nuevos criterios será obligatoria en todas las auditorías.

Puntos Clave de la norma ISO/IEC 27006-1:2024

  • Complementa a otras normas. Se apoya en la estructura de la ISO/IEC 17021-1 e incorpora requisitos específicos para la certificación de SGSI conforme a ISO/IEC 27001:2022.
  • Acreditación y confianza. El cumplimiento de sus requisitos por parte de los organismos de certificación refuerza la confianza, la coherencia y la aceptación internacional de las certificaciones ISO 27001.
  • Usuarios principales. Está dirigida principalmente a los organismos de certificación que auditan SGSI, así como a los organismos de acreditación que evalúan su competencia.
  • Transición a la versión 2022. La versión 2024 actualiza los criterios de auditoría para alinearse con los controles de seguridad de la información enumerados en el Anexo A de la ISO/IEC 27001:2022.

GAIAMBIENTE, tu aliado en la transición a la UNE-EN ISO/IEC 27006-1:2024

En GAIAMBIENTE, ofrecemos servicios de consultoría integral en sistemas de gestión. Acompañamos a nuestros clientes en la preparación de auditorías ISO 27001, el mantenimiento y mejora de SGSI implantados y la integración de nuevos sistemas de gestión.

Estamos preparados para asesorarte sobre los cambios que introduce la UNE-EN ISO/IEC 27006-1:2024, especialmente en lo relativo al cálculo del tiempo de auditoría, la planificación, el alcance y los criterios de complejidad y riesgo, a fin de que tu empresa pueda trasladar la información adecuada a las entidades certificadoras y facilitar el proceso de auditoría. Nuestro objetivo es garantizar una transición ordenada, conforme a los requisitos de acreditación y alineada con las mejores prácticas internacionales.

Si necesitas asesoramiento experto en la certificación ISO 27001 o en la transición a la ISO/IEC 27006-1:2024, contacta con nosotros.

Buscar

Agricultura
Cambio Climático
Ecology
Economía Circular
Educación
Energías Renovables
Estudio de Impacto
Europa
Hidrología
ISO
Madrid
Noticias
Residuos
RSC
Sistemas de Gestión
Sostenibilidad
Voluntariado