NIS2 frente a KRITIS: lo que realmente cambió
NIS2 no sustituye a KRITIS: lo amplía drásticamente. De unos 2.000 operadores a cerca de 30.000 entidades, siete sectores nuevos, responsabilidad personal de la dirección y plazos de notificación más estrictos.
KRITIS fue el calentamiento. NIS2 es el evento principal.
Si su empresa ya estaba clasificada como KRITIS (Kritische Infrastruktur) bajo el antiguo régimen BSI-KritisV, sabe cómo es la regulación de ciberseguridad. Ya se ha enfrentado a auditorías del BSI, a la notificación de incidentes y a medidas de seguridad informática. La buena noticia: su trabajo existente no se pierde. La noticia complicada: NIS2 eleva el listón, amplía el ámbito de aplicación y añade obligaciones que antes no existían.
Si su empresa NO era KRITIS anteriormente, este es probablemente su primer encuentro con una regulación de ciberseguridad obligatoria. NIS2 (transpuesta al Derecho alemán mediante la BSIG modificada) incorpora aproximadamente 28.000 empresas adicionales al perímetro regulatorio. Muchas de estas empresas nunca han notificado un incidente a una agencia gubernamental, nunca han sido auditadas en materia de seguridad informática y nunca han considerado la ciberseguridad como un tema de cumplimiento legal.
| Aspecto | KRITIS (BSI-KritisV) | NIS2 / BSIG (nuevo) |
|---|---|---|
| Ámbito de aplicación | Aproximadamente 2.000 operadores de infraestructuras críticas en 10 sectores, identificados por superar valores umbral específicos (p. ej., 500.000 personas atendidas) | Aproximadamente 30.000 entidades en 18 sectores, mediante un sencillo umbral de tamaño: 50 o más empleados o más de 10 millones EUR de facturación anual. Incluye tanto la categoría «esencial» como la «importante» |
| Modelo de umbral | Umbrales cuantitativos específicos por sector (p. ej., 500.000 personas abastecidas para energía, 500.000 residentes para agua). Complejos de calcular, muchos casos límite | Criterios de tamaño uniformes: mediana empresa (50 o más empleados o más de 10 millones EUR de facturación) en todos los sectores. Mucho más sencillo de determinar. Algunos sectores tienen criterios adicionales con independencia del tamaño |
| Registro | Autodeclaración ante el BSI con verificación opcional. Inicialmente, no había un portal de registro formal para la mayoría de los operadores KRITIS | Registro obligatorio a través del portal del BSI conforme al §33 BSIG. Debe facilitar los datos de la entidad, la clasificación sectorial, la persona de contacto y los rangos de IP. Disposición sancionadora independiente por la falta de registro |
| Notificación de incidentes | Incidentes significativos notificados al BSI sin un calendario estricto en las normativas anteriores. Posteriormente se endureció, pero con menos estructura que NIS2 | Notificación obligatoria de tres fases conforme al §32 BSIG: alerta temprana en 24 horas, notificación del incidente en 72 horas, informe final en un mes. Cada fase tiene requisitos de contenido definidos |
| Sanciones | Multas de hasta 100.000 EUR para algunas infracciones. Aplicación limitada en la práctica. Las sanciones rara vez se aplicaban públicamente | Multas de hasta 10 millones EUR o el 2 % del volumen de negocios anual mundial para entidades esenciales, hasta 7 millones EUR o el 1,4 % para entidades importantes. Multas independientes por infracciones de registro y de notificación. Inspirado en la estructura sancionadora del GDPR |
| Responsabilidad de la dirección | Sin disposición específica de responsabilidad personal para la dirección. Se aplicaban los deberes generales del Derecho societario | El §38 BSIG introduce una responsabilidad personal explícita para la Geschäftsführung. La dirección debe aprobar las medidas de ciberseguridad, recibir formación y puede ser considerada personalmente responsable de los daños. No puede excluirse mediante acuerdo de la junta de socios |
| Requisitos de auditoría | Presentación bienal de evidencias (§8a BSIG antiguo). Principalmente autoauditoría con revisión por el BSI de las evidencias presentadas | Entidades esenciales: el BSI puede realizar auditorías proactivas e inspecciones in situ. Entidades importantes: supervisión reactiva (auditorías desencadenadas por incidentes o por indicios de incumplimiento). El BSI dispone de competencias de aplicación más amplias, incluidas instrucciones vinculantes |
| Seguridad de la cadena de suministro | No era un requisito regulatorio específico bajo el antiguo régimen KRITIS. Las empresas gestionaban el riesgo de proveedores según sus propios criterios | El §30(2)(4) BSIG exige medidas de seguridad de la cadena de suministro. Debe evaluar la ciberseguridad de los proveedores, incluir requisitos de seguridad en los contratos y supervisar la postura del proveedor durante toda la relación. Se aplica a todas las entidades dentro del ámbito |
Gestión de residuos
Recogida, tratamiento y eliminación de residuos. Cubierto por el anexo II de NIS2. Incluye los servicios municipales de residuos, los procesadores de residuos peligrosos y las operaciones de reciclaje. La mayoría de las empresas de residuos nunca se han enfrentado a una regulación de ciberseguridad.
Producción y distribución de alimentos
Fabricación, transformación y distribución mayorista de alimentos. Cubierto por el anexo II de NIS2. Esto va más allá de la cadena minorista de alimentación para incluir las instalaciones de producción, la logística de cadena de frío y los sistemas de seguridad alimentaria.
Fabricación de productos críticos
Fabricación de productos sanitarios, ordenadores, electrónica, productos ópticos, equipos eléctricos, maquinaria, vehículos de motor y otros equipos de transporte. Cubierto por el anexo II de NIS2. Un número considerable de empresas del Mittelstand alemán entra en esta categoría.
Servicios postales y de mensajería
Prestadores de servicios postales y empresas de mensajería. Cubierto por el anexo II de NIS2. Incluye los servicios de entrega de paquetes, las operaciones de clasificación de correo y las plataformas logísticas que dan soporte a la entrega de última milla.
Producción y distribución de productos químicos
Fabricación, producción y distribución de productos químicos. Cubierto por el anexo II de NIS2. Se solapa de forma significativa con la regulación de seguridad existente (Störfallverordnung), pero añade obligaciones específicas de ciberseguridad.
Organizaciones de investigación
Instituciones de investigación cuyo objetivo principal es llevar a cabo investigación aplicada o desarrollo experimental. Cubierto por el anexo II de NIS2. Incluye los institutos Fraunhofer, los centros Helmholtz y las organizaciones de investigación privadas que superan el umbral de tamaño.
Infraestructura y servicios digitales
Ámbito ampliado para los proveedores digitales: proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda, redes sociales y centros de datos. Algunos estaban parcialmente cubiertos antes; NIS2 amplía y clarifica las definiciones de forma significativa.
- El BSI sigue siendo la autoridad competente central y el CSIRT nacional de Alemania
- IT-Grundschutz sigue siendo la metodología recomendada para implementar las medidas de seguridad (§44(2) BSIG)
- El principio fundamental de medidas «adecuadas y proporcionadas»: debe implementar lo que sea razonable para su tamaño y perfil de riesgo, no todo lo teóricamente posible
- El requisito de mantener un sistema de gestión de la seguridad de la información (SGSI) de algún modo, ya sea certificado formalmente o estructurado en torno a Grundschutz
Preguntas frecuentes
Ya éramos KRITIS, ¿tenemos que hacer algo nuevo?
Sí. Aunque fuera un operador KRITIS plenamente conforme, NIS2 añade nuevas obligaciones: registro obligatorio ante el BSI a través del portal del §33 (si aún no se ha hecho), plazos de notificación de incidentes más estrictos (cascada de 24 h/72 h/1 mes), responsabilidad explícita de la dirección conforme al §38 y medidas obligatorias de seguridad de la cadena de suministro. Sus medidas de seguridad existentes probablemente cubran la mayoría de los requisitos técnicos, pero las obligaciones regulatorias y de gobernanza son nuevas.
¿Cuáles son los nuevos sectores que no estaban en KRITIS?
Siete sectores entran por primera vez en el ámbito de NIS2 y no estaban cubiertos por el antiguo régimen KRITIS: gestión de residuos, producción y distribución de alimentos, fabricación de productos críticos, servicios postales y de mensajería, producción y distribución de productos químicos, organizaciones de investigación e infraestructura y servicios digitales ampliados. Las empresas de estos sectores se enfrentan por primera vez a una regulación de ciberseguridad obligatoria.
¿Es NIS2 simplemente KRITIS con otro nombre?
No. NIS2 es un régimen regulatorio fundamentalmente más amplio y profundo. KRITIS cubría aproximadamente 2.000 operadores con umbrales altos. NIS2 cubre aproximadamente 30.000 entidades con umbrales mucho más bajos. NIS2 añade responsabilidad personal de la dirección, registro obligatorio, plazos estructurados de notificación de incidentes, obligaciones de cadena de suministro y sanciones significativamente más altas. Piense en KRITIS como el programa piloto; NIS2 es el despliegue completo.
¿Cuál es la mayor diferencia práctica para las empresas?
La responsabilidad personal de la dirección conforme al §38 BSIG. Bajo KRITIS, la ciberseguridad era un problema del departamento de TI. Bajo NIS2, la Geschäftsführung es personalmente responsable de aprobar y supervisar las medidas de ciberseguridad, debe recibir formación en ciberseguridad y puede ser considerada responsable de los daños derivados del incumplimiento. Esta responsabilidad no puede excluirse, ni siquiera mediante acuerdo de la junta de socios. Esto convierte la ciberseguridad de una partida del presupuesto de TI en un asunto de gobernanza a nivel de consejo.
- Directiva (UE) 2022/2555 - Directiva NIS2, anexo I y anexo II (definiciones sectoriales)
- BSIG - §28 (ámbito de aplicación y definiciones de entidades), §30 (medidas de ciberseguridad), §32 (notificación de incidentes), §33 (registro), §38 (responsabilidad de la dirección), §65 (sanciones)
- BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen (anterior reglamento de umbrales KRITIS)
- BSI - orientación sobre el ámbito de aplicación de NIS2 y documentación de clasificación sectorial (2025)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit