NIS2 e IT-Grundschutz
El §44(2) BSIG ofrece un atajo jurídico: la implementación de IT-Grundschutz se reconoce en Alemania como prueba del cumplimiento de NIS2.
La cadena jurídica
Las empresas alemanas tienen una ventaja singular frente a sus homólogas europeas en lo que respecta al cumplimiento de NIS2. Mientras que las empresas en Francia, Italia o los Países Bajos deben trabajar directamente a partir de la Directiva NIS2 y del Reglamento de Ejecución de la UE, las empresas alemanas pueden apoyarse en IT-Grundschutz, una metodología consolidada y mantenida por el BSI que ha sido el estándar de seguridad de la información en Alemania durante más de 25 años.
El §44(2) BSIG ofrece el atajo jurídico: las empresas que implementan IT-Grundschutz pueden utilizarlo como prueba del cumplimiento de NIS2. Esto no es una orientación informal. Está codificado en la Ley Federal de Ciberseguridad. El propio BSI desarrolla y mantiene tanto el marco Grundschutz como el régimen de aplicación de NIS2, lo que garantiza la coherencia desde el diseño.
Esta página traza toda la cadena jurídica desde la Directiva NIS2 de la UE, pasando por la transposición alemana, hasta la metodología práctica de implementación. Comprender esta cadena es esencial para cualquier responsable de cumplimiento: le indica con exactitud de dónde procede cada requisito, por qué existe y cómo satisfacerlo con pruebas documentadas.
Directiva NIS2
Directiva (UE) 2022/2555, el marco de ciberseguridad de ámbito de la UE
BSIG
Ley Federal de Ciberseguridad alemana, transpone NIS2 al Derecho alemán
CIR 2024/2690
Reglamento de Ejecución de la UE, define las medidas técnicas mínimas
IT-Grundschutz
Metodología del BSI, el marco alemán consolidado para implementar estas medidas
El §44(2) BSIG establece que el cumplimiento de los requisitos del §30 BSIG puede demostrarse mediante la implementación de estándares reconocidos, y hace referencia explícita a IT-Grundschutz como uno de esos estándares. Esto significa que, si implementa Grundschutz conforme a la metodología BSI-200-1 a BSI-200-4, dispone de una base jurídicamente reconocida para invocar el cumplimiento de NIS2. No es una 'carta de salida libre de la cárcel' (sigue necesitando pruebas), pero le proporciona una metodología clara y aprobada por el BSI que seguir.
En la práctica, esto significa que no necesita interpretar la Directiva NIS2 ni el CIR 2024/2690 desde cero. El Grundschutz Kompendium ya asigna los requisitos técnicos a Bausteine (módulos) y Anforderungen (requisitos) específicos. Cuando el BSI audita su cumplimiento de NIS2, audita frente a una metodología que ellos mismos crearon, no frente a una directiva abstracta de la UE. Esta coherencia elimina la brecha de interpretación que afecta a las empresas de otros Estados miembros de la UE.
Para los auditores del BSI, la implementación de Grundschutz es terreno conocido. Llevan décadas auditando Grundschutz. Esto se traduce en eficiencia de auditoría: los auditores saben exactamente qué pruebas esperar, la terminología está estandarizada y la metodología está documentada en alemán. Compárelo con defender un enfoque de cumplimiento improvisado frente al CIR en lengua inglesa. La ventaja práctica es notable.
El CIR 2024/2690 (Reglamento de Ejecución de la Comisión) se publicó el 17 de octubre de 2024 y establece los requisitos técnicos y metodológicos para el cumplimiento de NIS2 en toda la UE. Es directamente aplicable (no requiere transposición) y define las medidas mínimas que todas las entidades esenciales e importantes deben implementar. Esto es el suelo, no el techo.
El CIR vincula directamente solo a 11 tipos específicos de entidades digitales: proveedores de servicios DNS, registros de nombres de dominio de primer nivel (TLD), servicios de computación en nube, proveedores de centros de datos, redes de distribución de contenidos, servicios gestionados, servicios gestionados de seguridad, mercados en línea, motores de búsqueda en línea, plataformas de redes sociales y prestadores de servicios de confianza. No obstante, el §30 BSIG impone de forma independiente las mismas 10 medidas (Art. 21(2) NIS-2) a todos los sectores cubiertos por NIS2 en Alemania, de modo que el detalle técnico del CIR se convierte en la referencia de facto incluso fuera de su ámbito directo.
El Grundschutz Kompendium cubre todas las áreas de medidas del CIR y va más allá a través de sus Bausteine. Donde el CIR dice escuetamente 'implementar control de acceso', Grundschutz especifica exactamente cómo, por ejemplo a través de módulos como ORP.4 (Gestión de Identidades y Accesos) con orientación de implementación paso a paso. Por eso el §44(2) BSIG reconoce Grundschutz: es un superconjunto de las áreas de medidas del CIR, no solo un equivalente.
Reconocimiento por el BSI
IT-Grundschutz se menciona explícitamente en el §44(2) BSIG como estándar reconocido para demostrar el cumplimiento de NIS2. La certificación ISO 27001 puede respaldar su caso, pero no se nombra específicamente en la ley. Cuando el BSI es a la vez el autor del marco y la autoridad de aplicación, la coherencia importa.
Cobertura de requisitos
Grundschutz cubre todas las áreas de medidas del CIR 2024/2690 a través de los Bausteine de su Kompendium y va más lejos de forma prescriptiva. ISO 27001 cubre la gestión de la seguridad de la información en términos generales, pero no aborda específicamente todas las medidas del §30 BSIG, en particular los plazos de notificación de incidentes propios de NIS2 (§32 BSIG), los requisitos de cadena de suministro (§30(2)(4) BSIG) y las obligaciones del órgano de dirección (§38 BSIG). Necesitaría ISO 27001 más un trabajo adicional para cerrar brechas.
Lengua y metodología
Grundschutz se desarrolla en alemán, por el BSI, para organizaciones alemanas. La terminología coincide exactamente con la del BSIG. ISO 27001 es un estándar internacional publicado en inglés, con una terminología diferente y una metodología menos prescriptiva. Para una empresa del Mittelstand alemán de 100 personas, la orientación de implementación concreta y en lengua alemana de Grundschutz es considerablemente más práctica que los objetivos de control abstractos de ISO 27001.
Ventaja en la auditoría
Cuando el BSI audita su cumplimiento de NIS2, presentar pruebas estructuradas según Grundschutz significa que el auditor habla su mismo idioma. La metodología, la estructura de la documentación y las expectativas de prueba están estandarizadas. Esto se traduce en auditorías más rápidas, menos malentendidos y resultados más claros.
Coherencia con el BSI
El BSI publica el Grundschutz Kompendium, hace cumplir el cumplimiento de NIS2 y puede inspeccionar su implementación en virtud de sus facultades de supervisión (§61 BSIG); la certificación formal la llevan a cabo auditores acreditados por el BSI. Utilizar la propia metodología del BSI garantiza que su interpretación de los requisitos coincida con la del regulador. No hay brecha de interpretación: la misma organización que define las reglas también proporciona el manual de actuación.
Seguridad jurídica
El §44(2) BSIG otorga a la implementación de Grundschutz un fundamento jurídico explícito como prueba de cumplimiento. Esta es la posición jurídica más sólida disponible: usted sigue la metodología reconocida por la propia ley. Si se cuestiona, puede remitirse a una disposición legal específica que valida su enfoque, no solo a las mejores prácticas del sector o a la opinión de un consultor.