§ 30 BSIG

§30 BSIG: las diez medidas de ciberseguridad

Respuesta breve: el §30 del BSIG alemán es la transposición nacional del artículo 21 NIS 2. Las entidades esenciales e importantes deben implementar diez medidas de gestión de riesgos, desde el análisis de riesgos hasta la seguridad de la cadena de suministro y la autenticación multifactor. La implementación debe ser proporcional al tamaño, a la exposición al riesgo y al estado de la técnica.

Simon OrzelSimon Orzel·Laufend geprüft

Qué exige el §30 BSIG

El §30 BSIG se sitúa en el centro de la implementación alemana de NIS 2. Obliga a las entidades esenciales e importantes a adoptar medidas técnicas y organizativas apropiadas, proporcionadas y eficaces para gestionar los riesgos para la seguridad de sus sistemas de información, componentes y procesos.

La disposición transpone el artículo 21(2) de la Directiva NIS 2 (Directiva (UE) 2022/2555) al Derecho alemán. La sustancia es de ámbito de la UE e idéntica en cada Estado miembro. La redacción se ajustó al estilo legislativo alemán, pero las diez medidas del §30(2) núms. 1 a 10 BSIG se corresponden una a una con el artículo 21(2)(a) a (j) NIS 2.

Los deberes se aplican desde la fecha en que entró en vigor la NIS2UmsuCG. La ley no prevé ningún período transitorio. Quien entre en el ámbito de aplicación debe las medidas desde el día en que entra en dicho ámbito.

Las diez medidas conforme al §30(2) BSIG
Las diez medidas obligatorias, cada una con referencia cruzada a la letra correspondiente del artículo 21(2) NIS 2.
1

Núm. 1: Políticas de análisis de riesgos y de seguridad de los sistemas de información

Políticas de análisis de riesgos y de seguridad de los sistemas de información. Se corresponde con el artículo 21(2)(a) NIS 2. Operacionalizado por el CIR (UE) 2024/2690 Sección 2 para los sectores digitales en su anexo.

2

Núm. 2: Gestión de incidentes

Detección, respuesta, contención, recuperación y revisión posterior al incidente. Se corresponde con el artículo 21(2)(b) NIS 2. Se entrelaza con el deber de notificación conforme al §32 BSIG.

3

Núm. 3: Continuidad de la actividad

Gestión de copias de seguridad, recuperación ante desastres y gestión de crisis. Se corresponde con el artículo 21(2)(c) NIS 2. Una interrupción en la nube de su proveedor queda cubierta aquí.

4

Núm. 4: Seguridad de la cadena de suministro

Seguridad de la cadena de suministro, incluidos los aspectos relacionados con la seguridad de las relaciones con proveedores directos y prestadores de servicios. Se corresponde con el artículo 21(2)(d) NIS 2. Esta obligación se transmite contractualmente a cada proveedor directo.

5

Núm. 5: Seguridad en la adquisición, el desarrollo y el mantenimiento

Medidas de seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de información, componentes y procesos, incluida la gestión y divulgación de vulnerabilidades. Se corresponde con el artículo 21(2)(e) NIS 2. Se solapa con las obligaciones de la Cyber Resilience Act para productos con elementos digitales.

6

Núm. 6: Evaluación de la eficacia

Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos. Se corresponde con el artículo 21(2)(f) NIS 2. Es el bucle de retroalimentación: no solo introducir medidas, sino comprobar si funcionan.

7

Núm. 7: Higiene cibernética y formación

Prácticas básicas de higiene cibernética y formación en ciberseguridad. Se corresponde con el artículo 21(2)(g) NIS 2. Se aplica a todo el personal, con formación específica según el rol para los puestos de TI. La formación del órgano de dirección se regula por separado conforme al §38(3) BSIG.

8

Núm. 8: Criptografía y cifrado

Políticas y procedimientos para el uso de la criptografía y, cuando proceda, del cifrado. Se corresponde con el artículo 21(2)(h) NIS 2. 'Cuando proceda' permite una diferenciación basada en el riesgo, pero descarta una exención general.

9

Núm. 9: Seguridad de los recursos humanos, control de acceso, gestión de activos

Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos. Se corresponde con el artículo 21(2)(i) NIS 2. Cubre la incorporación y la baja, la provisión de accesos según el principio de necesidad de conocer y un inventario de activos.

10

Núm. 10: Autenticación multifactor y comunicaciones seguras

Soluciones de autenticación multifactor o continua, comunicaciones de voz, vídeo y texto seguras y, cuando proceda, sistemas de comunicación de emergencia seguros dentro de la entidad. Se corresponde con el artículo 21(2)(j) NIS 2.

Proporcionalidad conforme al §30(1) frase 2 BSIG

El §30(1) frase 2 BSIG exige que las medidas se elijan teniendo en cuenta el estado de la técnica, los estándares europeos e internacionales pertinentes y el coste de implementación. Se consideran el tamaño, la exposición al riesgo y la probabilidad de incidentes.

La proporcionalidad no es una licencia para omitir una medida. El BSI dejó claro en su orientación sobre el §38(3) BSIG que queda descartada una transferencia general del riesgo a un seguro cibernético o a prestadores de servicios. Proporcionado significa: no toda medida a la máxima profundidad, sino adaptada a la situación específica y documentada por escrito.

Relación con el artículo 21 NIS 2 y el CIR (UE) 2024/2690
Derecho de la UE, transposición alemana y reglamento técnico de ejecución en una sola línea.

El artículo 21(2) NIS 2 es la base a nivel de la UE. Las diez letras (a) a (j) son vinculantes. La redacción se mantuvo abierta para que los Estados miembros pudieran encajarla en las estructuras nacionales de supervisión. El §30 BSIG adopta las diez medidas como núms. 1 a 10 sin desviación sustantiva.

Para los proveedores de DNS, los registros TLD, los proveedores de nube, los centros de datos, las redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios gestionados de seguridad, los mercados en línea, los motores de búsqueda en línea, las plataformas de redes sociales y los prestadores de servicios de confianza, el Reglamento de Ejecución de la Comisión de la UE 2024/2690 operacionaliza las diez medidas en su anexo. El Reglamento se aplica directamente, sin transposición nacional. Para estos sectores, tanto el §30 BSIG como el CIR están sobre la mesa.

Quién está sujeto al §30 BSIG

El §30 BSIG se aplica a las entidades esenciales conforme al §28(6) BSIG y a las entidades importantes conforme al §28(7) BSIG. Los sectores se enumeran en el anexo 1 y el anexo 2 de la Directiva NIS 2. El umbral de tamaño es de al menos 50 empleados o 10 millones de euros de volumen de negocios anual, con reglas especiales para las infraestructuras críticas (KRITIS) y para los sectores que se aplican con independencia del tamaño.

Si tiene dudas, comience con la prueba de aplicabilidad conforme al artículo 2 NIS 2. Los proveedores de entidades reguladas también entran en contacto con el §30 a través del núm. 4 (cadena de suministro): las obligaciones se transmiten contractualmente a los proveedores directos.

Qué ocurre si incumple el §30

Los incumplimientos del deber de adoptar medidas conforme al §30 BSIG conllevan multas administrativas conforme al §65 BSIG. Para las entidades esenciales, el máximo es de 10 millones de euros o el 2 por ciento del volumen de negocios mundial del ejercicio anterior, el importe que sea mayor. Para las entidades importantes, el máximo es de 7 millones de euros o el 1,4 por ciento.

El §38 BSIG añade la responsabilidad personal del órgano de dirección por el incumplimiento del deber de aprobar las medidas del §30 y de supervisar su implementación. La responsabilidad no depende de que se haya producido un daño efectivo.

Preguntas frecuentes sobre el §30 BSIG

¿Es el §30 BSIG lo mismo que el artículo 21 NIS 2?

En sustancia, sí. El §30 BSIG es la transposición alemana del artículo 21 NIS 2. Las diez medidas del §30(2) núms. 1 a 10 BSIG se corresponden una a una con el artículo 21(2)(a) a (j) NIS 2. Para el trabajo de ámbito de la UE, cite el artículo 21 NIS 2 como fuente primaria y haga referencia al §30 BSIG como la transposición alemana.

¿Tengo que implementar las diez medidas?

Sí. Las diez medidas no son opcionales. La elección se produce dentro de cada medida mediante la proporcionalidad. No se permite omitir una medida entera. La profundidad de la implementación puede adaptarse al tamaño, a la exposición al riesgo y al estado de la técnica, pero suprimir un número completo no está permitido.

¿Qué significa la proporcionalidad en la práctica?

La proporcionalidad conforme al §30(1) frase 2 BSIG significa: las medidas se ajustan al tamaño, a la exposición al riesgo, a la probabilidad y la gravedad de los incidentes y al coste de implementación. La decisión debe documentarse por escrito. Una transferencia general del riesgo a un seguro cibernético o a un prestador de servicios no es aceptada por el BSI como implementación proporcionada.

¿Cómo demuestro la implementación ante el BSI?

Mediante documentación. Para cada una de las diez medidas, registre por escrito la implementación elegida, la justificación de la profundidad y la evaluación de la eficacia. Una auditoría del BSI conforme al §61 o al §62 BSIG examina estos registros, no la explicación oral. Una autoevaluación estructurada de las diez medidas es el punto de partida más rápido.

¿Cuál es la diferencia entre el §30 BSIG e IT-Grundschutz?

El §30 BSIG es el deber. IT-Grundschutz es una metodología concreta que satisface ese deber. El §44(2) BSIG nombra IT-Grundschutz como implementación suficiente. Otros estándares como ISO 27001 son igualmente posibles, pero la prueba sigue vinculada a las diez medidas del §30 BSIG, no a la estructura del estándar elegido.

Autoevaluación de las diez medidas
La evaluación de brechas gratuita recorre las diez medidas del §30(2) BSIG. 116 preguntas, 15 dominios, con un informe listo para el consejo. Open Source, sin lock-in.
Inicie la evaluación de brechas