Una plataforma. Todos los requisitos de la UE. Sin lagunas.
La UE creó NIS2 para armonizar la ciberseguridad en toda Europa. Después, 27 países lo implementaron de forma distinta. Nosotros lo resolvimos.
La estandarización que nunca fue
NIS2 debía ser el gran unificador: una directiva para alinear los requisitos de ciberseguridad en los 27 Estados miembros de la UE. En la práctica, hizo lo contrario. La directiva fija requisitos mínimos, y cada país es libre de ser más estricto. La mayoría lo fue. El resultado es un mosaico de leyes nacionales, cada una con su propia interpretación, sus propios umbrales y sus propias expectativas de aplicación.
Después, la Comisión Europea añadió el CIR 2024/2690, un reglamento de ejecución que especifica los requisitos técnicos para las entidades transfronterizas más críticas. No sustituye a la legislación nacional, sino que se superpone a ella. Así que ahora las empresas se enfrentan a tres capas de requisitos que se solapan, se contradicen y confunden aproximadamente en igual medida.
Si opera en varios países de la UE, o si simplemente quiere saber qué significa realmente "cumplir con NIS2" en términos concretos, está solo. No existe una única fuente de verdad. Hasta ahora.
Directiva NIS2 (UE 2022/2555)
La directiva a nivel de la UE que establece los requisitos mínimos de ciberseguridad para las entidades esenciales e importantes. Deliberadamente vaga en los detalles de implementación: le dice qué debe lograr, no cómo lograrlo. Cada Estado miembro debe transponerla a la legislación nacional, y se les permite expresamente ir más allá.
BSIG - Transposición nacional alemana
Alemania transpuso NIS2 a la BSIG (BSI-Gesetz). Va significativamente más allá de los mínimos de la directiva: plazos de notificación de incidentes más estrictos, un ámbito más amplio de entidades afectadas y responsabilidad explícita de la dirección conforme al artículo 38. Si opera en Alemania, la directiva por sí sola no basta: la BSIG es lo que aplican los auditores.
CIR 2024/2690 - Reglamento de ejecución de la UE
El Reglamento de Ejecución de la Comisión especifica requisitos técnicos y metodológicos detallados para las entidades que prestan servicios transfronterizos (DNS, nube, CDN, centros de datos y más). A diferencia de la directiva, es directamente aplicable: no se necesita transposición nacional. Añade requisitos pormenorizados de gestión de riesgos, gestión de incidentes y seguridad de la cadena de suministro que van mucho más allá del texto de la directiva.
IT-Grundschutz - Metodología de implementación del BSI
Los estándares IT-Grundschutz del BSI (BSI-200-1, 200-2, 200-3) definen exactamente cómo implementar los requisitos en la práctica. Conforme al artículo 44(2) BSIG, la implementación de Grundschutz se reconoce expresamente como cumplimiento de las obligaciones de NIS2 en Alemania. Es la capa más detallada y prescriptiva, y la que convierte las declaraciones de política vagas en controles concretos y auditables.
El denominador común más estricto
Nuestra plataforma no elige un único marco y confía en que salga bien. Para cada tema de cumplimiento (gestión de riesgos, notificación de incidentes, control de acceso, cifrado, formación, cadena de suministro) identificamos el requisito más estricto entre las tres fuentes normativas: la Directiva NIS2, el CIR 2024/2690 y la BSIG con la metodología IT-Grundschutz.
A continuación, integramos esa versión más estricta en la plataforma como valor predeterminado. Cada formulario, cada flujo de trabajo, cada requisito de evidencia está diseñado para cumplir el listón más alto. Cuando completa un requisito en nuestra plataforma, no solo cumple el estándar alemán o el mínimo de la UE: los cumple todos simultáneamente.
El resultado: cumple una vez, cumple en todas partes. Tanto si opera solo en Alemania, como en toda la UE, o si entra en el ámbito transfronterizo del CIR, su postura de cumplimiento se sostiene. Sin trabajo duplicado, sin lagunas, sin sorpresas durante una auditoría en otra jurisdicción.
| Área de cumplimiento | Directiva NIS2 | CIR 2024/2690 | BSIG / Grundschutz |
|---|---|---|---|
| Gestión de riesgos | Medidas "adecuadas y proporcionadas", sin metodología prescrita | Metodología explícita de evaluación de riesgos con criterios definidos, aceptación de riesgos documentada | Análisis de riesgos completo basado en activos según BSI-200-3, modelización de amenazas según el IT-Grundschutz Compendium, revisión anual obligatoria |
| Notificación de incidentes | Alerta temprana en un plazo de 24 h, notificación completa en un plazo de 72 h | Los mismos plazos, además los incidentes recurrentes deben agregarse y notificarse como un patrón | 24 h/72 h más notificación obligatoria al BSI, la dirección debe ser informada de inmediato, análisis de la causa raíz requerido |
| Seguridad de la cadena de suministro | Considerar los riesgos de la cadena de suministro, tener en cuenta las vulnerabilidades de los proveedores | Evaluación documentada de proveedores, requisitos contractuales de seguridad, reevaluación periódica | Registro de riesgos de proveedores vinculado al inventario de activos, seguimiento del estado de registro NIS2, auditoría de proveedores a nivel Grundschutz |
| Cifrado y criptografía | "Cuando proceda": uso de criptografía y cifrado | Política de criptografía requerida, gestión de claves documentada, idoneidad de los algoritmos evaluada | Las Directrices Técnicas del BSI (TR-02102) definen los algoritmos aprobados, las longitudes de clave y los protocolos, sin margen de interpretación |
| Control de acceso | Políticas de control de acceso a las redes y sistemas de información | Acceso basado en roles, gestión de accesos privilegiados, revisiones de acceso periódicas | Principio de necesidad de conocer, separación de funciones, MFA obligatoria para el acceso administrativo, RBAC documentado con recertificación anual |
| Formación en ciberseguridad | Formación periódica para la dirección y todos los empleados | Formación específica por rol, la dirección debe demostrar competencia en la supervisión de riesgos | Formación anual de concienciación para todos los empleados, formación específica por rol para el personal de TI, formación obligatoria sobre responsabilidad conforme al artículo 38 BSIG para la dirección |
Transfronterizo por defecto
Opere en Alemania, expándase a Francia, atienda clientes en los Países Bajos: su cumplimiento se sostiene en todas partes. Sin rehacer trabajo por jurisdicción, sin una segunda auditoría. Un solo proceso cubre los 27 Estados miembros porque ya cumple la interpretación más estricta.
Cero ambigüedad
La Directiva NIS2 es deliberadamente vaga. "Medidas adecuadas" significa cosas distintas para distintos auditores. Nuestra plataforma elimina esa ambigüedad al adoptar por defecto el requisito más específico y prescriptivo disponible. Nunca tiene que adivinar si su interpretación es "suficiente".
Cumplimiento preparado para el futuro
Las regulaciones solo se endurecen. Los países que hoy transpusieron NIS2 al nivel mínimo serán más estrictos mañana. Al cumplir ya el estándar actual más alto, está por delante de cualquier endurecimiento futuro, no corriendo para ponerse al día.
Listo para auditoría desde el primer día
Los auditores del BSI esperan evidencia a nivel Grundschutz. Las evaluaciones de ENISA comprueban el cumplimiento del CIR. Nuestra plataforma genera evidencia que satisface ambas, de forma automática. Las asignaciones, las firmas, los plazos y los registros de auditoría están integrados en el flujo de trabajo: son el proceso de cumplimiento, no una ocurrencia tardía.
Esta es la objeción más común, y es errónea. La diferencia entre cumplir los requisitos mínimos de la Directiva NIS2 y cumplir el estándar BSIG/Grundschutz no es más entrada de datos, más documentos o más trabajo de relleno. Es más estructura. La misma información que una empresa aporta para un ejercicio de casillas NIS2 al mínimo es la misma información necesaria para una implementación a nivel Grundschutz.
El "trabajo" adicional es comprensión: saber qué activos documentar, cómo estructurar una evaluación de riesgos, qué constituye evidencia adecuada. Eso es exactamente lo que nuestra plataforma gestiona por usted. Los formularios le guían por las preguntas correctas. Los flujos de trabajo imponen el proceso correcto. La evidencia se genera a medida que trabaja.
En la práctica, una empresa que usa nuestra plataforma no dedica más tiempo que una que usa una herramienta de listas de verificación de cumplimiento mínimo. La diferencia es que nuestro resultado realmente se sostiene en una auditoría, en cualquier país de la UE, bajo cualquier regulación aplicable. El esfuerzo es idéntico. El resultado es incomparablemente mejor.
Preguntas frecuentes
¿No es esto excesivo para una empresa que solo opera en un país?
No. Incluso dentro de un solo país, se enfrenta a múltiples requisitos solapados: la transposición nacional, potencialmente el CIR si presta servicios transfronterizos, y las expectativas prácticas de su auditor nacional. Cumplir el denominador común más estricto significa que nunca tiene que preocuparse por qué regulación específica aplica a qué parte de su negocio. No es excesivo: es el único enfoque que elimina por completo la ambigüedad.
¿Y si mi país tiene requisitos distintos a la BSIG de Alemania?
Todos los países de la UE transpusieron NIS2 al mínimo de la directiva o por encima de él. La BSIG de Alemania está entre las transposiciones más estrictas. Si cumple los requisitos a nivel BSIG, supera automáticamente lo que exija su país. Piénselo como un superconjunto: la ley nacional más estricta, más el CIR, más la directiva cubre cualquier interpretación posible que cualquier Estado miembro pudiera aplicar.
¿El enfoque más estricto cuesta más o lleva más tiempo?
No. La plataforma le guía por el mismo número de pasos en cualquier caso. La diferencia está en cómo se estructuran esos pasos: nuestros formularios y flujos de trabajo están diseñados para capturar la información al nivel de detalle que satisface la metodología Grundschutz. No está haciendo más trabajo; está haciendo el mismo trabajo con más precisión. La inversión de tiempo es comparable a la de cualquier herramienta de cumplimiento, pero el resultado es defendible en todas las jurisdicciones de la UE.
¿Y la ISO 27001? ¿La sigo necesitando?
La ISO 27001 es un estándar de sistema de gestión, no un requisito legal. NIS2, BSIG y CIR son obligaciones legales. Hay un solapamiento significativo: si cumple los requisitos de nuestra plataforma, ha cubierto aproximadamente entre el 70 y el 80 % de los controles del Anexo A de la ISO 27001. Pero sirven a propósitos distintos: el cumplimiento de NIS2 es obligatorio y legalmente exigible; la certificación ISO 27001 es voluntaria y orientada al mercado. Nuestra plataforma se centra primero en las obligaciones legales. La alineación con la ISO 27001 llegará como una funcionalidad futura.
¿Cómo se relaciona el CIR 2024/2690 con la legislación nacional como la BSIG?
El CIR es un reglamento de ejecución de la UE: se aplica directamente en todos los Estados miembros sin transposición nacional. No sustituye a la legislación nacional; se añade a ella. Para las entidades dentro del ámbito del CIR (principalmente proveedores de infraestructura digital transfronteriza), debe cumplir tanto su transposición nacional (p. ej., la BSIG en Alemania) como el CIR. Cuando se solapan, se aplica el requisito más estricto. Cuando no se solapan, ambos se aplican de forma independiente. Nuestra plataforma gestiona esta superposición para que usted no tenga que hacerlo.