EU 2024/2690

Guía de implementación del CIR 2024/2690

El Reglamento de Ejecución de la UE que especifica exactamente qué medidas técnicas y metodológicas deben implementar las entidades NIS2, publicado en el Diario Oficial el 17 de octubre de 2024 y directamente aplicable en todos los Estados miembros.

Cory HiseyCory Hisey·Laufend geprüft

¿Qué es el CIR 2024/2690?

El Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, se publicó en el Diario Oficial de la Unión Europea (serie L, 2024/2690). Establece las normas de aplicación de la Directiva (UE) 2022/2555 (la Directiva NIS2) en lo relativo a los requisitos técnicos y metodológicos de las medidas de gestión de riesgos de ciberseguridad. A diferencia de la propia Directiva NIS2, este reglamento no requiere transposición nacional: se aplica directamente en los 27 Estados miembros desde la fecha de su entrada en vigor.

El CIR es la respuesta a la pregunta que se hace todo responsable de cumplimiento: '¿Qué tenemos que implementar exactamente?'. Mientras que el §30 BSIG (la transposición alemana) enumera 10 ámbitos de medidas en términos generales, el Anexo del CIR los desglosa en requisitos técnicos y metodológicos específicos y auditables. Es la especificación oficial más detallada de las obligaciones NIS2 disponible: más detallada que la propia Directiva, más específica que el BSIG, y directamente exigible.

El reglamento se elaboró en consulta con ENISA y el Grupo de Cooperación NIS, sobre la base de marcos existentes, entre ellos ISO/IEC 27001, ETSI EN 319 401 y normas nacionales. Se aplica específicamente a los proveedores de servicios de DNS, los registros de nombres de TLD, los proveedores de servicios de computación en nube, los proveedores de servicios gestionados de TIC, los proveedores de servicios gestionados de seguridad, los proveedores de mercados en línea, los proveedores de motores de búsqueda en línea, los proveedores de plataformas de servicios de redes sociales y los prestadores de servicios de confianza, aunque sus requisitos técnicos sirven de referencia de facto para todas las entidades NIS2.

Entidades cubiertas directamente
El CIR aplica requisitos obligatorios a los siguientes tipos de entidad, tal como se definen en el artículo 1:

Proveedores de servicios de DNS

Registros de nombres de TLD

Proveedores de servicios de computación en nube

Proveedores de servicios gestionados de TIC (servicios gestionados) y proveedores de servicios gestionados de seguridad

Proveedores de mercados en línea

Proveedores de plataformas de servicios de redes sociales

Prestadores de servicios de confianza

Estructura del reglamento

El CIR consta de 7 artículos que definen el ámbito de aplicación, las definiciones y los requisitos, más un Anexo detallado que contiene las especificaciones técnicas y metodológicas.

Artículo 2 - Definiciones

Establece las definiciones de 'seguridad de las redes y sistemas de información', 'incidente significativo' y otros términos clave. Alinea la terminología con la Directiva NIS2, añadiendo precisión específica para la implementación.

Artículo 3 - Carácter significativo de los incidentes

Define cuándo un incidente es 'significativo': el umbral que activa las obligaciones de notificación. Un incidente es significativo si causa una pérdida económica superior a 500 000 EUR o al 5 % del volumen de negocios anual, da lugar a la exfiltración de secretos comerciales, causa la muerte o un daño considerable a la salud, o cumple los criterios específicos por entidad definidos en el artículo.

Artículo 4 - Incidentes significativos recurrentes

Especifica que los incidentes recurrentes que individualmente no alcanzan el umbral de carácter significativo pueden agregarse y tratarse como un único incidente significativo si, en conjunto, cumplen los criterios en un periodo de seis meses.

Artículo 5 - Incidentes significativos para registros de DNS y TLD

Añade criterios específicos de carácter significativo para los proveedores de servicios de DNS y los registros de TLD, incluida la disponibilidad del servicio por debajo del 99,9 % durante cualquier periodo, tasas incorrectas de respuesta de DNS y el compromiso de la integridad o confidencialidad de los datos de registro de dominios almacenados.

Artículo 6 - Requisitos técnicos y metodológicos

El artículo central: exige a las entidades cubiertas que implementen los requisitos técnicos y metodológicos establecidos en el Anexo. Las medidas deben ser 'adecuadas y proporcionadas' a los riesgos, teniendo en cuenta el tamaño de la entidad, su exposición, la probabilidad de incidentes y el impacto social.

Artículo 7 - Entrada en vigor

El reglamento entró en vigor a los veinte días de su publicación en el Diario Oficial (publicado el 17 de octubre de 2024). Se aplica directamente en todos los Estados miembros sin necesidad de transposición nacional.

Los 10 ámbitos de medidas (Anexo del CIR)
El Anexo organiza los requisitos técnicos y metodológicos en 10 ámbitos que reflejan el §30(2) BSIG. Cada ámbito contiene subrequisitos detallados con criterios de implementación específicos.
1

Política de seguridad de las redes y sistemas de información

Exige una política de seguridad documentada, aprobada por la dirección, revisada al menos una vez al año y actualizada tras incidentes significativos o cambios. Debe definir funciones, responsabilidades y el marco para todas las medidas posteriores. Debe incluir una política de aceptación de riesgos y evidencia del compromiso de la dirección.

2

Gestión de riesgos

Exige una metodología documentada de evaluación de riesgos, la identificación de riesgos que cubra todos los activos y procesos críticos, el análisis de riesgos con evaluación de probabilidad e impacto, el tratamiento de riesgos con decisiones documentadas (aceptar, mitigar, transferir, evitar) y la aceptación del riesgo residual por parte de la dirección. Debe revisarse a intervalos planificados y tras cambios significativos.

3

Gestión de incidentes

Exige procedimientos de detección, clasificación, respuesta y recuperación de incidentes. Debe definir funciones y responsabilidades para la gestión de incidentes, establecer canales de comunicación, incluir el análisis posterior al incidente (lecciones aprendidas) y mantener registros de incidentes. La detección debe incluir la supervisión de anomalías y de indicadores de compromiso conocidos.

4

Continuidad de negocio y gestión de crisis

Exige un análisis de impacto en el negocio, planes de continuidad para los servicios críticos, procedimientos de copia de seguridad y recuperación con capacidades de restauración probadas, y procedimientos de gestión de crisis. La integridad de las copias de seguridad debe verificarse periódicamente. Los objetivos de tiempo de recuperación deben definirse y probarse. Los planes deben revisarse tras incidentes o cambios significativos.

5

Seguridad de la cadena de suministro

Exige una política de seguridad de la cadena de suministro, la evaluación de las prácticas de ciberseguridad de los proveedores directos, requisitos de seguridad contractuales para los productos y servicios de TIC, y la supervisión de la postura de seguridad del proveedor durante todo el ciclo de vida del contrato. Debe tener en cuenta los riesgos específicos de la cadena de suministro, incluidos los derivados de la propia cadena de suministro del proveedor.

6

Seguridad en la adquisición, el desarrollo y el mantenimiento

Exige un ciclo de vida de desarrollo seguro para el desarrollo interno, requisitos de seguridad para los productos y servicios de TIC adquiridos, gestión de la configuración, procedimientos de gestión de cambios y pruebas de seguridad (incluidos el análisis de vulnerabilidades y las pruebas de penetración cuando proceda). Debe cubrir todo el ciclo de vida, desde la adquisición hasta la retirada de servicio.

7

Criptografía

Exige una política sobre el uso de la criptografía, que incluya la selección de algoritmos criptográficos y longitudes de clave adecuadas a la clasificación de los datos, los procedimientos de gestión de claves (generación, distribución, almacenamiento, rotación, revocación, destrucción) y la revisión periódica de las implementaciones criptográficas frente a las mejores prácticas actuales y las vulnerabilidades conocidas.

8

Control de acceso y gestión de activos

Exige una política de control de acceso basada en los requisitos de negocio y de seguridad, la gestión de identidades con identificación única de usuario, procedimientos de provisión y desprovisión de acceso, la gestión del acceso privilegiado y un inventario de activos que cubra todos los componentes de las redes y sistemas de información. Los derechos de acceso deben revisarse a intervalos planificados.

9

Autenticación multifactor y comunicación segura

Exige autenticación multifactor o autenticación continua para el acceso a los sistemas críticos y el acceso remoto. Deben establecerse canales de comunicación seguros para escenarios de emergencia y de contingencia. Las comunicaciones de voz, vídeo y texto utilizadas para la respuesta a incidentes deben protegerse frente a la interceptación.

10

Concienciación y formación en ciberseguridad

Exige programas periódicos de concienciación en ciberseguridad para todo el personal, formación específica por funciones para el personal con responsabilidades de seguridad y formación de la dirección sobre la gobernanza de la ciberseguridad. La formación debe cubrir las políticas de seguridad de la entidad, las amenazas habituales, los procedimientos de notificación de incidentes y las responsabilidades específicas del personal.

CIR, Directiva NIS2 y BSIG: cómo encajan
Comprender la jerarquía jurídica es esencial para la planificación del cumplimiento.

La Directiva NIS2 (UE) 2022/2555 es la legislación matriz: establece el marco, las obligaciones y el régimen de aplicación a escala de la UE. Los Estados miembros debían transponerla a su Derecho nacional antes del 17 de octubre de 2024. La transposición alemana es la NIS2UmsuCG, que modifica el BSIG. El BSIG contiene ahora todas las obligaciones NIS2 en el Derecho alemán, incluidos el §30 (medidas de ciberseguridad) y el §32 (notificación de incidentes).

El CIR 2024/2690 es un reglamento de la UE directamente aplicable: no requiere transposición y prevalece sobre las disposiciones nacionales que entren en conflicto. Cuando el CIR especifica un requisito técnico, ese requisito se aplica directamente, con independencia de que el BSIG lo aborde o no. Para los tipos de entidad enumerados en el artículo 1, el CIR es la norma de cumplimiento principal.

Para las entidades NO enumeradas directamente en el artículo 1 del CIR pero que siguen sujetas a NIS2 (por ejemplo, proveedores de energía, sanidad, transporte), el CIR sirve de referencia más autorizada de lo que constituyen medidas 'adecuadas y proporcionadas'. Se espera que los tribunales alemanes y el BSI remitan a las especificaciones técnicas del CIR al evaluar si las medidas de una empresa cumplen el estándar del §30 BSIG, aunque el CIR no vincule formalmente a esas entidades.

Fuentes
  • Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024 - Diario Oficial de la Unión Europea, DO L 2024/2690
  • EUR-Lex - Texto completo del CIR 2024/2690 (CELEX: 32024R2690)
  • Directiva (UE) 2022/2555 (Directiva NIS2) - Diario Oficial de la Unión Europea
  • ENISA - Orientaciones técnicas sobre las medidas de implementación de NIS2 (2024)
  • secuvera GmbH - Análisis de los requisitos del CIR 2024/2690 y correspondencia con ISO 27001 (2024)
  • BSIG - §30 (Risikomanagementmaßnahmen), §32 (Meldepflichten), en su versión modificada por la NIS2UmsuCG
Implemente los requisitos del CIR de forma sistemática
La plataforma asigna cada requisito del Anexo del CIR a tareas estructuradas con cargas de evidencia, seguimiento de plazos y aprobaciones de la dirección, convirtiendo un reglamento de 30 páginas en pasos de cumplimiento accionables.
Inicie su proceso de cumplimiento de NIS2