Preguntas frecuentes sobre NIS2

¿Modificará o ajustará todavía la Unión Europea la Directiva NIS 2?

La Directiva NIS 2 (UE) 2022/2555 es Derecho de la UE aplicable desde enero de 2023 y fija el marco vinculante. Una modificación solo sería posible mediante un nuevo procedimiento legislativo de la UE y actualmente no está prevista. Las precisiones llegan en cambio mediante actos de ejecución como el CIR (UE) 2024/2690, que concreta las medidas técnicas mínimas conforme al artículo 21 para determinadas entidades, no mediante una refundición de la propia Directiva. Para las empresas esto significa: el contenido está fijado, no espere a que haya cambios, sino implemente las obligaciones conforme al Derecho aplicable.

¿Habrá financiación federal para apoyar la implementación de NIS 2 en las empresas?

Actualmente no está prevista una subvención federal específica destinada a la implementación de NIS 2. Las obligaciones del artículo 21 de la Directiva NIS 2 se basan en el riesgo y son proporcionadas: el esfuerzo escala con el tamaño, la exposición al riesgo y la probabilidad de ocurrencia, de modo que una empresa mediana no necesita una solución de gran grupo empresarial. Las subvenciones generales de digitalización y consultoría del gobierno federal y de los Estados federados pueden cofinanciar medidas concretas según el programa, lo que es mejor que consulte con su oficina de fomento competente o cámara de comercio (IHK). Así pues, planifique la implementación por sus propios medios, la financiación no está garantizada.

¿Cuál es el estado actual del BSIG y cuándo entra en vigor la Ley de Implementación de NIS 2?

La Ley de Implementación de NIS 2 ya está en vigor: el Bundestag la aprobó el 13 de noviembre de 2025, el Bundesrat la ratificó el 21 de noviembre de 2025, la promulgación en el Boletín Oficial Federal tuvo lugar el 5 de diciembre de 2025 y la ley se aplica desde el 6 de diciembre de 2025. Esto pone en vigor la Ley del BSI fundamentalmente revisada (BSIG en su nueva versión), que transpone la Directiva NIS 2 al Derecho alemán. El plazo de registro de tres meses tras la entrada en vigor expiró el 6 de marzo de 2026. Quien esté afectado y aún no se haya registrado debe hacerlo sin demora (véase ../anwendungsbereich/nis2-registrierung).

¿Dónde puedo encontrar el BSIG / la Ley de Implementación de NIS 2?

Encontrará la Directiva NIS 2 (UE) 2022/2555 en texto íntegro en EUR-Lex (Diario Oficial L 333 de 27 de diciembre de 2022), y el reglamento de ejecución asociado como CIR (UE) 2024/2690 también allí. La transposición alemana, es decir, la Ley del BSI aplicable en su nueva versión, la lee actualmente en gesetze-im-internet.de (BSIG). El texto de promulgación de la Ley de Implementación de NIS 2 (una ley ómnibus) aparece en el Boletín Oficial Federal de 5 de diciembre de 2025. Para la práctica continuada, la versión consolidada del BSIG en gesetze-im-internet.de es la fuente más sencilla.

¿En qué se diferencia la Ley de Implementación de NIS 2 del BSIG?

El BSIG es la ley sustantiva: una ley individual autónoma que regula de forma permanente las tareas del BSI así como las obligaciones de las entidades esenciales e importantes. La Ley de Implementación de NIS 2, por el contrario, es una ley ómnibus, es decir, la cáscara legislativa que refunde el BSIG y al mismo tiempo modifica otras leyes sectoriales (por ejemplo en el ámbito de las telecomunicaciones, la energía y el Derecho de la seguridad social) para transponer plenamente la Directiva NIS 2 al Derecho alemán. En resumen: la Ley de Implementación de NIS 2 cumplió su función al entrar en vigor y vertió sus modificaciones en las leyes vigentes. Lo que rige sus obligaciones cotidianas es por tanto el BSIG en su nueva versión, no la cáscara.

¿Puede una empresa estar también regulada si los servicios pertinentes no se prestan en Alemania?

Sí. Lo relevante no es dónde se presta un servicio, sino dónde está establecida la entidad (artículo 26 de la Directiva NIS 2, transpuesto en Alemania mediante los §§ 59 y 60 BSIG). Quien esté establecido en Alemania o haya designado aquí a un representante puede estar sujeto a la supervisión alemana, aun cuando los clientes se encuentren en el extranjero. Una regla especial se aplica a los proveedores de DNS, nube, centro de datos y similares, así como a los proveedores de redes públicas de comunicaciones electrónicas y servicios públicos de comunicaciones electrónicas: para ellos es decisivo el establecimiento principal en la UE, es decir, el Estado miembro en el que se adoptan predominantemente las decisiones sobre las medidas de gestión de riesgos. Qué establecimiento cuenta en cada caso se expone en la página wiki sobre una sede fuera de la UE.

¿Qué se entiende exactamente por el término «insignificante» en el contexto del §28(3) BSIG, y según qué criterios se realiza esta clasificación?

Insignificante significa una actividad cuyo alcance, en la imagen de conjunto de la empresa, es tan pequeño que no tiene peso para la clasificación como entidad importante o esencial. Son indicadores el número de personas allí empleadas, el volumen de negocios generado por esta actividad y la cuota correspondiente del balance, cada uno en relación con la totalidad del negocio. Ninguna cifra aislada decide por sí sola: lo que importa es la visión de conjunto. Además, si la actividad figura también en el objeto social (estatutos, contrato de sociedad), eso milita en contra de la insignificancia. En caso de duda, la actividad debe documentarse y tratarse de forma conservadora como no insignificante.

¿Están afectadas por NIS 2 las explotaciones municipales propias (Eigenbetriebe)?

No automáticamente. La actividad puramente administrativa a nivel municipal se rige en principio por el Derecho estatal de los Estados federados (Landesrecht) y no por el BSIG; el Consejo de Planificación de TI (IT-Planungsrat) ha excluido aquí expresamente el nivel municipal. Una explotación municipal propia solo queda afectada cuando ella misma cae dentro de uno de los sectores cubiertos (como energía, agua, aguas residuales, residuos) y, o bien opera una instalación crítica, o bien alcanza los umbrales de tamaño para entidades importantes o esenciales. Lo decisivo es por tanto la actividad concreta de la explotación individual, no la forma jurídica de una explotación propia (Eigenbetrieb). Para operadores de servicios públicos y de eliminación de residuos ayudan las pruebas de la wiki, por ejemplo servicio público municipal o operador de eliminación de aguas residuales.

¿Cae mi empresa dentro del ámbito del BSIG / la Ley de Implementación de NIS 2?

Eso depende de tres preguntas: sector, tamaño y casos especiales. Primero, su actividad debe caer bajo uno de los sectores nombrados en el anexo I o II de la Directiva NIS 2 (en Alemania, los anexos 1 y 2 del BSIG). Segundo, debe por regla general tener al menos 50 empleados o más de 10 millones de euros de volumen de negocios anual y de balance anual total (empresa mediana conforme a la Recomendación 2003/361/CE); las empresas más pequeñas solo quedan cubiertas en casos excepcionales designados. Tercero, hay constelaciones que se aplican con independencia del tamaño, por ejemplo operadores de instalaciones críticas o determinados proveedores del sector de la infraestructura digital. La clasificación es una autoclasificación; el BSI no envía notificaciones. La prueba completa se ofrece en la página wiki Quién está afectado.

¿Cómo deben clasificarse los términos entidad esencial, importante y especialmente importante?

La Directiva NIS 2 conoce dos clases: entidades esenciales (anexo I) y entidades importantes (anexo II), artículo 3 de la Directiva NIS 2. El BSIG alemán lo adopta, pero denomina a la clase superior entidad especialmente importante (§28(1) BSIG) y a la otra entidad importante (§28(2) BSIG); esencial y especialmente importante significan por tanto el mismo nivel. La diferencia no reside en las obligaciones de seguridad, que son esencialmente las mismas, sino en la supervisión: las entidades especialmente importantes están sujetas a supervisión proactiva, las entidades importantes solo a supervisión ex post activada por una causa concreta. Si cae en la clase superior o inferior se deriva del sector, el tamaño y la condición de operador de una instalación crítica.

¿Cómo se evalúa la afectación de las entidades conforme al §28(1) n.º 4 BSIG?

El §28(1) n.º 4 BSIG cubre las entidades de los tipos del anexo 1 que ofrecen bienes o servicios a otra persona a cambio de remuneración y tienen un volumen de negocios anual superior a 50 millones de euros y al mismo tiempo un balance anual total superior a 43 millones de euros (transposición del artículo 3(1) de la Directiva NIS 2). La evaluación se realiza por tanto en dos pasos: ¿pertenece su actividad a un sector del anexo 1, y supera ambos umbrales financieros de forma acumulativa? En el cálculo deben incluirse las empresas vinculadas y asociadas conforme a la Recomendación 2003/361/CE. Si se superan ambos umbrales, cuenta entre las entidades especialmente importantes, sin que importe el número de empleados.

¿En qué base se fundamentan los umbrales de número de empleados, volumen de negocios anual y balance anual total que se utilizan para clasificar las categorías de empresa en el artículo 2(1) de la Directiva NIS 2, en particular respecto de la remisión al artículo 2 del anexo de la Recomendación 2003/361/CE?

La Directiva NIS 2 no define ella misma las categorías de tamaño, sino que remite a la definición de la UE para pequeñas y medianas empresas del artículo 2 del anexo de la Recomendación 2003/361/CE. Según esta: una empresa mediana tiene menos de 250 empleados y, o bien como máximo 50 millones de euros de volumen de negocios anual, o bien como máximo 43 millones de euros de balance anual total; una pequeña empresa está por debajo de 50 empleados y como máximo 10 millones de euros para ambos valores. NIS 2 cubre en principio a las empresas a partir del tamaño mediano, es decir, a partir de 50 empleados o más de 10 millones de euros de volumen de negocios y balance total. En el cálculo se aplican las reglas de vinculación y asociación de la Recomendación, con la excepción del artículo 3(4) de su anexo.

¿Se refiere el número de empleados y el nivel de volumen de negocios a un único establecimiento (sucursal) o, en su caso, a la totalidad de la empresa?

Lo relevante es la totalidad de la empresa, no la sucursal o el centro de actividad individual. El número de empleados, el volumen de negocios y el balance total se determinan a nivel de la persona jurídica, incluidas las empresas asociadas y vinculadas que deben tenerse en cuenta conforme a la Recomendación 2003/361/CE (§28(4) BSIG). Una sucursal no debe por tanto considerarse por sí sola, sino como parte del conjunto. Solo puede aplicarse algo distinto si una parte de la explotación funciona de forma demostrablemente plena e independiente en cuanto a sistemas, componentes y procesos de TI.

¿Deben incluirse en el cálculo de las métricas del umbral de tamaño las empresas vinculadas que no operan en Alemania o no en la UE?

Sí. En el cálculo de los umbrales deben incluirse plenamente las empresas asociadas y vinculadas conforme a la Recomendación 2003/361/CE, con independencia de si se encuentran en Alemania, en otro Estado miembro de la UE o fuera de la UE (§28(4) BSIG en relación con la Recomendación). Los empleados, el volumen de negocios y el balance total de las empresas vinculadas se suman por tanto proporcionalmente o en su totalidad a escala mundial. La ubicación geográfica de una matriz o sociedad hermana no cambia nada de su inclusión. Si su empresa está luego efectivamente sujeta a la supervisión alemana se determina por separado por la cuestión del establecimiento (artículo 26 de la Directiva NIS 2).

Si una empresa matriz y una filial con TI compartida deben asignarse cada una a uno de los tipos de entidad cubiertos y cumplen (conjuntamente) la regla del umbral de tamaño, ¿quedan entonces ambas empresas cubiertas, o basta con que los requisitos los cumpla la matriz del grupo?

Ambas quedan cubiertas. NIS 2 se vincula a la persona jurídica individual: si la matriz y la filial deben asignarse cada una a un sector cubierto y alcanzan los umbrales, cada una es por derecho propio una entidad con sus propias obligaciones conforme a los §§ 30 y ss. BSIG. La TI utilizada conjuntamente no cambia nada de esto y no exime a la filial. En la práctica, la gestión de riesgos, la notificación y las evidencias pueden organizarse y compartirse de forma centralizada, pero la responsabilidad jurídica permanece separada para cada entidad. El registro y el cumplimiento deben por tanto garantizarse de forma independiente para cada empresa afectada.

¿A quién puede dirigirse uno si, pese a la comprobación de afectación del BSI, persisten dudas sobre la afectación en el caso individual concreto?

El BSI publica una autoprueba en línea (comprobación de afectación) para la clasificación básica, pero no realiza asesoramiento jurídicamente vinculante sobre casos individuales y no emite resoluciones declarativas. Si tras la autoprueba persisten dudas, un examen jurídico del caso individual concreto es la vía limpia, por ejemplo a cargo de abogados o consultores especializados en NIS 2. Documente su clasificación y las cifras subyacentes de forma comprensible, porque en caso de duda debe poder justificar usted mismo la autoclasificación. Cómo registrar esta clasificación de forma limpia se muestra en la página wiki sobre autoclasificación.

Me gustaría solicitar una exención de NIS 2. ¿Es posible?

No. No existe un procedimiento basado en solicitud mediante el cual una entidad pueda hacerse eximir de NIS 2. Las pocas excepciones están establecidas en la propia ley (§37 BSIG, sobre la base del artículo 2 de la Directiva NIS 2) y residen exclusivamente en la iniciativa de las autoridades federales allí nombradas, por ejemplo para determinadas actividades en el ámbito de la seguridad nacional, la defensa o la persecución penal. El BSI no puede ni solicitar ni conceder tales excepciones. Si cree que no está afectado, la vía correcta no es por tanto una solicitud, sino una autoclasificación limpia y documentada que pruebe que no se cumplen los umbrales sectoriales o de tamaño.

Las entidades esenciales e importantes deben, entre otras cosas, presentar sus rangos de direcciones IP públicas conforme a la Ley de Implementación de NIS 2. ¿Qué información hay que facilitar aquí?

Al registrarse, el artículo 27 de la Directiva NIS 2 (transpuesto en Alemania en el §33 BSIG) exige el nombre y la forma jurídica, la dirección, los datos de contacto actuales, el sector pertinente, una lista de los Estados miembros en los que se prestan servicios y, en efecto, los rangos de direcciones IP públicas. Esto se refiere únicamente a los rangos de direcciones estáticos, enrutados públicamente, bajo los cuales su entidad es accesible desde el exterior u opera sistemas críticos. Las direcciones dinámicas y los rangos de IP que asigna a sus clientes finales no se incluyen. En la práctica indica por tanto sus propias redes registradas (a menudo en notación CIDR), no cada dirección individual. El procedimiento y los plazos se explican en /wiki/anwendungsbereich/nis2-registrierung.

¿Cómo se definen los servicios digitales?

La Directiva NIS 2 no introduce un único término paraguas «servicio digital», sino que nombra tres tipos específicos en el artículo 6: mercado en línea, motor de búsqueda en línea y plataforma de servicios de redes sociales. Cada uno de ellos es un servicio en el sentido de la Directiva (UE) 2015/1535, es decir, un servicio prestado normalmente a cambio de remuneración, a distancia, por vía electrónica y a petición individual de un destinatario. Estos tres proveedores pertenecen al sector de los servicios digitales del anexo I de la Directiva. La computación en la nube, los centros de datos, las CDN y servicios comparables son categorías separadas de infraestructura digital, no forman parte de esta definición. Compruebe su caso concreto a través de /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

¿Qué estrategias son necesarias para integrar de forma jurídicamente conforme en un único sistema de gestión de la seguridad de la información (SGSI) requisitos legales posiblemente divergentes para la implementación de NIS 2, como los existentes en Alemania y en otros lugares de Europa, y para asegurarlo de forma continua?

Construya su SGSI sobre la base común de la UE: las obligaciones del artículo 21 de la Directiva NIS 2 y los requisitos técnicos mínimos del reglamento de ejecución CIR 2024/2690 se aplican de forma idéntica en todos los Estados miembros y forman el núcleo. Sobre este núcleo añade, como capa, las particularidades nacionales de los países en los que opera, por ejemplo reglas de notificación divergentes u obligaciones adicionales. En la práctica esto significa: un único conjunto de medidas y evidencias, más un registro que documenta para cada país la desviación y la autoridad competente. Donde los países sean de distinta exigencia, cumple usted el nivel más alto en todo el grupo, y entonces es conforme en todas partes. Estándares reconocidos como ISO 27001 o el IT-Grundschutz del BSI proporcionan el marco común para ello.

¿Qué significa «estado de la técnica»? ¿Existe una definición para ello?

No hay una definición legal fija, y esto es intencionado: el estado de la técnica describe lo que está actualmente establecido y demostrado en la práctica como medidas de seguridad eficaces, y evoluciona con el tiempo. El artículo 21(1) de la Directiva NIS 2 (en Alemania §30 BSIG) le exige tenerlo en cuenta y apoyarse para ello en los estándares europeos e internacionales pertinentes. El referente son por tanto obras reconocidas como ISO/IEC 27001, el IT-Grundschutz del BSI o las directrices de ENISA, no lo más novedoso del mercado. Las medidas deben además ser proporcionadas: se tienen en cuenta la situación de riesgo, el tamaño de la entidad y los costes de implementación. Usted se orienta por los estándares actuales y documenta por qué su elección se ajusta al riesgo.

Cuestiones sobre la clasificación de empresas del grupo y los servicios de TI que prestan en relación con la clasificación como proveedor de servicios gestionados (MSP)

Existe un servicio gestionado conforme al artículo 6(39) de la Directiva NIS 2 cuando un proveedor instala, opera, gestiona o mantiene sistemas o aplicaciones de TI para otro y asume con ello la responsabilidad operativa. Lo decisivo es esta responsabilidad operativa, no la pertenencia al grupo. Una empresa de TI central que administra activamente sistemas para empresas hermanas puede por tanto calificar ella misma como MSP y quedar incluida de forma independiente en el ámbito. Una sociedad holding pura que solo se encarga de la dirección empresarial, sin operar de forma operativa los sistemas de otra parte, no es por el contrario un MSP. Compruebe por separado para cada empresa del grupo quién opera realmente qué servicios: /wiki/anwendungsbereich/bin-ich-msp-managed-service-provider.

Las empresas que operan instalaciones críticas bajo el marco jurídico anterior (BSIG antes del 6 de diciembre de 2025 en combinación con la BSI-KritisV) y tienen su sede en el extranjero, ¿siguen siendo operadores KRITIS tras la entrada en vigor del BSIG (nueva versión)?

Sí. Para los operadores KRITIS lo que cuenta es dónde se ubica la instalación crítica y presta servicios de suministro en Alemania, no dónde está la sede del grupo. Quien opera una instalación que alcanza los umbrales del reglamento KRITIS en Alemania sigue siendo por tanto operador KRITIS también bajo el nuevo BSIG, con independencia de una sede social en el extranjero. La situación difiere solo para determinados servicios transfronterizos (como partes de la infraestructura digital), para los que el artículo 26 de la Directiva NIS 2 prevé su propia regla de jurisdicción. Más sobre la cuestión de la sede social en /wiki/anwendungsbereich/nis2-hauptsitz-ausserhalb-eu.

Opero un servidor DNS de forma privada. ¿Tengo que registrarme en el portal del BSI y presentar notificaciones?

No. La Directiva NIS 2 se dirige a entidades que ofrecen un servicio cubierto con carácter comercial, no a operadores aficionados privados. En el sector de la infraestructura digital están regulados los proveedores de servicios DNS y los registros de nombres de TLD que prestan estos servicios como organización para terceros (artículo 3 y anexo I de la Directiva). Un servidor DNS operado de forma privada sin prestación comercial del servicio no está cubierto, de modo que no hay registro ni obligaciones de notificación. En cuanto esto se convierte en un servicio ofrecido a terceros, la clasificación cambia.

Una empresa que en principio está sujeta a NIS 2 pero está siendo liquidada a corto plazo y ya no desarrolla operaciones comerciales significativas, ¿debe seguir clasificándose como entidad importante o esencial?

Mientras la empresa exista jurídicamente y siga prestando el servicio cubierto, sigue siendo una entidad importante o esencial, incluso durante la liquidación. La clasificación conforme al artículo 3 de la Directiva NIS 2 se vincula a la actividad efectiva, no a la intención de cesar. Si la entidad cesa de forma permanente las operaciones comerciales cubiertas, la condición deja de aplicarse y con ella la cobertura del ámbito; hasta entonces las obligaciones siguen aplicándose. Un mero cese anunciado pero todavía no completado de las operaciones no basta. Mientras los sistemas dignos de protección estén en funcionamiento, el registro y la gestión de riesgos siguen siendo exigibles.

¿Deben clasificarse como servicios de computación en la nube en el sentido del BSIG los servicios SaaS ofrecidos de forma independiente si se ejecutan sobre la infraestructura de proveedores de nube externos y el proveedor SaaS no opera él mismo los recursos de cómputo?

Lo decisivo es la definición de servicio de computación en la nube del artículo 6(30) de la Directiva NIS 2: un servicio que permite la administración bajo demanda y un amplio acceso remoto a un conjunto escalable y elástico de recursos de cómputo que pueden compartirse. Lo que importa es lo que usted ofrece hacia el exterior, no si el hardware subyacente le pertenece. Una oferta SaaS puede cumplir estas características aun cuando se ejecute sobre infraestructura de terceros. Si, por el contrario, su SaaS ofrece una aplicación especializada claramente definida sin estas características de nube, no es un servicio de computación en la nube en el sentido de la Directiva. Compruebe las características concretas en /wiki/anwendungsbereich/bin-ich-cloud-anbieter-nis2.

¿Es la distinción entre responsabilidad comercial y responsabilidad operativa, decisiva para los MSP, también trasladable a otros servicios del sector de la infraestructura digital (u otros sectores del BSIG)?

La distinción entre responsabilidad comercial y operativa es una idea de prueba útil, pero no sustituye a la respectiva definición legal. Para cada tipo de servicio rige primero el tenor del artículo 6 de la Directiva NIS 2, por ejemplo para servicio de computación en la nube, servicio de centro de datos o proveedor de servicios DNS. Para muchos de estos servicios la clasificación recae sobre quien efectivamente presta y opera el servicio, es decir, quien soporta la responsabilidad operativa. La mera responsabilidad comercial o contractual sin operación propia generalmente no establece el rol de entidad. Aplique por tanto el criterio por tipo de servicio sobre la base de la definición allí contenida, no como una regla general.

¿Encajo en la definición de proveedor de servicios de confianza?

Los proveedores de servicios de confianza se definen en el artículo 3 del Reglamento eIDAS (UE) n.º 910/2014: proveedores de servicios electrónicos de confianza como firmas y sellos electrónicos, sellos de tiempo, servicios de entrega electrónica certificada o certificados para la autenticación de sitios web. Si ofrece tal servicio con carácter comercial, encaja en esta definición y, por tanto, en el ámbito de NIS 2. Los proveedores cualificados de servicios de confianza cuentan a este respecto como entidades esenciales, con independencia de su tamaño. Quien utiliza firmas o certificados solo internamente, sin ofrecerlos como servicio, no es un proveedor de servicios de confianza. Una comprobación detallada se encuentra en /wiki/anwendungsbereich/bin-ich-vertrauensdiensteanbieter-nis2.

En el sector «producción, fabricación y comercio de sustancias químicas», respecto del «comercio de sustancias químicas», ¿cae dentro del ámbito cualquier comercio de productos finales constituidos por sustancias químicas?

No, no todo comercio de productos que contienen sustancias químicas. El anexo II de la Directiva NIS 2 cubre la fabricación y el comercio de sustancias y mezclas químicas, así como la producción de artículos a partir de estas sustancias, en cada caso en el sentido del Reglamento REACH (CE) n.º 1907/2006. Se entienden por tanto sustancias y mezclas como tales, no todo producto final que en algún momento se fabricó a partir de sustancias químicas. Quien comercia con artículos terminados (como muebles o electrónica) no realiza un comercio de sustancias químicas en este sentido. Además, deben cumplirse los criterios de tamaño para que surja la cobertura del ámbito.

¿Cómo determino el código NACE de mi empresa?

Usted determina el código NACE (mapeado en Alemania como código WZ, actualmente WZ 2025) según su actividad económica principal, es decir, la actividad con la que genera la mayor cuota de valor añadido o volumen de negocios. Puntos de referencia son su inscripción en el registro mercantil o comercial y el código mantenido por la Oficina Federal de Estadística o su IHK. Si su empresa desarrolla varias actividades, asigne cada una a la clase correspondiente y compruebe cada una individualmente para la cobertura del ámbito. También puede encontrar el código a través de la base de datos de clasificación de la Oficina Federal de Estadística. Lo decisivo para NIS 2 es lo que usted realmente hace, no el código registrado por sí solo.

¿Qué papel desempeñan los códigos NACE para determinar si una entidad cae dentro del ámbito?

Los códigos NACE son una ayuda de orientación, pero no el criterio legal. Si cae dentro del ámbito se rige por los sectores y tipos de entidad de los anexos I y II de la Directiva NIS 2 junto con los umbrales de tamaño, no por la mera asignación del código. El código NACE o WZ le ayuda a asignar su actividad a uno de estos sectores, pero no sustituye a la evaluación sustantiva. Puede ocurrir que un código encaje aproximadamente pero la actividad no caiga bajo la definición legal, y viceversa. Lo que sigue siendo decisivo es su actividad efectiva medida frente a la definición: la prueba completa la encuentra en /wiki/anwendungsbereich/wer-ist-betroffen-vollstaendiger-test.

¿Tienen las empresas que constituir un equipo de crisis para gestionar incidentes?

No, la ley no exige un equipo de crisis formal. El artículo 21(2)(c) de la Directiva NIS 2 (transpuesto en el §30 BSIG) exige medidas para la continuidad de la actividad y la gestión de crisis, pero deja abierto cómo organiza usted esto. Lo que importa es que las responsabilidades, la disponibilidad y los procedimientos para una emergencia estén definidos y ensayados. En una explotación de dos personas esto puede ser un breve conjunto de instrucciones, en organizaciones más grandes un equipo designado. El referente es la proporcionalidad conforme al artículo 21(1).

El análisis de riesgos exigido por la Ley de Implementación de NIS 2, ¿se refiere a la totalidad de la empresa o específicamente a las ciberamenazas y su impacto en los sistemas de TI?

Se refiere a los riesgos para sus redes y sistemas de información, no a un análisis general de riesgos corporativos. El artículo 21(2)(a) de la Directiva NIS 2 (§30 BSIG) nombra expresamente las políticas de análisis de riesgos y de seguridad de los sistemas de información. Esto significa los sistemas con los que usted procesa, almacena o transmite información, y las amenazas que ponen en peligro su disponibilidad, integridad y confidencialidad. El alcance no es rígido: sigue al riesgo efectivo y a la importancia de los sistemas para sus operaciones (artículo 21(1)).

Mi empresa cumple los criterios para calificar como entidad esencial u operador KRITIS, o como entidad importante. ¿Qué obligaciones deben cumplirse?

Tres conjuntos de obligaciones se aplican por igual a ambas categorías. Primero, el registro ante el BSI incluidos los datos de contacto (artículo 27, §33 BSIG). Segundo, las medidas de gestión de riesgos del catálogo del artículo 21(2) (§30 BSIG), que van desde el análisis de riesgos pasando por la gestión de incidentes y la cadena de suministro hasta la criptografía y el control de acceso. Tercero, la notificación escalonada de incidentes de seguridad significativos conforme al artículo 23 (§32 BSIG): alerta temprana en un plazo de 24 horas, confirmación en un plazo de 72 horas, informe final tras un mes. La diferencia reside en la supervisión: las entidades esenciales se supervisan de forma proactiva, las entidades importantes sobre una base ex post. La prueba de clasificación completa la encuentra en Wer ist betroffen.

¿A partir de cuándo se aplican las obligaciones del BSIG / la Ley de Implementación de NIS 2?

Las obligaciones se aplican directamente una vez que entra en vigor la transposición alemana. La Ley de Implementación de NIS 2 se promulgó el 5 de diciembre de 2025 y entró en vigor el 6 de diciembre de 2025. Las obligaciones de gestión de riesgos y de notificación se aplican por tanto a partir de ese momento; no se prevé un periodo de gracia separado para las medidas sustantivas. Solo el registro tiene su propio plazo (§33 BSIG), véase Registrierung.

¿Habrá un periodo transitorio?

Para las obligaciones sustantivas de seguridad no hay un periodo transitorio general. Quien cae dentro del ámbito debe cumplir las medidas conforme al artículo 21 (§30 BSIG) desde el momento en que se aplican. Solo el registro está escalonado en el tiempo: debe llevarse a cabo en un plazo de tres meses a partir del momento en que usted califica como entidad (§33 BSIG). Los operadores KRITIS cuyo plazo de evidencia existente cayera dentro de los primeros doce meses tras la entrada en vigor pueden, a su elección, utilizar su fecha original.

¿Qué requisitos se imponen a la disponibilidad de las entidades importantes y esenciales?

Usted debe facilitar al BSI un punto de contacto accesible, por regla general un número de teléfono y una dirección de correo electrónico, y mantener estos datos actualizados (artículo 27, §33 BSIG). A través de este canal el BSI entrega informes de incidentes, advertencias y consultas de seguimiento. La ley no prescribe ninguna cualificación particular para las personas que están detrás. Lo que importa es únicamente que el punto de contacto sea efectivamente accesible y que los informes puedan tramitarse con prontitud, de modo que la alerta temprana de 24 horas conforme al artículo 23 funcione. Para los operadores KRITIS se aplican adicionalmente requisitos de disponibilidad más estrictos.

Hemos externalizado por completo nuestra TI a proveedores de servicios externos. ¿Qué obligaciones tenemos entonces como entidad importante que cumplir todavía?

Puede externalizar la operación, pero no la responsabilidad. Las obligaciones del §30 BSIG siguen dirigidas a su entidad, no al proveedor de servicios. En concreto esto significa: usted debe gestionar la seguridad de la cadena de suministro (artículo 21(2)(d)), es decir, asegurar contractualmente que su proveedor de servicios implemente medidas adecuadas y le notifique los incidentes. El registro, la notificación de incidentes significativos conforme al artículo 23 y la aprobación y supervisión de las medidas por la dirección (artículo 20, §38 BSIG) permanecen en usted. Más sobre esto en Bin ich MSP-Kunde.

¿A partir de cuándo cuenta la instalación fotovoltaica del tejado de la empresa como infraestructura crítica?

Una instalación en el tejado para autoabastecimiento no es, por regla general, infraestructura crítica. La condición KRITIS solo surge cuando una instalación de generación de energía alcanza el umbral de la BSI-KritisV, actualmente 104 megavatios de potencia nominal neta instalada (anexo 1, sector de la energía). Lo decisivo es la inyección al suministro general, no el autoconsumo. La clasificación como instalación crítica además solo surte efecto el 1 de abril del año siguiente a la primera vez que se alcanza el umbral. Una instalación típica de tejado se sitúa en órdenes de magnitud por debajo de esto.

¿Tienen las empresas que demostrar el cumplimiento de los requisitos?

Sí, usted debe poder evidenciar la implementación, pero la forma de la evidencia difiere por categoría. Las entidades esenciales e importantes están sujetas a la supervisión del BSI (artículos 32 y 33, §§ 61 y ss. BSIG): el BSI puede solicitar información, documentos e inspecciones, pero para ellas no se prescribe una certificación obligatoria periódica. Debe por tanto documentar políticas, medidas y gestión de incidentes de tal manera que pueda presentarlas a petición. Una obligación de evidencia periódica en sentido estricto se aplica solo a los operadores KRITIS.

Soy operador KRITIS. ¿Cuándo tengo que presentar mis documentos de evidencia conforme al BSIG / la Ley de Implementación de NIS 2?

Los operadores KRITIS demuestran el cumplimiento de los requisitos al BSI cada tres años (§39 BSIG); el ciclo de auditoría se amplió de dos a tres años. El BSI ha notificado individualmente a los operadores registrados sus nuevas fechas de presentación. Si su fecha anterior caía dentro de los primeros doce meses tras la entrada en vigor, puede, a su elección, utilizar la fecha original. Lo decisivo es siempre la fecha concretamente indicada a usted, no una fecha límite general.

¿Cómo puedo demostrar que mi empresa está implementando las medidas exigidas?

Usted aporta la evidencia a través de su propia documentación: su gestión de riesgos, las medidas técnicas y organizativas que ha adoptado y la prueba de que estas son eficaces (políticas, configuraciones, informes de auditoría, registros de formación). La disposición rectora es el artículo 21 de la Directiva NIS 2 (UE) 2022/2555, transpuesta en Alemania en el § 30 BSIG; el CIR (UE) 2024/2690 detalla las medidas con más precisión para determinados tipos de entidad. Un certificado emitido por un organismo externo puede apoyar esta documentación, pero no la sustituye: lo que importa es que sus registros cubran los requisitos legales concretos. Una obligación de presentar evidencia al BSI solo surge una vez que el BSI ordena una inspección (§ 61 BSIG) o usted cae bajo la obligación de evidencia periódica como operador de instalaciones críticas (§ 39 BSIG).

¿Es obligatorio el IT-Grundschutz del BSI para todas las entidades cubiertas por NIS 2?

No. El artículo 21 de la Directiva NIS 2 y el § 30 BSIG no prescriben ningún procedimiento particular, sino que exigen medidas adecuadas, proporcionadas y eficaces conforme al estado de la técnica. El IT-Grundschutz es la metodología publicada por el BSI con la que estos requisitos pueden cumplirse de forma limpia, y los organismos de evaluación la aceptan. Puede cumplir las obligaciones igualmente mediante ISO 27001 u otro SGSI reconocido, siempre que las medidas cubran sus riesgos concretos. Lo que importa no es el nombre del estándar, sino que los puntos enumerados en el § 30 estén efectivamente implementados y documentados.

Además de ISO 27001 y el BSI Grundschutz, ¿basta también una certificación de la empresa conforme a VdS 10000 para cumplir los requisitos de la Ley de Implementación de NIS 2?

VdS 10000 puede ser un punto de partida razonable, pero por sí sola no cubre automáticamente todos los requisitos del § 30 BSIG y del artículo 21 de la Directiva NIS 2. Ningún certificado, ni siquiera ISO 27001 o IT-Grundschutz, es una prueba general de conformidad: lo que sigue siendo decisivo es si sus medidas cubren plenamente y de forma proporcionada al riesgo las áreas exigidas por la ley. Así pues, utilice VdS 10000 como uno de los componentes de su gestión de riesgos y concílielo específicamente con los requisitos del § 30 para cerrar las brechas que existan (por ejemplo en la cadena de suministro o la notificación).

Si una certificación ISO 27001 no basta para cumplir los requisitos conforme al BSIG, ¿cómo puede asegurarse a los clientes que mi empresa cumple NIS 2? ¿Hay que divulgar para ello la totalidad del SGSI?

No, no tiene que divulgar la totalidad de su SGSI. Frente a los clientes usted suele demostrar el cumplimiento del artículo 21 de la Directiva NIS 2 y del § 30 BSIG mediante evidencias específicas: un certificado ISO 27001 junto con una Declaración de Aplicabilidad acorde, una declaración de conformidad NIS 2, cuestionarios de proveedor cumplimentados o resúmenes de auditoría individuales. Lo que importa es que esta evidencia refleje las medidas relevantes para la relación comercial, no la totalidad de su cuerpo normativo interno. Una obligación formal de evidencia frente al BSI existe solo para los operadores de instalaciones críticas (§ 39 BSIG) o por orden (§ 61 BSIG); frente a los clientes, lo que se aplica es lo que usted acuerda contractualmente.

¿Existen requisitos de certificación obligatoria para asesorar a empresas y entidades en el contexto de NIS 2, y cómo se aplica esto al realizar inspecciones para producir evidencia?

Para el trabajo de asesoramiento en sí, ni la Directiva NIS 2 ni el BSIG nombran una certificación obligatoria: cualquiera puede asesorar, y la ley no exige una acreditación de los asesores. Es distinto para las inspecciones formales de evidencia para operadores de instalaciones críticas conforme al § 39 BSIG: estas se realizan mediante auditorías de seguridad, exámenes o certificaciones cada tres años, y el BSI fija los requisitos para los organismos que las realizan. Si el BSI ordena una inspección en otras entidades esenciales (§ 61 BSIG), sus requisitos se aplican en consecuencia. Así pues, preste atención a la cualificación del organismo inspector cuando la ley exija una inspección formal, no ya en el caso de mero asesoramiento.

¿Puede cumplirse el requisito del §30(2) n.º 4 BSIG sobre la seguridad de la cadena de suministro exigiendo certificados (ISO 27001, TISAX, etc.) a los proveedores o prestadores de servicios directos?

No, un certificado por sí solo no cumple el requisito. El artículo 21(2)(d) de la Directiva NIS 2, transpuesto en Alemania en el §30(2) n.º 4 BSIG, exige su propio concepto de seguridad de la cadena de suministro: usted debe evaluar los riesgos de cada proveedor directo, definir criterios de selección y supervisar todo ello durante la vigencia del contrato. Un certificado ISO 27001 o TISAX es aquí un componente útil y puede facilitar la evaluación, pero no sustituye a su propia valoración basada en el riesgo, porque el alcance de un certificado a menudo cubre solo partes del proveedor. Así pues, compruebe exactamente qué está certificado y documente por qué el certificado es suficiente para el servicio que está adquiriendo.

¿Qué aconseja exigir a los fabricantes de software y prestadores de servicios a las empresas afectadas por el BSIG?

Defina requisitos de seguridad concretos y verificables e inscríbalos en los contratos, en lugar de confiar en garantías generales. Elementos razonables son: evidencia verificable del fabricante sobre la seguridad del producto (como estrategia de parches, gestión de vulnerabilidades, periodo de soporte), un deber del proveedor de notificar incidentes de seguridad que salvaguarde su propio plazo de 24 horas conforme al artículo 23 NIS 2 (§32 BSIG), así como un cuestionario de proveedor estandarizado y cumplimentado. Para catálogos de preguntas y requisitos mínimos alineados a nivel sectorial, el BSI remite al trabajo en el UP KRITIS. Para prestadores de servicios altamente interconectados como los proveedores de servicios gestionados, se aplican expectativas adicionales (véase ./bin-ich-msp-managed-service-provider).

¿Cuándo es posible el registro conforme al §33(1) BSIG en el portal del BSI, cómo se realiza el registro y cómo funciona el proceso de notificación conforme al §32 BSIG?

El registro es posible tan pronto como usted califica como entidad afectada, y debe llevarse a cabo en un plazo de tres meses tras caer dentro del ámbito por primera vez o de nuevo (NIS 2 artículo 27, en Alemania §33(1) BSIG). El proceso tiene dos fases: primero crea una cuenta con Mein Unternehmenskonto (MUK) utilizando el certificado de organización ELSTER, después registra la entidad en el portal del BSI. A continuación notifica los incidentes de seguridad también a través del portal del BSI, siguiendo el procedimiento de tres pasos de alerta temprana, informe de seguimiento e informe final (NIS 2 artículo 23, en Alemania §32 BSIG). Encontrará una guía paso a paso en Registration.

¿Qué hace el BSI para apoyar a las empresas respecto de los registros NIS 2 pendientes?

El BSI ofrece una comprobación de aplicabilidad, una sección de preguntas frecuentes, paquetes de información y seminarios web para que las entidades puedan evaluar y cumplir por sí mismas su obligación de registro (base: NIS 2 artículo 27, §33 BSIG). Si usted está afectado siquiera es algo que aclara primero en función del sector y el tamaño. Encontrará la autoprueba completa en Quién está afectado.

¿Cómo puede una empresa registrar componentes críticos?

Los componentes críticos solo afectan a los operadores de instalaciones críticas (la antigua lógica KRITIS), no a toda entidad NIS 2, y se notifican de forma específica por sector. El sector de la energía utiliza para ello plantillas de Excel cifradas, el sector de las telecomunicaciones utiliza sus propias plantillas con cifrado PGP. Si usted no es operador de una instalación crítica, este paso no es relevante para usted; lo que importa entonces es únicamente el registro de la entidad conforme al §33 BSIG.

¿Puede llevarse a cabo el registro en el portal del BSI para una entidad que no dispone de un número de identificación fiscal alemán?

Sí. Mein Unternehmenskonto exige efectivamente un número de identificación fiscal alemán, pero las entidades extranjeras pueden solicitar uno en la oficina tributaria de Neubrandenburg (Referat RAB). Usted envía el formulario de solicitud a la dirección allí indicada y recibe el número de identificación fiscal por correo; al crear la cuenta, selecciona Mecklemburgo-Pomerania Occidental como Estado federado. Si su sede se encuentra fuera de la UE, debe comprobar adicionalmente la obligación de designar un representante en la UE en Sede fuera de la UE.

Durante el registro en el portal del BSI hay que indicar los Estados miembros de la UE en los que presta un «servicio». ¿Qué se entiende por esto?

Se entiende la actividad que en primer lugar trae a su entidad dentro del ámbito, es decir, su servicio principal en el sector respectivo, no todo servicio accesorio y no todo lugar donde meramente se utilizan sus productos. Usted tiene que indicar los Estados miembros en los que efectivamente presta este servicio (vinculado al NIS 2 artículo 26 sobre jurisdicción). Si opera en varios países, le ayuda la clasificación en Autoclasificación.

¿Pueden las empresas que operan internacionalmente llevar a cabo su registro y la notificación de incidentes de seguridad de forma centralizada ante el BSI y con ello cumplir al mismo tiempo sus obligaciones conforme a la Ley de Implementación de NIS 2 para todos los Estados miembros de la UE?

El principio de una única jurisdicción en la sede se aplica solo a un grupo estrechamente limitado de servicios digitales: los servicios DNS, los registros de TLD, los proveedores de nube y de centro de datos, los proveedores de servicios gestionados, las redes de distribución de contenidos y las plataformas en línea se registran de forma centralizada ante la autoridad de su sede (NIS 2 artículos 26 y 27, en Alemania §60 BSIG). Todas las demás entidades están sujetas a la supervisión de cada Estado miembro en el que operan y deben registrarse y notificar por separado en cada uno de esos Estados. Un único registro ante el BSI no cubre por tanto generalmente sus obligaciones en los demás países.

Tengo preguntas sobre el portal del BSI y el registro. ¿Proporciona también el BSI información sobre esto?

Sí. El BSI mantiene su propia sección de preguntas frecuentes específicamente sobre el portal del BSI y el procedimiento de registro y proporciona allí guías y asistencia. Para preguntas técnicas sobre Mein Unternehmenskonto, contacte con su soporte; para preguntas de contenido sobre el registro NIS 2, utilice los canales de contacto del BSI. Resumimos el proceso de registro en Registration.

Como entidad regulada por DORA, ¿tengo que registrarme ante el BSI?

Sí, la obligación de registro conforme al §33 BSIG permanece en vigor aun cuando usted caiga bajo DORA como empresa financiera. DORA es lex specialis para las obligaciones sustantivas de seguridad y notificación: como empresa regulada por DORA está exento de los §§ 30, 31, 32, 35, 36, 38 y 39 BSIG y notifica los incidentes que conciernen exclusivamente a entidades DORA conforme a las reglas de DORA en lugar de conforme al §32 BSIG (base: NIS 2 artículo 4). No obstante, debe llevar a cabo la inscripción en el portal del BSI.

¿Qué objetivo persigue el BSI con la obligación de notificación? ¿La notificación lo más rápida posible con el riesgo de que un incidente ocurrido no llegara a una amenaza efectiva, o realmente solo la notificación de incidentes relevantes en los que se ha materializado una amenaza? ¿Cómo se definen específicamente los términos toma de conocimiento (Kenntniserlangung) e incidente de seguridad para la obligación de notificación?

El objetivo es la rapidez sobre la exhaustividad: el art. 23 de la Directiva NIS 2 (transpuesto en el §32 BSIG) exige una alerta temprana en un plazo de 24 horas, una notificación en un plazo de 72 horas y un informe final a más tardar tras un mes. El corto plazo de 24 horas pretende dar a la autoridad una imagen temprana de la situación para que se pueda advertir a otras entidades. Es mejor notificar demasiado pronto y con incertidumbre que demasiado tarde. La toma de conocimiento significa el momento a partir del cual su entidad puede evaluar el incidente con razonable certeza como significativo (no solo tras un análisis de causa raíz completado), y el plazo de 24 horas corre a partir de ese momento. Un incidente de seguridad es significativo conforme al art. 23(3) de la Directiva NIS 2 si ha causado o puede causar una perturbación operativa grave o pérdidas financieras, o si ha afectado o puede afectar a otras personas al causar daños materiales o inmateriales considerables.

¿Será posible realizar notificaciones voluntarias sobre incidentes de seguridad?

Sí. El art. 30 de la Directiva NIS 2 (transpuesto en el §35 BSIG) prevé expresamente las notificaciones voluntarias, también para entidades que no caen en absoluto bajo NIS 2, y para incidentes por debajo del umbral de significatividad. Las notificaciones voluntarias se tramitan de la misma manera que las notificaciones obligatorias, pero con menor prioridad: las notificaciones obligatorias tienen preferencia. Una notificación voluntaria no da lugar a obligaciones adicionales, y no puede interpretarse en perjuicio de la entidad notificante.

¿Pueden presentarse las notificaciones de incidentes en inglés?

La lengua del procedimiento de la autoridad es el alemán, de modo que las notificaciones deben hacerse en alemán. Sin embargo, a causa del corto plazo de 24 horas conforme al art. 23 de la Directiva NIS 2, se aplica lo siguiente: una alerta temprana rápida en inglés es mejor que una tardía en alemán. Así pues, si es necesario, presente primero en inglés y añada los detalles en lengua alemana en las notificaciones de seguimiento.

¿Cómo debe procederse en el caso de un incidente de seguridad relevante para NIS 2 con posibles efectos en centros de operación de varios Estados miembros de la UE, cuando el establecimiento principal de la empresa afectada se encuentra en Alemania? Además del BSI, ¿deben informarse también las autoridades competentes de los demás Estados afectados?

Se aplica el principio del país de origen conforme al art. 26 de la Directiva NIS 2: si su establecimiento principal está en Alemania, usted es en principio supervisado a efectos jurisdiccionales únicamente en Alemania y notifica el incidente solo una vez al BSI. No tiene que informar usted mismo a las autoridades de los demás Estados miembros afectados. El intercambio transfronterizo lo gestionan las autoridades entre sí a través de la red de CSIRT y el Grupo de Cooperación. Una notificación múltiple en cada país afectado no es por tanto necesaria. Una excepción se aplica a los proveedores de servicios digitales como DNS, nube, centro de datos y similares, cuya jurisdicción se determina por la ubicación de su establecimiento principal en la UE.

Si partes de mi empresa están afectadas por DORA y otras partes por NIS 2, ¿tiene mi proveedor de servicios de TI que notificar los incidentes de seguridad por duplicado?

No, no es necesario notificar por duplicado. DORA es la regla más específica frente a NIS 2 (art. 4 DORA, art. 1(2) de la Directiva NIS 2 y §1(6) BSIG): en la medida en que un incidente concierne al ámbito de DORA, los canales y plazos de notificación de DORA tienen preferencia y desplazan en esa medida la obligación de notificación de NIS 2. Lo que importa es qué regla cubre el servicio afectado, no la empresa en su conjunto. Aclare contractualmente con su proveedor de servicios de TI por adelantado bajo qué regla notifica qué incidente a qué autoridad.

¿Está prevista para el futuro una solución europea para el registro y la notificación?

Determinados proveedores de servicios digitales (por ejemplo proveedores de servicios DNS, proveedores de nube, centros de datos, mercados en línea) ya están registrados en un registro a escala de la UE a través de ENISA conforme al art. 27 de la Directiva NIS 2. Para todas las demás entidades, el registro y la notificación siguen siendo nacionales, es decir, en Alemania a través del portal del BSI. Una plataforma europea plenamente unificada para todas las entidades que vaya más allá de esto no se ha decidido actualmente. Por ahora, el canal de notificación nacional sigue siendo decisivo.

¿Cómo se garantiza que los datos de registro y de la empresa recabados conforme a las reglas NIS 2 / KRITIS se traten de forma confidencial y se protejan frente a accesos no autorizados?

La confidencialidad está salvaguardada por ley: el art. 23(9) de la Directiva NIS 2 obliga a las autoridades a proteger el interés de la entidad notificante en la confidencialidad, y el BSIG contiene a tal fin sus propias reglas de confidencialidad y limitación de la finalidad. Los datos se utilizan únicamente para los fines previstos por la ley, por ejemplo la evaluación de la situación y la prevención de amenazas, y no se publican. El acceso se limita a los organismos competentes; la comunicación a otras autoridades tiene lugar solo dentro del marco legalmente permitido y preservando la confidencialidad.

¿Qué ocurre si una empresa obligada notifica un incidente tarde o no lo notifica en absoluto a la autoridad competente? ¿Quién comprueba si los incidentes notificables se notificaron correctamente?

La obligación de notificación se deriva del artículo 23 de la Directiva NIS 2: una alerta temprana en un plazo de 24 horas, una notificación en un plazo de 72 horas y un informe final en un plazo de un mes desde el incidente significativo (transpuesto en Alemania en el §32 BSIG). Una notificación tardía, o la ausencia total de notificación, es una infracción del deber que la autoridad competente (el BSI para la mayoría de las entidades) puede sancionar conforme a las reglas de supervisión y ejecución de los artículos 31 a 34 (§§ 61 y ss. y §65 BSIG). Las posibles medidas incluyen instrucciones, órdenes vinculantes y multas cuyo nivel depende del tipo de entidad: para las entidades esenciales, el artículo 34 fija un tope de al menos 10 millones de euros o el 2 por ciento del volumen de negocios anual mundial (lo que sea superior), y para las entidades importantes de al menos 7 millones de euros o el 1,4 por ciento. La autoridad evalúa si una notificación se realizó correctamente sobre la base de la notificación presentada y puede verificarlo a través de sus facultades de supervisión conforme a los artículos 32 y 33 (como solicitudes de información, auditorías, inspecciones in situ). Una notificación oportuna y completa en el formato prescrito es por tanto la vía más segura. Encontrará una guía paso a paso sobre la obligación y la autoridad en Registro y obligación de notificación.

¿Qué obligaciones tiene la dirección conforme a NIS 2?

La dirección debe aprobar las medidas de gestión de riesgos, supervisar su implementación y asistir a formación en ciberseguridad (art. 20 Directiva NIS 2, transpuesto en el §38 BSIG). La aprobación significa revisar y consentir activamente por escrito, no solo dar el visto bueno. La supervisión significa comprobar con regularidad si las medidas están implementadas y son eficaces. La implementación operativa puede delegarse, pero la responsabilidad de la dirección permanece en la dirección. Si usted está siquiera dentro del ámbito es algo que debe aclarar primero con la prueba completa.

¿Qué significa la obligación de aprobación y supervisión de la dirección?

Aprobación significa: la dirección examina las medidas de gestión de riesgos previstas, las comprende en lo sustancial y las aprueba de forma documentada (art. 20 ap. 1 Directiva NIS 2, en Alemania §38 ap. 1 BSIG). Supervisión significa: una medida que se aprueba una vez y nunca se vuelve a revisar no cumple la obligación. Informes de estado periódicos, indicadores clave y una vía de escalado clara tienen sentido para que la dirección pueda demostrar el estado actual en todo momento. Esta obligación recae sobre la propia dirección, no puede transferirla a nadie.

¿Tiene la dirección que asistir a formación?

Sí. La dirección de las entidades esenciales e importantes debe asistir con regularidad a formación en ciberseguridad (art. 20 ap. 2 Directiva NIS 2, en Alemania §38 ap. 3 BSIG). El objetivo es que la dirección sea capaz de identificar riesgos, evaluar las medidas de gestión de riesgos y calibrar su impacto en los servicios. La Directiva no nombra horas mínimas ni intervalos fijos; en su orientación el BSI recomienda un repaso anual y da aproximadamente cuatro horas como cifra de orientación para el alcance. Esta obligación se aplica a toda persona que esté designada para dirigir la entidad por ley, estatutos o contrato de sociedad, y no puede delegarse.

¿Puede la dirección delegar su obligación de formación?

No. La obligación de formación recae personalmente sobre los órganos de dirección y no puede transferirse a empleados ni a prestadores de servicios externos (art. 20 ap. 2 Directiva NIS 2, en Alemania §38 ap. 3 BSIG). Puede nombrar un delegado de protección de datos o de seguridad y distribuir la implementación operativa, pero asistir usted mismo a la formación sigue siendo su tarea. Documente quién asistió, durante cuánto tiempo y con qué contenido, de modo que pueda presentarlo a la autoridad a petición.

¿Responde la dirección personalmente por las infracciones?

Si un miembro de la dirección infringe su obligación de aprobación, supervisión o formación, responde frente a su propia entidad por los daños causados culpablemente conforme a las reglas de Derecho de sociedades de la respectiva forma jurídica (art. 20 Directiva NIS 2, en Alemania §38 BSIG). Esta pretensión pertenece a la sociedad, no a terceros, y una renuncia total a la responsabilidad mediante el contrato de sociedad o los estatutos está excluida. En la práctica usted reduce el riesgo documentando de forma limpia las aprobaciones, los controles y los registros de formación. La mejor protección no es la renuncia, sino el conjunto de obligaciones demostrablemente cumplido.

¿Se grabarán los seminarios web?

No. Los seminarios web del BSI sobre NIS 2 no se graban, de modo que usted asiste en directo o no asiste. Importante: los seminarios web son una oferta de información voluntaria, no una parte obligatoria de su implementación. Lo que importa para sus obligaciones son las medidas de gestión de riesgos conforme al artículo 21 de la Directiva NIS 2 (transpuesto en Alemania en el §30 BSIG), no la asistencia a un seminario web.

¿Cómo recibo los materiales de cada seminario web?

Todos los participantes registrados reciben después la presentación de diapositivas por correo electrónico. El requisito es por tanto el registro para el seminario web respectivo: quien no está registrado no recibe automáticamente los materiales. Tras la sesión, compruebe también su carpeta de correo no deseado si el correo electrónico con el adjunto no llega.

¿Puede el BSI apoyar a las entidades en la implementación de NIS 2?

Sí, pero solo en términos generales, no para su caso individual. El BSI ofrece preguntas frecuentes, paquetes de información, un paquete inicial y seminarios de arranque, pero conforme a su mandato legal (§3 BSIG, que transpone las tareas de la Directiva NIS 2) no proporciona expresamente ni asesoramiento sobre casos individuales ni asesoramiento jurídico. Para la implementación concreta en su empresa necesita por tanto, o bien conocimientos propios, o bien un prestador de servicios cualificado o asesoramiento jurídico. Por dónde puede empezar usted mismo lo muestra la prueba de aplicabilidad completa en Wer ist betroffen.

¿Hay ya información u orientación del BSI sobre las medidas que deben implementar las entidades esenciales e importantes conforme a NIS 2?

Sí. En su página web central sobre NIS 2 el BSI publica orientación concreta sobre las distintas obligaciones y medidas. En lo sustancial corresponden a las medidas de gestión de riesgos del artículo 21 de la Directiva NIS 2 y del Reglamento de Ejecución (UE) 2024/2690 (transpuesto en Alemania en el §30 BSIG). Como el cómo metodológico el BSI nombra el IT-Grundschutz: si usted lo aplica, las medidas del §30 BSIG se consideran generalmente cumplidas, lo que es la orientación más práctica disponible actualmente.

¿Cubre el sector de los prestadores de servicios sanitarios también las instalaciones de cuidados de larga duración?

No. El tipo de entidad «prestador de asistencia sanitaria» se vincula a la definición del artículo 3, letra g), de la Directiva 2011/24/UE, a la que NIS 2 (anexo I, sector sanitario de la Directiva (UE) 2022/2555) remite. Los cuidados de larga duración puros no caen bajo esta definición y no están por tanto cubiertos como tales. Importante: si una instalación de cuidados presta adicionalmente servicios de asistencia sanitaria en el sentido de la definición (como tratamiento médico o de enfermería), esta parte puede estar cubierta, siempre que se cumplan los umbrales de tamaño conforme al §28 BSIG. Compruebe paso a paso: Quién está afectado.

¿Cubre el tipo de entidad «prestador de asistencia sanitaria» también la distribución o el suministro de productos sanitarios?

No. La mera distribución o suministro de productos sanitarios no cumple la definición de un servicio de asistencia sanitaria conforme al artículo 3, letra g), de la Directiva 2011/24/UE, a la que NIS 2 remite para el sector sanitario (anexo I). No está por tanto afectado a través de este tipo de entidad. Pueden aplicarse, no obstante, otros puntos de referencia: los fabricantes de productos sanitarios críticos pertenecen al sector sanitario, los fabricantes de productos sanitarios y productos sanitarios para diagnóstico in vitro pertenecen al sector de la fabricación (anexo II). Compruebe adicionalmente si está cubierto como instalación crítica conforme a la KritisV.

¿Cómo se gestiona cuando una explotación cuenta entre las instalaciones críticas (punto de dispensación de productos sanitarios), y es por tanto infraestructura crítica conforme a la BSI-KritisV, pero no se alcanza el umbral de ingresos especificado para las entidades esenciales?

Los operadores de una instalación crítica son, conforme al §28 apartado 1 BSIG, una entidad esencial con independencia del tamaño y los ingresos. Los umbrales de tamaño e ingresos del criterio general de tamaño no juegan por tanto aquí ningún papel: quien supera el umbral de la KritisV para la instalación está cubierto, aun cuando la empresa por debajo de él sea una pequeña explotación. El único factor decisivo es el umbral cuantitativo de la categoría de instalación respectiva en la KritisV (§2 número 22 BSIG). Puede alcanzar el umbral de la KritisV sin alcanzar el umbral de empleados o de ingresos del criterio general de tamaño, y queda entonces no obstante plenamente afectado.

¿Están afectadas por NIS 2 las instalaciones de ayuda a la integración (Eingliederungshilfe)?

La ayuda a la integración como tal no es un tipo de entidad propio conforme a NIS 2 y no cae bajo la definición de un servicio de asistencia sanitaria conforme al artículo 3, letra g), de la Directiva 2011/24/UE. No está por tanto afectado por la mera ayuda a la integración. Depende de las actividades concretas realizadas: si la instalación presta adicionalmente servicios de asistencia sanitaria en el sentido de la definición y alcanza los umbrales conforme al §28 BSIG, esta parte puede estar afectada. Para estar seguro, debe comprobar adicionalmente si se aplica otro sector NIS 2 o una instalación crítica conforme a la KritisV.

¿Están afectados por NIS 2 los servicios médicos de urgencia?

Depende de la actividad realizada, no de la etiqueta «servicio médico de urgencia». En la medida en que un servicio médico de urgencia presta servicios de asistencia sanitaria en el sentido del artículo 3, letra g), de la Directiva 2011/24/UE (como atención médica de urgencia), puede estar cubierto a través del sector sanitario (anexo I) si se cumplen los umbrales conforme al §28 BSIG. El mero transporte de pacientes sin tratamiento médico generalmente no cae bajo esto. Si el servicio médico de urgencia es de titularidad pública, compruebe adicionalmente las reglas para la administración pública.

¿Caen los servicios de consultoría en seguridad de TI bajo el sector de la infraestructura digital, por ejemplo bajo el tipo de entidad proveedor de servicios gestionados de seguridad (MSSP)?

No. La mera consultoría en seguridad de TI no es un servicio gestionado de seguridad. Conforme a NIS 2 (artículo 6 número 40 de la Directiva (UE) 2022/2555), un MSSP es un MSP que presta o gestiona de forma operativa el apoyo a las actividades de gestión de riesgos de ciberseguridad, es decir, asume la operación continua de funciones de seguridad para los clientes. Quien exclusivamente asesora, audita o forma, sin operar ni gestionar de forma continua los sistemas de los clientes, no cae bajo MSP o MSSP (el sector de la gestión de servicios de TIC pertenece al anexo I, no a la infraestructura digital). Sin embargo, en cuanto usted gestiona efectivamente los servicios de seguridad de los clientes (como operación de SOC, monitorización, gestión de parches), puede aplicarse la clasificación como MSSP.

¿Deben considerarse proveedores de servicios gestionados (MSP) o proveedores de servicios gestionados de seguridad (MSSP) las filiales en las que se organiza la operación central de TI de un grupo empresarial?

El factor decisivo es si el servicio de TI se presta externamente en el mercado. Los MSP y MSSP conforme a NIS 2 (artículo 6 números 39 y 40 de la Directiva (UE) 2022/2555) prestan servicios para otras empresas, no para sí mismas. Una filial de TI intragrupo que sirve exclusivamente a su propio grupo no es por tanto generalmente un MSP o MSSP a través de este tipo de entidad. Esto no significa necesariamente «no afectada»: si la filial sirve también a terceros fuera del grupo, puede aplicarse la clasificación MSP o MSSP, y con independencia de ello, los empleados y los ingresos de las empresas asociadas se agregan para el umbral de tamaño (empresas asociadas conforme a la definición de pyme 2003/361/CE).

¿Cae el alojamiento web bajo uno de los tipos de entidad? (Como proveedor de nube o MSP)

El alojamiento web clásico en sí no es ni un servicio de computación en la nube ni un MSP. Un servicio de computación en la nube conforme a NIS 2 (artículo 6 número 30 de la Directiva (UE) 2022/2555) requiere recursos de cómputo escalables, provistos de forma elástica y que pueden compartirse, con administración bajo demanda, lo que el mero alojamiento sobre recursos fijos normalmente no cumple. Un MSP requiere la gestión continua de los sistemas de TI del cliente, no solo la provisión de almacenamiento y espacio web. El factor decisivo es siempre la configuración concreta: si el proveedor ofrece adicionalmente recursos de nube elásticos o gestiona activamente los sistemas del cliente, puede aplicarse una clasificación. Más sobre esto: ¿Soy proveedor de nube?.

¿Están también afectados por las obligaciones de implementación de ciberseguridad los empresarios autónomos que operan DNS autoritativo para clientes de alojamiento web?

Sí, eso puede aplicarse. Los proveedores de servicios DNS son, conforme a NIS 2 (anexo I, infraestructura digital, término en el artículo 6 número 20 de la Directiva (UE) 2022/2555), una entidad esencial con independencia de su tamaño. El umbral habitual de empleados o ingresos no se aplica por tanto aquí, de modo que también los empresarios autónomos pueden estar cubiertos (§28 apartado 1 BSIG). El factor decisivo es si usted efectivamente opera la resolución DNS autoritativa como servicio propio (no la mera titularidad de su propio dominio). Si eso se aplica, las obligaciones sobre gestión de riesgos, notificación y registro se aplican plenamente.

¿Caen todas las empresas dentro del ámbito de la transposición nacional de la Directiva NIS 2 si son «proveedor de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público»?

No automáticamente toda empresa, pero el umbral es bajo. Los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público pertenecen a la infraestructura digital (anexo I de la Directiva (UE) 2022/2555) y están, conforme al §28 BSIG, cubiertos tan pronto como se alcanza el umbral para empresas medianas (a partir de 50 empleados, o más de 10 millones de EUR de ingresos con un balance total superior a 10 millones de EUR). Los términos se rigen por la Directiva (UE) 2018/1972 (Código Europeo de las Comunicaciones Electrónicas), no por la propia comprensión de una empresa de «servicio de comunicaciones». Nota: en la medida en que la TKG contenga requisitos sectoriales relevantes para estos servicios, las obligaciones correspondientes del BSIG se aplican solo en la medida en que la TKG no tenga preferencia (§28 BSIG).

¿Cae un servicio de computación en la nube que no es autoescalable, lo cual es un criterio de nube conforme al NIST [estándar de ciberseguridad de EE. UU. NIST SP 800], bajo las reglas de la Ley de Implementación de NIS 2?

El factor decisivo no es el estándar NIST, sino la definición de servicio de computación en la nube en NIS 2 (artículo 6 número 30 de la Directiva (UE) 2022/2555). Según ella, el servicio debe proporcionar recursos de cómputo escalables y elásticos, es decir, escalables hacia arriba y hacia abajo bajo demanda, que puedan compartirse a través de una red. Si esta escalabilidad y elasticidad está completamente ausente, entonces, conforme a la definición de NIS 2, generalmente no hay un servicio de computación en la nube, y el tipo de entidad proveedor de nube no se aplica. Sin embargo, esto no significa necesariamente «no afectada en absoluto»: compruebe si se aplica otro tipo de entidad (como servicio de centro de datos o MSP) o si está cubierto a través de otro sector. Detalles: ¿Soy proveedor de nube?.

¿Se enfrentan las entidades financieras sujetas a DORA a obligaciones de doble registro, doble notificación de incidentes de seguridad, doble supervisión, doble evidencia, etc. a través de la Ley de Implementación de NIS 2 y DORA?

No, no se pretende una doble regulación genuina. Para las entidades financieras, DORA (Reglamento (UE) 2022/2554) es la regla más específica. Conforme al artículo 4 de la Directiva NIS 2, los requisitos de DORA sobre gestión de riesgos, notificación de incidentes y supervisión tienen por tanto preferencia, y las obligaciones correspondientes de NIS 2 retroceden. Lo que queda es únicamente el registro: el artículo 27 de la Directiva NIS 2 (reflejado en el Derecho alemán mediante la obligación de registro pertinente del BSIG) cubre también a las entidades DORA, de modo que las autoridades puedan mantener un registro completo. Usted sigue notificando los incidentes conforme a DORA y se registra adicionalmente, sin que esto cree una segunda cadena de notificación o una segunda capa de supervisión.

¿En qué se diferencian los requisitos de NIS 2 de los requisitos específicos de seguridad para el smart meter gateway?

Los dos conjuntos de reglas operan en niveles distintos y no se excluyen mutuamente. NIS 2 (artículo 21 de la Directiva, en el Derecho alemán §30 BSIG) exige que la organización en su conjunto mantenga una gestión de riesgos: procesos, responsabilidades, cadena de suministro, planificación de contingencias. Los requisitos para el smart meter gateway, por el contrario, provienen de la Ley de Operación de Puntos de Medición y de las Directrices Técnicas del BSI (por ejemplo TR-03109) y conciernen a la seguridad técnica de un dispositivo específico, incluida la certificación. En resumen: NIS 2 rige cómo asegura usted su empresa, los requisitos del smart meter rigen cómo debe diseñarse un único dispositivo. Ambos se aplican en paralelo.

¿Cómo surgió el cambio de denominación a «Digital Energy Services»?

La antigua categoría de instalación del punto de agregación (Buendelstelle) se rebautizó como «Digital Energy Services» porque el término refleja mejor el creciente papel de los sistemas de TI y los procesos digitales en el sector de la energía que el antiguo nombre, que estaba estrechamente vinculado a la agregación de lecturas de contadores. Más importante que el nombre es la consecuencia: para esta categoría, la regulación de la seguridad de la información ya no reside en el BSIG, sino en los §§ 5c y ss. EnWG, y la Bundesnetzagentur es la responsable.

¿Qué significa el cambio legal para mi punto de agregación (BueStel)?

Su punto de agregación se retira de la regulación del BSIG como «Digital Energy Service». Los requisitos de seguridad de la información se regirán en el futuro por los §§ 5c y ss. EnWG, y la autoridad de supervisión competente es la Bundesnetzagentur, ya no el BSI. Para la instalación afectada en la categoría 1.1.2, ya no tiene que proporcionar evidencia al BSI conforme al §8a BSIG. Su punto de contacto y sus requisitos técnicos cambian por tanto; compruebe sin demora los requisitos de la Bundesnetzagentur.

¿Qué obligaciones frente al BSI subsisten todavía tras el cambio legal?

Frente al BSI subsisten esencialmente el registro y el mantenimiento actualizado de sus datos maestros en el portal del BSI, mientras la asignación siga conservándose allí. La supervisión sustantiva y la evidencia para las instalaciones clasificadas como «Digital Energy Services» pasan a la Bundesnetzagentur conforme a los §§ 5c y ss. EnWG. Si tiene además otras instalaciones registradas ante el BSI, las obligaciones del BSIG siguen aplicándose a aquellas sin cambios; solo se retiran los servicios de energía digital.

¿Qué base de auditoría puedo utilizar para la evidencia?

Para la evidencia frente al BSI, la base establecida sigue siendo decisiva: un estándar de auditoría reconocido como un estándar de seguridad sectorial (B3S) conforme al §8a apartado 2 BSIG o un estándar equivalente que cubra los requisitos para su instalación. Para las instalaciones retiradas como «Digital Energy Services», sin embargo, la base de auditoría se rige por los requisitos de la Bundesnetzagentur sobre la base de los §§ 5c y ss. EnWG. Lo decisivo es por tanto bajo qué régimen se mantiene su instalación tras el cambio; aclárelo primero antes de seleccionar un estándar de auditoría.

¿Cómo averiguo para cuándo tengo que proporcionar evidencia?

El plazo se deriva de su categoría de instalación y del ciclo de evidencia que se le aplica, no de una única fecha límite uniforme. Para las instalaciones que permanecen en el mundo del BSIG, se aplica el ciclo de evidencia periódico habitual conforme al §8a BSIG; el BSI comunica la fecha concreta como parte de su registro o mediante notificación oficial. Para las instalaciones que han pasado a la Bundesnetzagentur como «Digital Energy Services», esta fija las fechas de evidencia conforme a los §§ 5c y ss. EnWG. En caso de duda, la notificación escrita de la autoridad competente respectiva es decisiva; no confíe en una cifra anual general.

¿Qué impacto tiene la Ley de Implementación de NIS 2 sobre las demás instalaciones de mi empresa registradas ante el BSI?

La retirada concierne solo a las instalaciones clasificadas como «Digital Energy Services» (antigua categoría 1.1.2). Todas las demás instalaciones de su empresa registradas ante el BSI permanecen en el régimen del BSIG: las obligaciones de registro, gestión de riesgos y evidencia siguen allí sin cambios. No surge ninguna brecha y no hay caducidad automática; usted sigue operando las instalaciones no afectadas exactamente como antes y mantiene al BSI como autoridad competente.

¿Hay que completar la auditoría en curso para proporcionar evidencia conforme al §8a BSIG para una instalación de la categoría de instalación 1.1.2?

No. Para las instalaciones de la categoría 1.1.2 que salen del BSIG como «Digital Energy Services», ya no debe proporcionarse evidencia conforme al §8a BSIG al BSI, de modo que una auditoría en marcha para ese fin ya no tiene que completarse para el BSI. Observe, no obstante, los futuros requisitos de la Bundesnetzagentur conforme a los §§ 5c y ss. EnWG; el trabajo de auditoría ya realizado puede seguir siendo utilizable allí. Aclare la transición exacta directamente con la autoridad competente antes de interrumpir una auditoría.

¿Tienen los operadores de una red de suministro de energía conforme al §5d apartado 4 EnWG que registrarse en el portal del BSI?

Sí. Los operadores de una red de suministro de energía conforme al §5d apartado 4 EnWG están obligados a registrarse en el portal del BSI, aun cuando no estén al mismo tiempo clasificados como entidad esencial o importante conforme al §28 BSIG. La obligación de registro se vincula aquí a la operación de la red y existe con independencia del umbral de tamaño general de NIS 2. Introduzca sus datos maestros en el portal del BSI dentro del plazo. Más sobre el procedimiento: nis2-registrierung.

¿Cuentan los restaurantes de hotel, los restaurantes o los negocios de restauración como «entidades importantes»?

Por regla general, no. El sector de la alimentación del anexo 2 cubre solo a las empresas del comercio mayorista así como de la producción y procesamiento industrial de alimentos, no la restauración clásica. Un restaurante de hotel, un restaurante o un negocio de restauración no cae por tanto bajo NIS 2 simplemente por la preparación de comidas. Lo que también sigue siendo decisivo es si se cumplen los umbrales de tamaño; compruebe su clasificación de forma sistemática: wer-ist-betroffen-vollstaendiger-test.

¿Equivale «sowie» (así como) a «o»?

Sí. En la redacción sobre alimentación del anexo 2, «sowie» enlaza las actividades nombradas de forma enumerativa, no acumulativa. Una empresa está por tanto ya cubierta si opera en el comercio mayorista o en la producción industrial o en el procesamiento; no tiene que realizar las tres actividades al mismo tiempo. Lo que entonces es adicionalmente decisivo para estar cubierto es si se cumplen los umbrales de tamaño pertinentes.

¿Caen todos los participantes en una cadena de suministro segura en el ámbito de la seguridad de la aviación bajo KRITIS, aun cuando sean pequeñas empresas por debajo de los umbrales de aplicabilidad de NIS 2?

No. La participación en la cadena de suministro segura conforme al §9a LuftSiG no convierte automáticamente a una empresa en una Infraestructura Crítica y no la convierte automáticamente en una entidad NIS 2. Dos umbrales separados son decisivos: usted solo se convierte en operador KRITIS si supera los umbrales de volumen de la BSI-KritisV para un servicio crítico (normalmente en los sectores de la aviación o la logística). La aplicabilidad de NIS 2 conforme al anexo I o II de la Directiva NIS 2 (UE) 2022/2555, a su vez, requiere que usted opere en un sector cubierto y cumpla los criterios de tamaño (por regla general a partir de 50 empleados o más de 10 millones de EUR de volumen de negocios anual; el BSIG lo transpone en el §28). Quien queda por debajo de ambos umbrales no está cubierto ni por KRITIS ni por NIS 2 a través de la mera participación en la cadena de suministro. Encontrará la prueba completa en Quién está afectado.

¿Qué formas jurídicas caen bajo el sector financiero y el subsector bancario conforme a NIS 2?

La clasificación no se basa en la forma jurídica (GmbH, AG, eG u otra), sino en la actividad. En la banca, el anexo I de la Directiva NIS 2 (UE) 2022/2555 cubre las entidades de crédito en el sentido del artículo 4(1) punto (1) del Reglamento (UE) n.º 575/2013, es decir, empresas cuya actividad consiste en tomar depósitos u otros fondos reembolsables del público y conceder créditos por cuenta propia. Para ello no se prescribe ninguna forma jurídica específica; lo que importa es únicamente que usted esté autorizado como entidad de crédito y ejerza esta actividad. Importante: Para las entidades de crédito, DORA (Reglamento (UE) 2022/2554) se aplica con preferencia como lex specialis desde el 17 de enero de 2025, de modo que las obligaciones operativas de gestión de riesgos y notificación deben cumplirse conforme a DORA en lugar de NIS 2. Puede comprobar si está afectado como banco en ¿Soy un banco en el sentido de NIS 2?.