NIS 2 frente a la Directiva CER: resiliencia cibernética junto a resiliencia física
Dos directivas, adoptadas el mismo día, con el mismo plazo de transposición, que cubren casi los mismos sectores críticos desde dos ángulos distintos.
Dos directivas, un paquete de resiliencia
El 14 de diciembre de 2022 la UE adoptó dos directivas en paralelo. La Directiva (UE) 2022/2555 (NIS 2) es la directiva de ciberseguridad. La Directiva (UE) 2022/2557 (CER) es la directiva relativa a la resiliencia de las entidades críticas. Ambas tenían que transponerse antes del 17 de octubre de 2024.
NIS 2 protege las redes y los sistemas de información. CER protege la operación física de las entidades críticas frente a amenazas no cibernéticas como peligros naturales, sabotaje, terrorismo, ataques internos y pandemias. Los sectores cubiertos se solapan en gran medida, pero el objeto de protección es distinto.
Para los operadores de energía, transporte, banca, infraestructura del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, administración pública y espacio, ambas directivas a menudo se aplican en paralelo. Esta página del wiki expone dónde se encuentran las dos y dónde divergen.
NIS 2, artículo 2(3) (verbatim)
La presente Directiva se aplica a las entidades identificadas como entidades críticas en virtud de la Directiva (UE) 2022/2557.
El artículo 2(3) de NIS 2 hace explícito el vínculo: una entidad que un Estado miembro designe como entidad crítica conforme a CER queda dentro del ámbito de NIS 2 y se trata como entidad esencial conforme al artículo 3(1)(f) de NIS 2.
CER, artículo 1 (objeto, verbatim)
La presente Directiva establece obligaciones para los Estados miembros de adoptar medidas específicas destinadas a garantizar que los servicios que son esenciales para el mantenimiento de funciones sociales o actividades económicas vitales en el ámbito del artículo 5 se presten sin trabas en el mercado interior, en particular obligaciones para los Estados miembros de identificar a las entidades críticas y de prestar apoyo a las entidades críticas para que cumplan las obligaciones que se les imponen.
CER se centra en la continuidad de los servicios esenciales frente a amenazas físicas, naturales, híbridas y de origen humano. El ángulo cibernético se deja a NIS 2.
Transposición nacional (Alemania)
NIS 2 se transpone en Alemania mediante la BSIG (proyecto NIS2UmsuCG). CER se transpone mediante una KRITIS-Dachgesetz (ley marco KRITIS) independiente, dirigida por el Ministerio Federal del Interior.
Las dos directivas se transponen mediante dos leyes nacionales distintas, supervisadas por dos agencias federales distintas. A fecha de junio de 2026, la transposición alemana de NIS 2 sigue en el procedimiento legislativo, y la ley marco KRITIS está en estado de proyecto en paralelo.
Las listas de sectores se solapan, pero no perfectamente
Los Anexos I y II de NIS 2 enumeran 18 sectores. El Anexo de CER enumera 11 sectores. Los sectores de energía, transporte, banca, infraestructura del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, administración pública y espacio aparecen en ambos. CER cubre además la producción, transformación y distribución de alimentos, que queda fuera de NIS 2.
Redes y sistemas de información frente a continuidad física del servicio
NIS 2 protege la ciberseguridad de las redes y los sistemas de información utilizados por la entidad. CER protege la capacidad de la entidad de seguir prestando el servicio esencial frente a perturbaciones físicas, naturales y de origen humano. Mismo operador, dos lentes de riesgo distintas.
Las entidades críticas conforme a CER son entidades esenciales conforme a NIS 2
El artículo 2(3) NIS 2 dirige cualquier entidad designada como entidad crítica conforme a CER directamente a NIS 2 como entidad esencial. Lo contrario no se cumple automáticamente: estar dentro del ámbito de NIS 2 no le designa como entidad crítica conforme a CER.
El riesgo cibernético no es el riesgo físico
El artículo 21 NIS 2 exige medidas de gestión de riesgos de ciberseguridad (políticas, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, control de acceso, criptografía, etc.). Los artículos 12 a 13 de CER exigen un plan de resiliencia que cubra medidas de protección física, redundancia, continuidad de negocio y seguridad del personal. La evidencia se solapa en algunos puntos (por ejemplo, los planes de continuidad de negocio), pero el catálogo de riesgos es distinto.
A menudo el mismo operador, dos informes, dos autoridades
Una empresa de aguas, un grupo hospitalario, una distribuidora de energía o un órgano de administración pública pueden tener obligaciones conforme a ambas directivas al mismo tiempo. Eso suele significar dos evaluaciones de riesgos paralelas y dos líneas de notificación paralelas, una a la autoridad competente de NIS 2 y otra a la autoridad competente de CER.
BSI
En Alemania, la Bundesamt fuer Sicherheit in der Informationstechnik (BSI) es la autoridad principal para la implementación de NIS 2. El BSI recibe los registros, las notificaciones de incidentes y supervisa las medidas de gestión de riesgos de ciberseguridad de NIS 2.
BBK
La autoridad principal alemana para CER es la Bundesamt fuer Bevoelkerungsschutz und Katastrophenhilfe (BBK), no el BSI. La BBK supervisa la designación de entidades críticas y la resiliencia física conforme a la prevista KRITIS-Dachgesetz.
ENISA y el Grupo sobre Resiliencia de las Entidades Críticas
Por el lado cibernético, ENISA apoya a los Estados miembros y a los operadores conforme a NIS 2. Por el lado de CER, el Grupo sobre Resiliencia de las Entidades Críticas creado conforme al artículo 19 CER coordina entre Estados miembros. La Comisión apoya ambas capas, pero los carriles cibernético y físico permanecen institucionalmente separados a escala de la UE.
CER también cubre la ciberseguridad, así que solo necesitamos un proyecto
CER no regula la ciberseguridad. El considerando 4 y las disposiciones de ámbito de CER dejan explícitamente el riesgo cibernético a NIS 2. CER se centra en las amenazas físicas, naturales y de origen humano al servicio. Un SGSI solo cibernético no satisface CER. Un plan de resiliencia física por sí solo no satisface NIS 2.
Las dos directivas se aplican exactamente a los mismos operadores
El solapamiento sectorial es alto, pero no del 100 por ciento. CER incluye la producción, transformación y distribución de alimentos. NIS 2 incluye la gestión de servicios TIC y varias categorías de servicios digitales que CER no cubre. E incluso cuando ambas se aplican, CER exige una designación explícita por parte del Estado miembro, mientras que NIS 2 opera en su mayoría por autoidentificación frente a criterios de tamaño y sector.
KRITIS es la transposición alemana de CER
KRITIS es un concepto alemán de larga data que es anterior a ambas directivas y que actualmente está repartido entre la BSIG, la BSI-KritisV y leyes sectoriales específicas. La prevista KRITIS-Dachgesetz pretende transponer CER, pero no es lo mismo que el perímetro KRITIS existente, ni es la transposición de NIS 2. Tres líneas de trabajo separadas, no una.
Una distribuidora regional de energía con unos 400 empleados lleva un SGSI para NIS 2 (medidas de gestión de riesgos del artículo 21, notificación de incidentes al BSI en 24 horas, seguridad de la cadena de suministro, formación). En paralelo, la misma distribuidora lleva un plan de resiliencia de entidad crítica conforme a CER, que cubre la protección física de los emplazamientos, la redundancia de subestaciones, los controles de fiabilidad del personal y la continuidad de negocio frente a perturbaciones físicas. Los dos planes comparten insumos de continuidad de negocio, pero viven bajo dos líneas de gobernanza separadas.
En la práctica diaria, la configuración más limpia es un único registro de riesgos que etiquete cada riesgo como cibernético, físico o ambos, y que alimente dos salidas: las medidas de gestión de riesgos de ciberseguridad de NIS 2 por un lado, el plan de resiliencia de CER por el otro. Eso evita duplicar el inventario de activos y el trabajo de continuidad de negocio, manteniendo a la vez los entregables regulatorios claramente separados.
Esta plataforma implementa las obligaciones del artículo 21 NIS 2 como un registro de obligaciones: inventario de activos, inventario de proveedores, registro de riesgos, gestión de incidentes, continuidad de negocio, formación y evidencia de supervisión. CER no está dentro del ámbito de la plataforma.
Los operadores que tengan obligaciones conforme a ambas directivas pueden reutilizar el inventario de activos y de proveedores de NIS 2 como insumo para su plan de resiliencia de CER, pero el propio plan de resiliencia de CER se sitúa en una línea de trabajo separada, supervisada por la autoridad competente de CER.
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (NIS 2). EUR-Lex: 32022L2555.
- Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (CER). EUR-Lex: 32022L2557.
- NIS 2, artículo 2(3) sobre el vínculo con CER. NIS 2, Anexos I y II sobre sectores.
- CER, artículo 1 (objeto), artículo 5 (sectores), artículo 6 (criterios para la identificación de entidades críticas), artículos 12 y 13 sobre planes de resiliencia.
- Oficina Federal de Seguridad de la Información (BSI), página nacional de implementación de NIS 2.
- Oficina Federal de Protección Civil y Ayuda en caso de Catástrofe (BBK), página nacional de implementación de CER.