Informe NIS-2: deberes del consejo y la dirección
Informe de progreso NIS-2 para consejo y dirección: contenido obligatorio, frecuencia, responsabilidad. Estructura auditable según NIS2UmsuCG y artículo 20.
Informe de progreso NIS-2: deberes del consejo y la dirección
El informe de progreso NIS-2 no es un formulario. Es la prueba central de que los órganos de dirección han cumplido con su deber de supervisión. Quien no lo lleve, responde personalmente. Este texto describe contenido obligatorio, estructura y frecuencia, basado en el trabajo que hemos documentado en detalle en el manual del KRITIS-Dachgesetz (ESBN 978-3-912703-01-6).
Informe de progreso NIS-2: lo que exige el legislador
El artículo 20 de la directiva NIS-2 obliga a los órganos de dirección de las entidades afectadas a aprobar las medidas de gestión de riesgos y a supervisar su implementación. Este deber no es delegable. Recae sobre el consejo, sobre el director gerente, sobre el responsable de la entidad.
La ley alemana NIS2UmsuCG traspone esta disposición europea directamente al derecho nacional. El §38 BSIG nuevo prevé responsabilidad personal de los órganos de dirección cuando la supervisión falta o está insuficientemente documentada (anteproyecto NIS2UmsuCG, https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis-2-umsetzungsgesetz.html). Condición: la supervisión falta o está insuficientemente documentada. Las multas alcanzan a la empresa, el recurso alcanza a la persona.
El informe de progreso documentado es la prueba frente al BSI y al BMI. Sin él, no hay línea de defensa en caso de auditoría. Con él, la supervisión queda demostrada, fechada, firmada.
Frecuencia: como mínimo trimestral. En caso de incidentes relevantes, ad hoc, paralelamente a la obligación de notificación en 24 horas. Quien informe semestral o anualmente no cumple con el deber de supervisión del artículo 20.
Siguiente paso: Cumplimiento NIS-2 en resumen.
Contenidos obligatorios: las diez áreas de gestión de riesgos
El artículo 21 apartado 2 NIS-2 enumera diez áreas que cada entidad debe abordar. El informe de progreso debe tratar cada una por separado. El auditor valorará las lagunas como implementación insuficiente.
Análisis de riesgos y seguridad de los sistemas de información. Estado actual, cambios desde el informe anterior, nuevos riesgos identificados, evaluaciones cerradas. Sin generalidades, sino riesgos concretos con probabilidad de ocurrencia y magnitud del daño.
Gestión de incidentes. Número de incidentes de seguridad en el periodo del informe, clasificación por gravedad, tiempo de reacción desde la detección hasta la contención, incidentes notificados al BSI con número de expediente.
Continuidad del negocio. Pruebas de backup con fecha y tasa de éxito, tiempos de recuperación medidos frente al RTO acordado, ejercicios de recuperación ante desastres realizados, lecciones aprendidas.
Seguridad de la cadena de suministro. Evaluación de proveedores críticos, requisitos de seguridad acordados contractualmente, resultados de auditoría, planificación de sustitución de proveedores no conformes.
Control de acceso y criptografía. Cobertura MFA en porcentaje sobre todas las cuentas privilegiadas, gestión de certificados con visión general de caducidad, ciclo de vida de claves con prueba de rotación.
Seguridad física. Protección perimetral, control de acceso, vigilancia de los emplazamientos, incidentes en el ámbito físico. Esta área se olvida con regularidad. Justo allí surgen la mayoría de las objeciones de auditoría.
Las cuatro áreas restantes (formación, gestión de activos, gestión de vulnerabilidades, evaluación de eficacia) siguen la misma lógica: estado, medida, responsable, plazo.
Siguiente paso: Requisitos para operadores KRITIS.
Estructura de un informe auditable
Un informe de progreso que resiste ante el BSI tiene cinco componentes fijos.
Executive Summary. Máximo una página. Sistema de semáforo para las diez áreas de riesgo, cada una en verde, amarillo o rojo con breve justificación. Esta página la lee el presidente del consejo. Si no es clara, el informe completo queda anulado.
Matriz de medidas. En forma tabular. Cada medida con identificador único, responsable (nombre, no departamento), plazo (fecha, no trimestre), estado (abierto, en curso, cerrado), presupuesto (aprobado, ejecutado, restante).
Registro de incidentes. Listado cronológico de todos los incidentes de seguridad en el periodo del informe. Por incidente: marca de tiempo de la detección, clasificación, sistemas afectados, pasos de reacción, notificación al BSI con número de expediente si procede, informe final.
Prueba de formación. El artículo 20 apartado 2 NIS-2 obliga a los propios órganos de dirección a recibir formación. Tasa de participación del consejo, fecha de la formación, contenidos, proveedor, certificados como anexo. Quien indique aquí el 80 por ciento tiene un problema: se exige el 100 por ciento.
Anexos. Informes de auditoría externa, resultados de tests de penetración, evaluaciones de proveedores, cada uno con fecha y nombre del auditor. Sin estos anexos el informe no es verificable.
El versionado es obligatorio. Cada informe lleva un número de versión, una fecha, una firma. Las modificaciones posteriores se realizan como adenda, no mediante sobreescritura.
Documentar la seguridad física en el informe de progreso
NIS-2 no separa entre ciberseguridad y seguridad física. El artículo 21 apartado 2 letra e nombra explícitamente la protección física de las instalaciones como medida obligatoria. Quien llene el informe de progreso solo con métricas de TI no cumple la directiva.
En el informe deben constar concretamente: protocolos de patrulla con marcas de tiempo, incidentes perimetrales con clasificación, cobertura de sensores en porcentaje, lagunas en la vigilancia con plan de cierre.
El anteproyecto del KRITIS-Dachgesetz en la Bundestag-Drucksache 20/9262 entrelaza expresamente seguridad física y ciberseguridad para las instalaciones críticas. El BBK coordina los requisitos de resiliencia. En interacción con la KritisV resulta para los operadores de instalaciones críticas un doble deber: NIS-2 para TI y el Dachgesetz para seguridad física. Ambas áreas pertenecen al mismo informe.
La robótica autónoma de patrullaje entrega datos de protocolo sin lagunas y a prueba de manipulación. QR-2 documenta cada patrulla con marca de tiempo, firma térmica y clasificación de incidentes. Los registros son exportables directamente al informe trimestral, en formato JSON, con hash para preservar la prueba. Lo que las patrullas humanas registran en libros de turno queda así disponible como conjunto de datos estructurado.
Lo que funciona: robótica para patrullas uniformes, vigilancia perimetral, rondas nocturnas. Lo que no funciona: robótica como sustituto de fuerzas de intervención. La línea de compromiso pasa entre detección (máquina) e intervención (humano).
Siguiente paso: QR-3 para instalaciones KRITIS.
Frecuencia y canales de reporte
Informe trimestral al consejo de administración pleno. Presentación en la sesión ordinaria del consejo, toma de conocimiento documentada en acta. Sin nota en acta, el informe se considera no presentado.
Informe semestral al consejo de supervisión o consejo asesor. Versión consolidada de dos informes trimestrales, ampliada con valoración estratégica. También aquí: nota en acta, mención nominal de los presentes.
Informe ad hoc dentro de 24 horas en caso de incidentes notificables. Paralelo a la notificación al BSI, no en sustitución. La notificación al BSI cumple el §32 BSIG nuevo, el informe ad hoc cumple el artículo 20 NIS-2. Dos deberes distintos, dos destinatarios distintos.
Informe anual como versión consolidada. Destinatario: auditores externos, a solicitud del BSI, consejo de supervisión. Sirve de base para el informe de eficacia conforme al artículo 21 apartado 4.
Plazo de conservación: mínimo seis años (§257 HGB, https://www.gesetze-im-internet.de/hgb/__257.html; §93 AktG para prescripción de responsabilidad orgánica, https://www.gesetze-im-internet.de/aktg/__93.html). Este plazo resulta de la aplicación paralela de los deberes de registro mercantil y del plazo de prescripción para la responsabilidad de los órganos. Una conservación más corta genera carencia probatoria en caso de daño.
Siguiente paso: Responsabilidad del consejo bajo NIS-2.
Errores frecuentes y sus consecuencias
Delegación al departamento de TI sin tratamiento por el consejo. El deber del artículo 20 alcanza personalmente a los órganos de dirección. Quien encarga el informe al CISO y lo archiva sin leerlo, vulnera la no delegabilidad. En caso de responsabilidad, la firma del CISO no ayuda.
Meros informes de estado sin seguimiento de medidas. Un informe que solo dice "cobertura MFA 87 por ciento" no cumple el deber de supervisión. Se exige el seguimiento: qué había en el trimestre anterior, cuál es el valor objetivo, quién es responsable, hasta cuándo cerrado.
Falta de prueba de formación de los órganos de dirección. El artículo 20 apartado 2 exige formación de los propios miembros del consejo. En caso de incumplimiento amenaza una multa de hasta 10 millones de euros o el 2 por ciento del volumen de negocio mundial anual (art. 34 ap. 4 directiva NIS-2, https://eur-lex.europa.eu/eli/dir/2022/2555/oj). Se aplica el importe más alto. Esta partida se evita con 4 horas de formación al año por miembro del consejo.
Documentación incompleta de la seguridad física. Objeción de auditoría más frecuente. El informe contiene 40 páginas sobre seguridad TI y 2 páginas sobre perímetro. La proporción debe ajustarse a la exposición al riesgo, no a la estructura departamental.
Falta de versionado de los informes. En caso de responsabilidad debe poder demostrarse qué información tenía el consejo en qué momento. Sin versionado hay carencia probatoria, y esta va en contra del miembro del órgano.
Siguiente paso: Lista de verificación KRITIS-Dachgesetz 2026.
Robótica como fuente de datos para el informe
Los robots de patrulla entregan protocolos JSON estructurados. Cada patrulla genera un registro con marca de tiempo, posición GPS, valores de sensores, clasificación de incidentes. Estos datos son integrables directamente en las plantillas de informe, sin transferencia manual.
El registro a prueba de manipulación cumple los requisitos de valor probatorio. Los registros se firman con hash, se almacenan en logs inmutables, llevan marca de tiempo de un servidor de tiempo de confianza. En caso judicial son admisibles como medio de prueba.
Comparación con protocolos manuales de turno: los registros humanos presentan típicamente entre el 15 y el 30 por ciento de lagunas [fuente requerida]. Cambios de turno, entradas olvidadas, notas ilegibles, correcciones posteriores. Un informe basado en esto no es auditable.
QR-3 amplía la base de datos con medición LiDAR y detección de drones. Los incidentes en el espacio aéreo son cada vez más relevantes para sectores KRITIS como energía, agua y logística. Sin sensórica en el informe, no hay declaración sobre el espacio aéreo, es decir, laguna en la gestión de riesgos.
Adquisición mediante modelo Robotics-as-a-Service: sin CapEx, tarifa operativa mensual, entrega en 48 horas, plazo mínimo 24 meses. Lo que funciona: costes calculables, disponibilidad rápida, actualizaciones automáticas. Lo que no funciona: alquiler puntual por semanas, el modelo no está pensado para eso.
Comparativa de costes frente a vigilancia clásica: Costes de Wachschutz comparados para operadores KRITIS.
Procedimiento: en 90 días al primer informe
Quien aún no tenga informe de progreso, empieza ahora. La ventana hasta la primera revisión del BSI es más corta de lo que la mayoría de los consejos suponen.
Semana 1 a 2: análisis de brechas. Comparación del estado real con las diez áreas de gestión de riesgos del artículo 21 apartado 2. Resultado: lista de lagunas con priorización. Responsable: CISO y delegado de protección de datos conjuntamente.
Semana 3 a 6: responsabilidades y fuentes de datos. Un responsable nominal por área de riesgo. Conexión de las fuentes de datos (SIEM para TI, sistema de acceso para perímetro, RR. HH. para formación). Creación de plantillas para matriz de medidas y registro de incidentes.
Semana 7 a 10: auditar la seguridad física. Inspección de todos los emplazamientos, documentar la cobertura de sensores, cerrar lagunas. Integración de robótica de patrullaje donde las rondas manuales presenten lagunas comprobadas. Configurar exportación de datos desde la plataforma de robótica al sistema de informes.
Semana 11 a 12: formación del consejo. Deber del artículo 20 apartado 2. Proveedor externo, sesión de medio día, temas: deberes NIS-2, responsabilidad, propio rol en caso de incidente. Documentación con lista de asistentes y certificado.
Semana 13: primer informe trimestral. Presentación en la sesión ordinaria del consejo, tratamiento formal, nota en acta. Establecer versionado. Conservación en sistema a prueba de revisión.
Tras 90 días existe el primer informe. A partir de ahí la frecuencia es trimestral. El esfuerzo baja de 400 horas-persona iniciales a unas 80 horas por trimestre siguiente [fuente requerida], siempre que las fuentes de datos estén conectadas con limpieza.
Quien vea el informe de progreso como un ejercicio obligatorio, pasa por alto el beneficio real. Es la única documentación que protege en caso de responsabilidad frente al recurso contra miembros del consejo. Este efecto protector se construye mediante una conducción consecuente durante años. Un informe único para la revisión no basta.
Implementación concreta con responsabilidades definidas, fuentes de datos y plantillas de informe: Cumplimiento NIS-2 en resumen.