Ley de transposición NIS-2: deberes para operadores KRITIS

La ley alemana de transposición NIS-2 (NIS2UmsuCG) desplaza las obligaciones de ciberseguridad en Alemania a una nueva base. El ámbito de aplicación crece por un factor de veinte frente a la antigua BSI-Gesetz. Los consejos de administración responden personalmente. Los plazos de notificación se reducen a 24 horas. Quien pierda la fecha límite arriesga multas de hasta 10 millones de euros.

La ley de transposición NIS-2 en resumen

La NIS2UmsuCG transpone la Directiva NIS-2 2022/2555 al derecho nacional. El plazo de transposición de la UE venció el 17 de octubre de 2024. Alemania ha incumplido ese plazo. El Bundestag sigue trabajando sobre el proyecto, la aplicación se espera a partir de 2025.

Las cifras son operativamente relevantes. Cerca de 29.500 empresas en Alemania entran en el nuevo ámbito de aplicación. De ellas, unas 1.500 se clasifican como entidades esenciales, el resto como entidades importantes. La antigua BSI-Gesetz cubría unos 1.700 operadores. El salto es por tanto de aproximadamente factor diecisiete.

Los umbrales para entidades importantes están en 50 empleados o 10 millones de euros de facturación anual (Directiva NIS-2 art. 3). Las entidades esenciales se ven afectadas desde 250 empleados o 50 millones de euros de facturación. El reglamento KRITIS define umbrales adicionales por instalación, por ejemplo para hospitales y plantas de agua (BSI-KritisV).

18 sectores están afectados: energía, transporte, banca, infraestructuras de mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, servicios TIC, administración pública, espacio, servicios postales y de mensajería, gestión de residuos, sustancias químicas, alimentación, fabricación, proveedores digitales e investigación.

Paso siguiente: revisar los requisitos KRITIS y la asignación sectorial.

Quién entra dentro de la ley

Las entidades esenciales incluyen empresas de suministro energético sin umbral de tamaño, hospitales a partir de 30.000 casos hospitalarios al año y plantas de agua a partir de 22 millones de metros cúbicos de suministro anual (BSI-KritisV). Los umbrales proceden del reglamento KRITIS y rigen en paralelo a los umbrales generales NIS-2.

Las entidades importantes son productores alimentarios desde tamaño mediano, empresas químicas, maquinaria e ingeniería industrial, así como prestadores postales. Aquí se aplica el umbral de 50 empleados. Quien quede justo por debajo, debe documentar la tendencia trianual.

El autorregistro ante el BSI es obligatorio. No existe una notificación oficial mediante resolución administrativa. El operador comprueba por sí mismo si está bajo la ley y se inscribe. El registro tardío cuenta como infracción del deber. El BSI es la autoridad nacional competente conforme al § 1 BSIG (BMI sobre la transposición NIS-2).

Las estructuras de grupo exigen revisión individual. Cada filial evalúa su estatus por sí misma. No existe una exención automática a través de la matriz. En centros de servicios compartidos debe quedar claro quién responde por cada instalación.

Los proveedores caen de forma indirecta en los deberes de cadena de suministro de los operadores principales. Quien suministre a operadores NIS-2 queda contractualmente obligado a medidas de seguridad. Esto vale para prestadores TI, empresas de limpieza con acceso y empresas de mantenimiento.

Paso siguiente: consultar NIS-2 Compliance en Quarero para la revisión del ámbito.

Responsabilidad del consejo y sanciones personales

La dirección responde personalmente por las infracciones. Una exoneración mediante delegación al CISO o a un prestador externo queda excluida. El consejo debe aprobar, supervisar y documentar la gestión de riesgos.

Las multas están escalonadas. Las entidades esenciales pagan hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial, lo que sea mayor (Directiva NIS-2 art. 34). Las entidades importantes pagan hasta 7 millones de euros o el 1,4 por ciento. Las multas se imponen contra la entidad, las sanciones personales a los órganos de dirección se suman.

La formación de los órganos de dirección es obligatoria. Contenido: gestión de riesgos, ciberamenazas, deberes regulatorios. La formación está sujeta a documentación. En auditorías el BSI revisa los justificantes de participación.

Rige una inversión fáctica de la carga de la prueba. El consejo debe acreditar activamente que ha cumplido sus deberes de diligencia. La mera afirmación no basta. Acuerdos del consejo, informes de riesgos y certificados de formación deben constar en los expedientes.

Los seguros D&O solo ayudan de forma limitada. Las infracciones dolosas están regularmente excluidas. En caso de culpa grave, las aseguradoras reducen la prestación. Quien omita la formación entra rápido en el ámbito de la culpa grave.

Paso siguiente: revisar Responsabilidad del consejo bajo NIS-2 en detalle para la documentación de expedientes.

Diez medidas técnicas y organizativas mínimas

El artículo 21 de la Directiva NIS-2 enumera diez ámbitos de medidas que toda entidad debe implementar. No son opcionales.

1. Políticas de análisis de riesgos y de seguridad de los sistemas de información, revisadas anualmente.
2. Gestión de incidentes de seguridad con planes de respuesta documentados y escalado definido.
3. Continuidad de las actividades: gestión de copias de seguridad, recuperación ante desastres y gestión de crisis según lógica BCM.
4. Seguridad de la cadena de suministro, incluidos los aspectos relativos a la seguridad de las relaciones con proveedores y prestadores directos.
5. Medidas de seguridad en la adquisición, desarrollo y mantenimiento de sistemas de red y de información, incluida la gestión de vulnerabilidades.
6. Políticas para evaluar la eficacia de las medidas de gestión de riesgos.
7. Prácticas básicas de ciberhigiene y formación en ciberseguridad.
8. Políticas y procedimientos para el uso de criptografía y cifrado.
9. Seguridad del personal, políticas de control de acceso y gestión de activos.
10. Uso de soluciones de autenticación multifactor y comunicaciones seguras de voz, vídeo y texto.

El punto 9 incluye la protección física de las ubicaciones TI y de los perímetros críticos. El control de acceso no es solo un login. Quien entra al centro de datos forma parte de la seguridad de activos. La vigilancia autónoma de perímetros cuenta como parte de la implementación.

Paso siguiente: realizar análisis de brechas frente a los diez puntos, designar responsables por medida.

Obligaciones de notificación al BSI

Los plazos de notificación son de tres niveles y se aplican de forma acumulativa.

La alerta temprana se realiza en 24 horas desde el conocimiento de un incidente significativo. Contenido: primera valoración sobre si el incidente se debe a actos ilícitos o malintencionados y si tiene efectos transfronterizos.

La notificación del incidente sigue en 72 horas desde el conocimiento. Contiene una primera evaluación, alcance del daño e indicadores de compromiso. En entidades esenciales el BSI puede exigir informes intermedios.

El informe final debe presentarse en el plazo de un mes tras la notificación del incidente. Describe el incidente en detalle: tipo de amenaza, medidas correctivas adoptadas y efectos transfronterizos, si los hay.

Un incidente es significativo cuando causa una perturbación operativa grave, provoca daños financieros a la entidad o tiene efectos sobre terceros con daño material o inmaterial considerable. El umbral es más bajo que bajo la antigua BSI-Gesetz.

Las notificaciones se realizan a través del portal de notificación del BSI. Debe garantizarse la accesibilidad 24/7 del punto de notificación interno. Los incidentes en fin de semana no quedan excluidos. Quien detecte un ataque de ransomware el viernes por la noche notifica hasta el sábado por la noche.

Paso siguiente: definir cadena de notificación y guardia localizable, realizar ensayo con un incidente ficticio.

Seguridad física como parte de las obligaciones NIS-2

El anexo I número 4 de la Directiva exige expresamente la seguridad de las instalaciones, incluido el control de acceso físico. NIS-2 no es solo ciber. Quien descuide el plano físico no cumple las medidas mínimas.

Concretamente afectados están salas de servidores, subestaciones, plantas de tratamiento de agua, centros de datos y nodos de telecomunicaciones. Los perímetros deben estar asegurados, el acceso registrado, los movimientos inusuales detectados.

Los robots patrulla autónomos documentan los recorridos sin lagunas. Cada ronda genera datos de log con marca temporal, posición GPS y datos de sensores. Estos registros son medios de prueba para auditorías por el BSI. Una ronda con reloj de control no aporta esta profundidad.

El QR-2 con cámara térmica detecta intrusos con oscuridad y mala visibilidad. El QR-3 con sensórica LiDAR detecta drones sobre instalaciones sensibles, por ejemplo sobre subestaciones o depósitos de agua potable. Ambos modelos transmiten datos en tiempo real al Security Operations Center.

El marco de costes es calculable. Un QR-2 en modelo Robotics-as-a-Service cuesta 3.500 euros mensuales (lista de precios Quarero Robotics 2025). Un puesto de vigilancia 24/7 con Manteltarifvertrag, recargos y suplencias cuesta entre 15.000 y 25.000 euros al mes (Tabla salarial BDSW 2024). El robot no sustituye por completo a la ronda, pero cubre el 80 por ciento de los recorridos rutinarios (datos operativos Quarero Robotics 2024).

Paso siguiente: evaluar QR-2 para perímetro exterior 24/7 para la protección de instalaciones.

Plan de implementación en doce semanas

Quien arranca en enero está listo para auditoría a finales de marzo. El plan es secuencial, no paralelo.

Semanas 1 a 2: revisión del ámbito de aplicación. Qué sector, qué umbrales, qué filiales. Preparar el autorregistro ante el BSI. Designar responsables por unidad de negocio.

Semanas 3 a 4: análisis de brechas frente a las diez medidas mínimas del artículo 21. Levantar el estado de la documentación. Priorizar lagunas por riesgo y visibilidad regulatoria.

Semanas 5 a 8: establecer o ajustar la gestión de riesgos. Probar los planes de emergencia, no solo escribirlos. Ajustar los contratos de proveedores, al menos para el veinte por ciento crítico. Implementar control de acceso y autenticación multifactor.

Semanas 9 a 10: realizar la formación del consejo. Establecer los procesos de notificación, incluida la accesibilidad 24/7. Documentar planes de guardia localizable. Primer ensayo de notificación al BSI.

Semanas 11 a 12: revisar la protección física. Recorrer los perímetros, identificar puntos débiles. Iniciar piloto de vigilancia perimetral autónoma. Documentación de cierre para el primer ciclo de auditoría.

Paso siguiente: revisar el modelo Robotics-as-a-Service para la fase piloto.

Interfaces con la KRITIS-Dachgesetz

NIS-2 regula la ciberseguridad. La KRITIS-Dachgesetz regula la resiliencia física. Ambas leyes rigen en paralelo y se solapan en varios puntos. El proyecto de KRITIS-Dachgesetz consta como Bundestag-Drucksache 20/9262.

Los operadores que caen bajo ambos regímenes se registran ante el BSI para NIS-2 y ante el BBK para KRITIS. El BBK coordina la protección civil y lleva el registro de instalaciones críticas. Doble registro no significa doble trabajo, siempre que los datos maestros y los documentos de riesgos se mantengan de forma centralizada.

El plan de resiliencia según KRITIS-Dachgesetz y el concepto de seguridad de la información según NIS-2 se llevan por separado. En contenido deben estar entrelazados. Quien protege una subestación contra sabotaje, protege también el control SCADA. Evita duplicidades quien mantenga un registro de riesgos común.

Las auditorías conjuntas son razonables. Las revisiones de proveedores, la seguridad del personal y los controles de acceso aparecen en ambos regímenes. Quien audita una vez y cubre ambas exigencias ahorra esfuerzo. Los auditores aceptan justificantes combinados siempre que la asignación esté clara.

La responsabilidad del consejo está anclada en ambas leyes. Los deberes de formación se acumulan: contenidos ciber según NIS-2 más contenidos de resiliencia según KRITIS-Dachgesetz. Una formación anual combinada cubre ambos, si el currículo y la documentación son correctos.

Paso siguiente: usar la Checklist KRITIS-Dachgesetz 2026 para la implementación paralela.

Consecuencia operativa para consejo y dirección de seguridad

La NIS2UmsuCG no es un proyecto TI. Es un asunto de consejo con riesgo personal medible. Quien pierde la fecha límite arriesga multas de hasta 10 millones de euros para la entidad (Directiva NIS-2 art. 34) y la responsabilidad personal de los órganos de dirección. Quien esté formalmente registrado pero no pueda acreditar las diez medidas mínimas se queda sin defensa en la primera auditoría.

La respuesta operativa consta de tres capas. Gestión de ciberriesgos según artículo 21. Disponibilidad de notificación con accesibilidad 24/7 y procesos documentados. Protección física de las instalaciones, incluida la vigilancia perimetral autónoma allí donde el personal de vigilancia resulte demasiado caro o no esté disponible.

La comparativa de costes Wachschutz muestra dónde Robotics-as-a-Service complementa a los puestos de vigilancia. La decisión no es ideológica. Es una cuestión de profundidad de auditoría y de costes mensuales de operación.

Para la revisión del ámbito, el análisis de brechas y la selección de las medidas físicas el camino pasa por NIS-2 Compliance en Quarero. Allí está la metodología estructurada para operadores que deben cumplir en paralelo NIS-2 y KRITIS-Dachgesetz.