NIS-2 pymes: afectación, deberes, plan 2025

La Directiva NIS-2 afecta, según estimaciones del Ministerio Federal del Interior alemán, a unas 29.000 empresas en Alemania [insertar fuente]. La mayoría son medianas empresas que hasta ahora no figuraban como KRITIS. Quien supere los 50 trabajadores y opere en uno de los 18 sectores debe verificar por cuenta propia si queda sujeta a la directiva. No existe una clasificación administrativa previa. El texto que sigue desglosa las obligaciones en bloques operativos.

NIS-2 pymes: ¿quién queda bajo la directiva?

Los umbrales están claramente definidos. A partir de 50 trabajadores o 10 millones de euros de facturación anual se aplica NIS-2, siempre que la empresa opere en uno de los 18 sectores del Anexo I o II. Deben cumplirse ambas condiciones: tamaño y pertenencia sectorial.

La directiva distingue dos categorías. Las entidades esenciales, a partir de 250 trabajadores o 50 millones de euros de facturación y 43 millones de euros de balance, están sujetas a reglas de supervisión más estrictas y marcos sancionadores más altos. Las entidades importantes, a partir de 50 trabajadores o 10 millones de euros de facturación, tienen el mismo catálogo de obligaciones, pero son supervisadas de forma reactiva.

Un caso especial: las pymes por debajo del umbral pueden estar igualmente cubiertas si actúan como único proveedor de un servicio crítico en una región o en un Estado miembro. Prestadores de servicios de confianza, proveedores de DNS, registros TLD y proveedores de redes públicas de comunicaciones electrónicas quedan incluidos con independencia del tamaño.

La obligación de autoidentificación es la diferencia central frente a la lógica KRITIS anterior. No llega ningún escrito del BSI. Cada empresa debe comprobar, registrarse y notificar por sí misma. Quien omita la comprobación y esté afectada responde igualmente.

Las microempresas con menos de 10 trabajadores y 2 millones de euros de facturación quedan exentas, con excepciones para DNS, TLD y servicios de confianza. La KritisV define umbrales sectoriales específicos en los que se apoya metodológicamente la asignación sectorial NIS-2, aunque los umbrales NIS-2 son más bajos y alcanzan a más medianas empresas.

Siguiente paso: contrastar la verificación de afectación con la Lista de verificación KRITIS-Dachgesetz.

Los 18 sectores en detalle

El Anexo I enumera los sectores de alta criticidad: energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC (B2B), administración pública y espacio. Quien opere en uno de estos sectores con 250 o más trabajadores se convierte automáticamente en entidad esencial.

El Anexo II incluye los demás sectores críticos: correos y mensajería, gestión de residuos, fabricación y comercio de productos químicos, alimentación, industria manufacturera, proveedores digitales e investigación. Estos sectores se clasifican como entidades importantes.

La industria manufacturera es la categoría residual más amplia. Quedan cubiertos fabricantes de productos sanitarios, diagnóstico in vitro, equipos de procesamiento de datos, productos electrónicos y ópticos, equipos eléctricos, maquinaria, vehículos de motor, componentes de automoción y otros medios de transporte. Un fabricante de maquinaria con 80 trabajadores y 15 millones de euros de facturación queda dentro.

Alimentación: cubierto el comercio mayorista y la transformación y producción industrial. El comercio minorista queda excluido. Una central lechera con distribución propia a supermercados está dentro, la tienda en granja no.

Industria química: producción, comercio y almacenamiento de sustancias peligrosas según el Reglamento CLP están cubiertos. También un fabricante mediano de pinturas con 60 trabajadores cumple los requisitos si pone en circulación mezclas sujetas a clasificación.

Obligaciones según el artículo 21 NIS-2

La Directiva NIS-2 exige expresamente en el artículo 21 medidas de seguridad física de las instalaciones, así como gestión de riesgos en diez ámbitos. El catálogo de obligaciones es exhaustivo y rige idéntico para entidades esenciales e importantes.

La gestión de riesgos encabeza la lista. Se exige un análisis de riesgos documentado, una valoración concreta de la situación de amenaza y una actualización periódica. Una elaboración única no basta. Auditable es solo lo que se mantiene de forma demostrable.

Los diez ámbitos de medidas de seguridad comprenden gestión de copias de seguridad y recuperación, respuesta a incidentes, continuidad del negocio, seguridad de la cadena de suministro, seguridad en la adquisición y desarrollo de sistemas, evaluación de la eficacia, criptografía y cifrado, seguridad del personal y control de acceso, autenticación multifactor y formación.

La seguridad física se exige de forma explícita. El artículo 21, apartado 2, letra e) nombra la seguridad de las instalaciones, la protección perimetral y el control de accesos como obligación equivalente a las medidas TI. Muchas pymes no leen esto del texto legal y se concentran exclusivamente en cortafuegos y gestión de parches.

La formación y concienciación de toda la plantilla están sujetas a documentación y auditoría. Cursos de e-learning a modo de muestreo no bastan para las verificaciones de auditoría.

La seguridad de la cadena de suministro exige la evaluación de los proveedores directos, incluidos servicios de vigilancia, empresas de mantenimiento y proveedores de TI. Quien contrata un servicio de Wachschutz externo debe documentar su nivel de seguridad.

Plazos de notificación: 24, 72, 30 días

La cascada de notificación tiene tres fases. En las 24 horas siguientes al conocimiento de un incidente de seguridad significativo debe transmitirse una alerta temprana a la autoridad competente. La notificación contiene los primeros indicios de una acción ilícita o malintencionada. También deben indicarse los efectos transfronterizos.

En las 72 horas siguientes se entrega la notificación de incidente propiamente dicha, con una evaluación inicial de los impactos, un nivel de gravedad e indicadores de compromiso disponibles.

En el plazo de un mes debe entregarse el informe final: descripción detallada del incidente, análisis de causa raíz, medidas adoptadas y previstas, efectos transfronterizos.

El BSI es el punto de notificación nacional y opera la plataforma de registro para las entidades afectadas. En paralelo a la notificación al BSI deben informarse los destinatarios del servicio si están afectados de forma significativa por el incidente.

Definición de incidente significativo: perturbación grave del servicio, pérdida financiera relevante para la entidad afectada o daños materiales o inmateriales relevantes a terceros. Los umbrales son borrosos, lo que complica la práctica. En caso de duda, hay que notificar.

Responsabilidad directiva y sanciones

Los directivos deben aprobar las medidas de gestión de riesgos y supervisar su implantación. La obligación es personal y no se puede delegar en la dirección de TI. El CISO puede preparar, la responsabilidad queda en el gerente o el consejo.

En caso de incumplimiento opera la responsabilidad personal. Los directivos pueden ser reclamados por los daños derivados de una implementación insuficiente. Un seguro D&O no cubre necesariamente incumplimientos graves.

Los marcos sancionadores son escalonados. Para entidades esenciales llegan hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial, lo que sea mayor (art. 34 Directiva NIS-2). Para entidades importantes, hasta 7 millones de euros o el 1,4 por ciento.

Los órganos de dirección deben participar obligatoriamente en formaciones sobre riesgos de ciberseguridad y ofrecer formaciones similares a su personal. La participación está sujeta a documentación.

Profundización sobre cuestiones de responsabilidad: Responsabilidad del consejo bajo NIS-2.

Seguridad física como obligación NIS-2

El artículo 21, apartado 2, letra e) exige expresamente medidas de seguridad física de las instalaciones. No hay margen interpretativo, es texto legal. Protección perimetral, control de accesos, videovigilancia y la protección de instalaciones críticas frente al acceso físico no autorizado forman parte del catálogo obligatorio.

La práctica de auditoría lo verifica con muestreos in situ. Un concepto de autorización documentado sin una puerta efectiva no basta. Quien opera un centro de transformación, un clúster de salas de servidores o un almacén de productos químicos debe acreditar la protección física.

Los robots autónomos de seguridad cumplen tres requisitos a la vez: documentación ininterrumpida de patrullas, presencia continua sin rotación de personal y registros de auditoría automáticos. Cada ronda queda registrada con marca temporal, paquete de sensores y punto de paso. Los registros son inmutables y quedan disponibles para verificaciones de auditoría.

QR-2 para perímetros exteriores detecta intrusos mediante sensores térmicos incluso con visibilidad limitada por niebla, lluvia u oscuridad. La operación es 24/7 sin cambios de turno, pausas ni bajas por enfermedad.

La comparación de costes decide en la presentación al CFO. Un puesto de vigilancia 24/7 cuesta, según datos sectoriales del BDSW, entre 15.000 y 25.000 euros mensuales por puesto estacionario, según zona tarifaria y cualificación. QR-2 en el modelo Robotics-as-a-Service se sitúa en torno a 3.500 euros mensuales. Cálculo detallado: TCO Wachschutz frente a robótica.

Registro y plazo de transposición

La transposición alemana se realiza mediante la NIS2UmsuCG. La entrada en vigor se ha retrasado respecto al plazo original de la UE (17 de octubre de 2024) (art. 41 Directiva NIS-2). La preparación es, no obstante, obligatoria, porque las obligaciones rigen de forma directa desde la entrada en vigor y no se prevé periodo transitorio para las diez medidas de seguridad.

La obligación de registro ante el BSI existe en los tres meses siguientes al inicio de la vigencia de la transposición nacional [fuente: insertar borrador NIS2UmsuCG]. Quien no se registre arriesga sanciones ya por el incumplimiento del propio registro.

Datos a aportar: nombre de la entidad, dirección, datos de contacto actualizados incluidos correo electrónico y número de teléfono, sector y subsector según Anexo I o II, lista de Estados miembros en los que se prestan servicios, rangos de direcciones IP en servicios DNS y de nube.

Obligación de actualización: los cambios en los datos maestros deben comunicarse en el plazo de dos semanas [fuente: insertar borrador NIS2UmsuCG]. Cambios de personas en la dirección, cambios de domicilio, cambios sectoriales.

Ruta de preparación recomendada: análisis de brechas frente al artículo 21, plan de medidas con responsabilidades y plazos, implantación piloto de los controles más críticos antes de la entrada en vigor. Quien implemente a partir del inicio de la obligación no tiene ninguna posibilidad de gestionar operativamente las obligaciones de notificación en el plazo de 24 horas.

Plan operativo para pymes

Los plazos semanales siguientes parten del inicio del proyecto. Un programa de 15 semanas es realista para una empresa industrial mediana con 80 a 250 trabajadores.

Semanas 1 a 2: verificación de afectación. Comparación de plantilla, facturación anual y balance con los umbrales. Asignación al Anexo I o II. Documentación de la decisión con fecha y responsable. En casos límite, incorporar asesoramiento jurídico externo.

Semanas 3 a 6: análisis de brechas frente a los diez ámbitos obligatorios del artículo 21. Cada ámbito se valora en tres niveles: cumplido, parcialmente cumplido, no cumplido. Las pruebas se registran directamente. Foco en seguridad física, cadena de suministro y cadena de notificación, donde la mayoría de las pymes presentan lagunas.

Semanas 7 a 10: priorización de quick wins. MFA para todos los accesos administrativos, recuperación de copias de seguridad probada, control de accesos físicos documentado para salas de servidores y sala de control de producción. Estimar coste y esfuerzo por medida.

Semanas 11 a 14: acuerdo de la dirección sobre el programa de medidas, plan de formación para personal y dirección, auditoría de proveedores para los diez prestadores con mayor facturación, incluidas empresas de seguridad y mantenimiento.

A partir de la semana 15: implementación en régimen continuo, ciclos anuales de auditoría, ejercicio semestral de la cadena de notificación con cronómetro. La alerta temprana de 24 horas debe ensayarse en la práctica antes de que se exija en serio.

Quien quiera acompañar el plan con apoyo externo encuentra en NIS-2 Compliance en Quarero la plantilla de análisis de brechas y un paquete piloto para seguridad física. Allí también están documentadas implementaciones de referencia de la industria manufacturera. Solicitar paquete piloto QR-2 para una prueba de cuatro semanas de la patrulla QR-2 en la propia ubicación.