Supervisión BSI bajo NIS-2: deberes y multas 2026
Supervisión BSI bajo NIS-2 desde 2026: registro, notificación en 24 horas, auditorías, multas hasta 10 M EUR. Plan operativo de 14 semanas.
Supervisión BSI bajo NIS-2: deberes y marco sancionador para operadores KRITIS medianos
La NIS2UmsuCG introduce un nuevo régimen de supervisión. El BSI examina la gestión de riesgos, los canales de notificación y la seguridad física. Las multas alcanzan los 10 M EUR. Los consejos de administración responden personalmente. Este artículo ordena el marco legal, los plazos y las consecuencias operativas para operadores con entre 50 y 2.000 empleados.
Supervisión BSI bajo NIS-2: el marco legal 2026
La Directiva NIS-2 se transpone al derecho alemán mediante la NIS2UmsuCG. El BSI se convierte en autoridad central de supervisión para entidades esenciales e importantes. Sus competencias incluyen registro, auditorías, requerimientos y multas. La Directiva NIS-2 obliga a las entidades a implantar gestión de riesgos, notificación en 24 horas y prueba de medidas físicas de seguridad.
La supervisión abarca dos planos: gestión del riesgo de ciberseguridad según el art. 21 NIS-2 y medidas físicas de seguridad en el perímetro. La separación entre TI y seguridad física, todavía presente en muchos organigramas, ya no es sostenible bajo NIS-2.
El ámbito de aplicación cubre 18 sectores. Entre ellos: energía, transporte, banca, salud, agua potable, infraestructura digital, administración pública, espacio, correo, residuos, química, alimentación, fabricación de maquinaria, proveedores digitales e investigación. Los umbrales activan los deberes automáticamente: 50 o más empleados o 10 M EUR de facturación anual.
La autoidentificación es obligatoria. El BSI no publica una lista completa de operadores. Permanecer por debajo del umbral de percepción de la autoridad no exime. La carga de la prueba sobre la no aplicabilidad recae en el operador. Véase también el resumen de cumplimiento NIS-2.
Obligación de registro ante el BSI: plazos y datos
El registro se realiza a través del portal de notificación del BSI. El plazo es de tres meses tras la entrada en vigor del deber respectivo. Un registro tardío o incompleto es sancionable.
Datos a declarar:
- Razón social y forma jurídica.
- Sector y subsector según anexo I o II.
- Rangos de IP y dominios de la infraestructura utilizada.
- Persona responsable de seguridad informática.
- Punto de contacto 24/7 con teléfono y correo electrónico.
Ante cualquier cambio sustancial rige una obligación de actualización en un plazo de dos semanas. Sustancial es todo cambio en la pertenencia sectorial, el punto de contacto o los bloques de direcciones IP. Las declaraciones falsas o el registro tardío conllevan multas de hasta 7 M EUR o el 1,4 por ciento de la facturación anual.
Importante para operadores KRITIS: la vinculación con el registro bajo la KRITIS-Dachgesetz ante el BBK no es automática. Son dos procedimientos separados, con autoridades, formularios y plazos distintos. La KRITIS-Dachgesetz complementa NIS-2 con los deberes de resiliencia física y exige registro separado ante el BBK. Guía operativa para el registro ante el Bundesamt: registro BBK paso a paso.
Deberes de prueba: lo que el BSI quiere ver
La supervisión es documental. Sin pruebas legibles, una medida se considera no implementada. El BSI examina los siguientes módulos:
Análisis de riesgos según art. 21 NIS-2. Evaluación documentada de vectores de ataque físicos y lógicos. Obligación de actualización ante cambios sustanciales, mínimo anual.
Catálogo de medidas. Control de acceso, protección perimetral, detección, respuesta a incidentes, criptografía, gestión de vulnerabilidades, copia de seguridad, continuidad de negocio. Cada punto con rol responsable y valoración de madurez.
Seguridad de la cadena de suministro. Evaluación de proveedores y prestadores críticos. Esto incluye servicios de Wachschutz, proveedores cloud y empresas de mantenimiento. Los contratos deben incluir requisitos de seguridad y derechos de auditoría.
Pruebas de formación. Dirección y personal técnico con repetición anual. Certificados de participación, contenidos y fechas deben conservarse.
Logs técnicos. Datos SIEM, registros de acceso, sensores perimetrales. Retención mínima doce meses, recuperables en 48 horas a petición. Cf. recomendaciones del BSI según BSIG §8a apdo. 3.
El BSI es, conforme al BSIG, autoridad central de supervisión para los operadores KRITIS y ejecuta registros, controles y sanciones. Los deberes de prueba rigen con independencia de que la autoridad inspeccione activamente.
Deberes de notificación: alerta temprana en 24 horas e informes de seguimiento
La cadena de notificación tiene tres etapas y no es negociable:
- Notificación inicial en 24 horas. Alerta temprana al BSI indicando si el incidente fue presuntamente causado por acción ilícita y si son posibles efectos transfronterizos.
- Informe detallado en 72 horas. Primera valoración del daño, Indicators of Compromise, sistemas afectados, estado de la contención.
- Informe final en un mes. Análisis de causa raíz, descripción completa del daño, lecciones aprendidas, medidas de seguimiento previstas.
El umbral de relevancia requiere interpretación. Se activa ante una interrupción operativa significativa, un daño financiero por encima de un valor fijado por la autoridad o un impacto sobre terceros. En la duda, se notifica, no se retiene. Una notificación omitida se sanciona con más dureza que una emitida por cautela.
También los incidentes físicos son notificables si los sistemas TI están afectados. Ejemplos: vuelo de dron sobre un centro de datos con interferencia de radio simultánea. Brecha perimetral con acceso a salas de servidores. Sabotaje a la alimentación eléctrica con fallo de refrigeración. La separación operativa entre Werkschutz y Security Operations Center debe salvarse con una lógica de notificación común.
Procedimiento de auditoría e inspecciones in situ por el BSI
La NIS2UmsuCG distingue dos modos de supervisión.
Entidades esenciales quedan sujetas a supervisión proactiva. El BSI inspecciona de forma anunciada y no anunciada, sin que sea necesario un incidente previo. Son posibles los controles por muestreo.
Entidades importantes se inspeccionan de forma reactiva. Los detonantes son incidentes, denuncias o indicios concretos de infracciones.
El alcance de la inspección incluye típicamente:
- Revisión documental del análisis de riesgos y del catálogo de medidas.
- Pruebas técnicas, incluidos tests de penetración o verificación de configuraciones.
- Entrevistas con dirección, CISO, protección de datos y jefatura de Werkschutz.
- Inspección in situ en el perímetro, el centro de datos y los puntos de transferencia.
El BSI puede encargar auditores externos. Los costes los soporta el operador. Esto rige también cuando la inspección termina sin objeciones. Las pruebas sobre seguridad perimetral, técnica de detección y capacidad de respuesta forman cada vez más parte del control, no solo la capa de TI.
Multas y responsabilidad personal del consejo
La estructura sancionadora es de dos niveles:
| Categoría | Multa máxima |
|---|---|
| Entidades esenciales | 10 M EUR o 2 % de la facturación anual mundial |
| Entidades importantes | 7 M EUR o 1,4 % de la facturación anual mundial |
Prevalece en cada caso el importe mayor. La cuantificación se rige por gravedad, duración, dolo y disposición a cooperar.
La dirección responde personalmente por la implantación de la gestión de riesgos y la participación en formaciones. La delegación en el CISO no exime al consejo. Los seguros D&O excluyen cada vez más las infracciones contra los deberes NIS-2. Las coberturas existentes están considerablemente limitadas. Las pólizas vigentes deben revisarse.
En el caso de entidades esenciales, el BSI puede, como ultima ratio, prohibir temporalmente el ejercicio de funciones directivas. Las sanciones personales a nivel de consejo eran hasta ahora poco frecuentes en el derecho económico alemán. NIS-2 marca aquí una nueva calidad supervisora. Profundización en responsabilidad del consejo bajo NIS-2.
La seguridad física como componente del cumplimiento NIS-2
El art. 21 apdo. 2 lit. e NIS-2 exige expresamente medidas para la seguridad del entorno físico de los sistemas TI. No es interpretación, es texto legal. Protección perimetral, control de acceso y detección son directamente relevantes para la auditoría.
El reto operativo: los servicios de Wachschutz con personal raramente entregan la calidad de auditoría exigida. Los libros de Streife se reconstruyen a posteriori. Los relevos entre turnos generan lagunas. Según datos sectoriales de la BDSW, los servicios de Wachschutz con personal en DACH con cobertura 24/7 cuestan entre 15.000 y 25.000 EUR mensuales por Posten. [Recopilación propia Quarero Robotics 2024, n=47 emplazamientos KRITIS.] Datos comparativos en costes de Wachschutz comparados.
Los robots autónomos de patrullaje entregan logs de auditoría sin lagunas, con marca temporal, ubicación y evento de sensor. Las plataformas QR-2 y QR-3 de Quarero generan conjuntos de datos utilizables forensemente. El auditor del BSI los lee con la misma lógica que los datos SIEM. La detección térmica y LiDAR cumple el requisito de vigilancia continua de zonas críticas. Esto vale en particular de noche y bajo condiciones meteorológicas en las que las cámaras por sí solas fallan.
Qué funciona y qué no:
- Funciona: robots para patrullajes recurrentes en rutas definidas, detección en valla exterior y puntos de transferencia, grabación pre-trigger con fines de auditoría.
- No sustituye personal: la escalada ante amenaza activa, la retención de personas y el control de llaves para espacios interiores requieren personal según §34a.
Robotics-as-a-Service evita CapEx y permite escalar dentro de los plazos de implantación de NIS-2. El modelo Robotics-as-a-Service y la plataforma QR-3 para perímetros KRITIS están calibrados para ser aceptados como evidencia de auditoría. El BMI coordina la implementación nacional de NIS-2 y la KRITIS-Dachgesetz y fija la delimitación sectorial. El puente operativo entre TI y seguridad física recae en el operador.
Plan de 14 semanas para el cumplimiento NIS-2
El siguiente calendario está calibrado para operadores con entre 200 y 2.000 empleados. Organizaciones mayores lo amplían en cuatro a seis semanas, las menores lo reducen en dos.
Semanas 1–2: ámbito y autoclasificación. Verificación sectorial, umbrales de empleados y facturación, clasificación como entidad esencial o importante. Memorando escrito a la dirección con base legal y consecuencias.
Semanas 3–5: registro y roles. Preparar el portal de notificación del BSI, designar el punto de contacto 24/7, aclarar responsabilidades internas. En paralelo, examinar el registro BBK conforme a la KRITIS-Dachgesetz, ver checklist KRITIS-Dachgesetz 2026.
Semanas 6–9: análisis de riesgos y catálogo de medidas. Gap-Assessment contra el art. 21 NIS-2. Inventario de técnica perimetral, control de acceso, SIEM, copia de seguridad. Catálogo de medidas con calendario y responsables. Evaluación de cadena de suministro incluyendo prestadores de Wachschutz y mantenimiento.
Semanas 10–12: formación y simulacro. Formación del consejo con certificado de asistencia. Tabletop de respuesta a incidentes incluyendo un escenario físico, por ejemplo vuelo de dron o brecha perimetral. Cierre de la verificación de cadena de suministro.
Semanas 13–14: documentación y operación piloto. Finalizar el paquete documental, registrar versionado y aprobaciones. Iniciar operación piloto de robótica perimetral para generar evidencia de auditoría a nivel de sensor y log. Declarar formalmente la preparación para la auditoría.
Quien recorra el plan con disciplina resiste una primera inspección. Quien lo omita entra en la horquilla sancionadora de la sección sexta.
Para una evaluación concreta de su emplazamiento frente a los deberes NIS-2 y para la interpretación de la robótica perimetral como evidencia de auditoría, concierte una conversación confidencial en reservar consulta NIS-2. Aportamos la experiencia operativa del manual de la KRITIS-Dachgesetz (ESBN 978-3-912703-01-6).