Operadores de instalaciones críticas bajo NIS 2 y KRITIS al mismo tiempo
Un operador KRITIS no elige entre NIS 2 y KRITIS. Ambos se aplican. Las medidas de NIS 2 bajo el Artículo 21 son el suelo. Los deberes específicos de KRITIS bajo los §29, §32 y §65 BSIG se sitúan por encima. El BSI gestiona ambos regímenes a partir de la misma evidencia.
La versión corta
Aproximadamente entre 1.500 y 2.000 entidades en Alemania operan una 'kritische Anlage' según la define la BSI-KritisV. Distribución de electricidad por encima de 500 GWh al año, agua potable por encima de 22 millones de metros cúbicos al año, centros de datos por encima de 3,5 megavatios de capacidad contratada, y una larga lista de otros umbrales sectoriales. Estos operadores no viven en su propio mundo aparte. Viven dentro de NIS 2 como cualquier otra entidad esencial, y los deberes KRITIS se apilan por encima.
La base procede del Artículo 21 de la Directiva NIS 2: diez medidas de gestión de riesgos de ciberseguridad, proporcionadas al riesgo. Alemania lo copia en el §30 BSIG. La capa KRITIS añade tres cosas: un listón de proporcionalidad más alto bajo el Artículo 21(1) porque las consecuencias del fallo son mayores, un ciclo de evidencia trienal obligatorio bajo el §29 BSIG, y la banda de sanción más alta bajo el §65 BSIG (hasta 10 millones de euros o el 2 por ciento del volumen de negocio del grupo).
Un único regulador gestiona ambos regímenes. El BSI registra a la entidad bajo el §33 BSIG, revisa la evidencia del §29, recibe los informes de incidentes del §32 y aplica la norma bajo el §65. La misma base de evidencia alimenta ambas capas. Esta página expone la pila jurídica, los elementos KRITIS adicionales, los dos principios que deciden cada caso límite y los tres mitos que oímos con más frecuencia.
Artículo 21(1) y 21(2) de la Directiva NIS 2 (UE) 2022/2555
Los Estados miembros velarán por que las entidades esenciales e importantes tomen medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información. Dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado a los riesgos planteados, teniendo en cuenta el estado de la técnica y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de aplicación.
El Artículo 21(1) establece la cláusula de proporcionalidad. 'Adecuadas y proporcionadas' significa que la profundidad de las medidas tiene que corresponderse con el riesgo. Un operador KRITIS se sitúa en lo alto de esa escala: gran zona de abastecimiento, dependencia pública, efectos en cascada. Se aplican las mismas diez medidas del Artículo 21(2), pero un operador KRITIS tiene que implementarlas con más profundidad que una pequeña entidad del Anexo II.
§28, §30, §32, §33 y §65 BSIG (transposición alemana)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
El BSIG apila los deberes en una única ley. El §28 establece el ámbito (esencial, importante, operador KRITIS). El §30 establece las diez medidas. El §32 establece la cascada de notificación de incidentes (24 horas alerta temprana, 72 horas notificación, un mes informe final). El §33 establece el deber de registro ante el BSI. El §65 establece la banda de sanción: hasta 10 millones de euros o el 2 por ciento del volumen de negocio del grupo para las entidades esenciales y los operadores KRITIS, hasta 7 millones de euros o el 1,4 por ciento para las entidades importantes. Los operadores KRITIS se sitúan en la banda más alta incluso si su sector fuera de otro modo Anexo II.
§29 BSIG y BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
El §29 BSIG es el ciclo de evidencia específico de KRITIS. Cada tres años, el operador entrega al BSI una auditoría, una inspección o una certificación que demuestre que las medidas del §30 funcionan realmente. La Anlage se define por la BSI-KritisV: umbrales cuantitativos específicos por sector (distribución de electricidad a 500 GWh al año, agua potable a 22 millones de metros cúbicos al año, centros de datos a 3,5 megavatios de capacidad de TI contratada, y así sucesivamente). Alcance un umbral y será un Betreiber kritischer Anlage. El ciclo del §29 se adhiere automáticamente.
Base de NIS 2 (Artículo 21 / §30 BSIG)
Las diez medidas de gestión de riesgos del Artículo 21(2): análisis de riesgos, gestión de incidentes, continuidad de negocio, cadena de suministro, desarrollo seguro, tratamiento de vulnerabilidades, formación, criptografía, control de acceso, MFA. Proporcionadas al riesgo bajo el Artículo 21(1). La misma lista que toda entidad esencial e importante tiene que implementar. Los operadores KRITIS empiezan aquí, no en otro sitio.
Nachweis trienal bajo el §29 BSIG
Por encima de la base de NIS 2, un operador KRITIS entrega al BSI un paquete de evidencia cada tres años: un informe de auditoría, una inspección o una certificación reconocida que cubra las medidas del §30. El ciclo es fijo, no basado en el riesgo. Incumplir el plazo desencadena la aplicación de la norma bajo el §65 BSIG. El registro bajo el §33 también incluye campos adicionales para los operadores KRITIS: servicio crítico, métricas de abastecimiento, la ubicación de la Anlage y un punto de contacto 24/7.
Banda de sanción más alta y proporcionalidad más profunda
Bajo el §65 BSIG, los operadores KRITIS se sitúan en la misma banda de sanción que las entidades esenciales: hasta 10 millones de euros o el 2 por ciento del volumen de negocio del grupo. Las entidades importantes (Anexo II sin una Anlage KRITIS) se sitúan una banda por debajo, en 7 millones de euros o el 1,4 por ciento. La prueba de proporcionalidad del Artículo 21(1) también se mueve: el argumento del coste de aplicación es más difícil de sostener cuando el fallo de la Anlage afecta a cientos de miles de personas abastecidas.
Un regulador, una base de evidencia, dos capas
El BSI gestiona ambos regímenes desde la misma oficina de Bonn. La auditoría que entrega bajo el §29 BSIG es la misma auditoría que prueba sus medidas del §30 para NIS 2. El registro de proveedores que mantiene para el Artículo 21(2)(d) es el mismo registro que el BSI lee durante una inspección del §29. KRITIS no duplica la evidencia de NIS 2. Solo le pide probar las medidas de NIS 2 en un ciclo fijo, con la banda de sanción más alta como respaldo.
KRITIS es aditivo, no un reemplazo
Una lectura errónea frecuente: 'somos KRITIS, así que las reglas de NIS 2 no se aplican.' Dirección equivocada. KRITIS se sitúa por encima de NIS 2 en el BSIG, no junto a él. El §28 enumera a los operadores KRITIS además de las entidades esenciales e importantes. El §30 (medidas), el §32 (notificación) y el §33 (registro) se aplican a las tres. El §29 (Nachweis trienal) y la banda más alta del §65 son los extras específicos de KRITIS. Suprima las medidas de NIS 2 e incumple el Artículo 21 de la Directiva.
El BSI gestiona ambos regímenes
El Bundesamt für Sicherheit in der Informationstechnik es la autoridad competente central bajo el §40 BSIG. Registra a los operadores KRITIS, revisa la evidencia del §29, recibe los informes de incidentes del §32 y aplica la norma bajo el §65. La misma oficina de Bonn gestiona un fabricante del Anexo II de 60 personas y un distribuidor de electricidad de 5.000 personas. Escala distinta, mismo regulador, misma pila jurídica.
Energía y telecomunicaciones tienen un segundo regulador
Dos sectores no tienen solo al BSI. Los operadores energéticos responden ante la Bundesnetzagentur por la seguridad de la red bajo el §11 EnWG. Las telecomunicaciones responden ante la Bundesnetzagentur por la integridad de la red bajo el §165 TKG. Estas superposiciones se sitúan junto al BSIG, no en su lugar. Un distribuidor de electricidad KRITIS informa al BSI de los incidentes de NIS 2 y a la BNetzA de los eventos relevantes para la red. Mismo edificio, dos buzones.
Sin equivalente KRITIS directo a nivel de la UE
La Directiva NIS 2 no contiene un régimen KRITIS. ENISA no gestiona un ciclo de evidencia trienal. La construcción comparable más próxima es la Directiva CER (2022/2557) sobre la resiliencia de las entidades críticas, que trata de la resiliencia física, no de la ciberseguridad. Otros Estados miembros transponen el Artículo 21 y el Artículo 23 del mismo modo, pero la capa KRITIS alemana adicional es una opción nacional heredada de la IT-Sicherheitsgesetz de 2015. Las filiales extranjeras de un operador KRITIS alemán no asumen el deber del §29 en el extranjero.
Somos KRITIS, así que las nuevas reglas de NIS 2 no se nos aplican.
Dirección equivocada. El §28 BSIG enumera a los operadores KRITIS como una de las tres categorías reguladas junto a las entidades esenciales e importantes. El §30 (medidas), el §32 (notificación), el §33 (registro) y la base del Artículo 21 se aplican a las tres. Los extras específicos de KRITIS son el §29 (Nachweis trienal) y la banda de sanción del §65. Si suprime las medidas de NIS 2 porque 'KRITIS ya lo cubre', incumple el Artículo 21 de la Directiva y la transposición alemana.
Estamos por debajo del umbral de la KRITIS-V, así que también estamos fuera de NIS 2.
El umbral de la BSI-KritisV (p. ej. 500 GWh al año para la distribución de electricidad, 22 millones de metros cúbicos al año para el agua, 3,5 megavatios para los centros de datos) decide KRITIS, no NIS 2. Una empresa municipal de servicios públicos que abastece a 80.000 personas está por debajo del umbral KRITIS pero sigue estando en el sector 1 del Anexo I (energía) y es casi con seguridad una mediana empresa. Eso la sitúa en el ámbito de NIS 2 como entidad esencial, con obligaciones de los §30, §32 y §33. Solo que sin el ciclo trienal del §29 y con la banda de sanción más baja del §65.
Acabamos de pasar nuestra auditoría del §29, así que también hemos terminado con NIS 2.
Pasar un Nachweis del §29 cubre el ciclo de evidencia. No desactiva el resto de NIS 2. La cascada de notificación de incidentes del §32 (24 horas / 72 horas / un mes) discurre de forma continua. Los datos de registro del §33 tienen que mantenerse actualizados en un plazo de dos semanas tras cualquier cambio (Artículo 27(2) NIS 2). El riesgo de proveedores bajo el §30(2) punto 4 discurre como obligación continua. La auditoría del §29 es una instantánea. El resto del BSIG es el sistema operativo.
Tome una empresa municipal de servicios públicos (Stadtwerk) en una ciudad de 200.000 habitantes. Distribución de electricidad, agua potable, calefacción urbana, transporte público y una filial de fibra. Coloque la BSI-KritisV junto al organigrama de la empresa. La distribución de electricidad por encima de 500 GWh al año cruza el umbral. El agua potable por encima de 22 millones de metros cúbicos al año lo cruza. La calefacción urbana por debajo del umbral no. El transporte público se sitúa en el Anexo II de la Directiva pero no tiene clasificación de Anlage en Alemania.
El resultado es una única empresa bajo tres niveles de lectura a la vez. Dos líneas de negocio (Strom, Wasser) son Anlagen KRITIS con el ciclo completo de Nachweis del §29 por encima. Una línea de negocio (Fernwärme) es sector 1 del Anexo I pero por debajo del umbral KRITIS, de modo que NIS 2 esencial sin §29. Una línea de negocio (ÖPNV) es transporte del Anexo II. La filial de fibra es sector 8 del Anexo I si cruza el umbral de tamaño por sí sola. Un único registro del §33 cubre la persona jurídica. La auditoría del §29 cubre solo las Anlagen KRITIS. Las medidas del §30 lo cubren todo.
La comprobación de aplicabilidad recorre los umbrales de la BSI-KritisV línea por línea: qué Anlage, qué sector, qué métrica cuantitativa, qué umbral. Si cruza uno, la página señala el ciclo de Nachweis del §29 y cambia el perfil de la empresa a operador KRITIS. El módulo de registro hace aparecer después los campos adicionales del §33 (servicio crítico, métricas de abastecimiento, ubicación, contacto 24/7). La calculadora de sanciones cambia a la banda más alta del §65.
La base de evidencia es compartida. Los mismos controles que satisfacen el §30 BSIG producen el rastro de auditoría que entrega al BSI bajo el §29. El registro de proveedores del Artículo 21(2)(d) es el mismo registro que se revisa durante una inspección del §29. El formulario de notificación de incidentes cubre la cascada del §32 (24 horas / 72 horas / un mes) para ambos regímenes. Una base de evidencia, dos destinos de notificación cuando es necesario (BSI más, para energía y telecomunicaciones, la BNetzA).
- Directiva (UE) 2022/2555 (NIS 2), Artículo 21(1) (proporcionalidad), Artículo 21(2) (diez medidas), Artículo 27 (actualización del registro) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (ámbito), §29 (Nachweis trienal para operadores KRITIS), §30 (medidas), §32 (notificación de incidentes), §33 (registro), §65 (sanciones) — gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), umbrales específicos por sector para electricidad, agua, alimentación, salud, transporte, finanzas, TI y telecomunicaciones, residuos, espacio — gesetze-im-internet.de/bsi-kritisv
- BSI, paquete informativo 'Kritische Infrastrukturen' y FAQ de NIS 2 — bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog según el §11 EnWG (superposición del sector energético) — bundesnetzagentur.de
- Directiva (UE) 2022/2557 (CER) sobre la resiliencia de las entidades críticas (resiliencia física, distinta de NIS 2) — eur-lex.europa.eu/eli/dir/2022/2557/oj