Art. 21(1) NIS 2 + CIR 2024/2690

Qué significa realmente 'proporcionado' en el Art. 21(1) NIS 2

La palabra más útil de toda NIS 2 es 'proporcionado'. Es la línea que separa una implementación que un Mittelstand de 60 personas puede sostener de un coste de teatro de auditoría que ninguna Geschäftsführung aprobará.

Simon OrzelSimon Orzel·

Por qué la proporcionalidad es la palabra que lo sostiene todo

La mayoría de los equipos abordan el Art. 21 NIS 2 como una lista de comprobación de diez medidas de ciberseguridad. La directiva no dice eso. Dice que las entidades deben adoptar medidas apropiadas y proporcionadas, y el Art. 21(1) enumera seis factores que deciden qué significa proporcionado en tu caso concreto.

Esto importa en dos direcciones. Hacia arriba: permite a un Stadtwerk de 60 personas operar sin la pila GRC de un banco de 5000 personas. Hacia abajo: te obliga a dejar por escrito por qué tu nivel es suficiente. La proporcionalidad no es una cláusula de escape, es una elección documentada.

Quienes lo leen por primera vez suelen pasarlo por alto porque la palabra suena a evasiva. Es lo contrario. La proporcionalidad es el único anclaje legal para adaptar NIS 2 a un presupuesto del Mittelstand, y es la única defensa frente a un auditor que sugiera que deberías haber hecho más.

Base legal
La proporcionalidad está anclada en el artículo operativo y en el considerando que explica cómo debe aplicarse.

Art. 21(1) NIS 2 (operativo)

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services.

El mismo apartado enumera seis factores que deciden la proporcionalidad: el grado de exposición de la entidad a los riesgos, el tamaño de la entidad, la probabilidad de que se produzcan incidentes y su gravedad, incluido su impacto social y económico, el estado de la técnica y el coste de implementación. Los seis son datos de entrada para la decisión; ninguno de ellos es opcional.

Considerando 79 NIS 2

Cybersecurity risk-management measures should be commensurate with the degree of exposure to risks of the entity concerned and the societal and economic impact that an incident would have.

El considerando 79 es el marco interpretativo. Indica a los tribunales y auditores que no se espera que una entidad pequeña con escasa huella transfronteriza iguale a un gran operador paneuropeo.

CIR 2024/2690, Art. 1

This Regulation lays down the technical and the methodological requirements of the measures referred to in Article 21(2) of Directive (EU) 2022/2555 with regard to the entities listed in the Annex.

El reglamento de ejecución solo cuantifica medidas para un conjunto reducido de proveedores de infraestructura digital (DNS, TLD, nube, centro de datos, CDN, MSP, MSSP, mercado, motor de búsqueda, plataforma social, servicios de confianza). Todos los demás aplican la proporcionalidad sin esos umbrales cuantitativos.

Los seis factores que deciden la proporcionalidad
Los seis proceden directamente del Art. 21(1). Documenta una posición sobre cada uno.

Grado de exposición a los riesgos

¿Cuál es la superficie de amenaza real? Una empresa de agua potable con solo un segmento SCADA está en una posición distinta de la de un hospital con historiales de pacientes en internet abierto.

Tamaño de la entidad

Plantilla, facturación, alcance de mercado. La directiva espera controles distintos de 60 empleados y de 6000 empleados. Ambos pueden cumplir.

Probabilidad y gravedad de los incidentes

Tasa histórica de incidentes, interés de los actores de amenaza en el sector, gravedad si ocurre. Un fabricante farmacéutico se enfrenta a probabilidades distintas que un intermediario logístico.

Impacto social y económico

Quién resulta perjudicado cuando fallas. Un operador de red eléctrica tiene una densidad de impacto por fallo mayor que una empresa de SaaS B2B. Este factor empuja hacia medidas más pesadas incluso en entidades pequeñas.

Estado de la técnica

Cuál es la línea base técnica que desplegaría un par razonable. La MFA en 2026 es estado de la técnica para el acceso de administradores; el almacenamiento de contraseñas con SHA-1 no lo es.

Coste de implementación

Documentado explícitamente en el Art. 21(1). No puedes omitir una medida porque sea cara, pero sí puedes elegir una vía menos costosa si logra el objetivo de seguridad.

Dos ejemplos trabajados
Cómo se traduce la proporcionalidad en dos entidades con forma real.

Stadtwerk, 80 empleados, distribución de energía

Sector del Anexo I, entra en el ámbito con independencia del tamaño si presta servicios esenciales. Pila proporcionada: MFA en el acceso de administradores y al OT, red OT segmentada, cláusulas contractuales por escrito con proveedores, simulacro anual de incidentes, registro de riesgos documentado. Sin SOC, sin SIEM como servicio. Defendible porque la exposición es sectorial pero la plantilla es pequeña.

Hospital, 200 empleados, clínica regional

Sector salud del Anexo I. La pila proporcionada añade: cifrado de los datos de pacientes en reposo, auditoría de los proveedores de TI clínica, guardia 24/7 para la respuesta a incidentes, política formal de clasificación de incidentes. Más pesada que la del Stadtwerk porque el impacto social por fallo es mayor y la superficie de amenaza es más amplia.

Qué te exige producir la proporcionalidad
Tres artefactos. Ninguno de ellos es una herramienta de software; todos son documentos.

Un análisis de proporcionalidad por escrito

Recorre los seis factores, fija tu posición en cada uno, justifica por qué la profundidad de medida resultante es suficiente. Una página basta para una entidad de 60 personas.

Un registro de coste y beneficio por cada paso omitido

Si una entidad par hace X y tú no, documenta por qué. El Stand der Technik más el coste es una razón legítima. El silencio no lo es.

Una revisión anual

Las decisiones de proporcionalidad caducan. El panorama de amenazas cambia, tu tamaño cambia, la práctica de los pares cambia. Reformula tu posición al menos una vez al año.

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), Art. 21(1) y Considerando 79, www.eur-lex.europa.eu
  • Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Art. 1, www.eur-lex.europa.eu
  • Ley sobre la Oficina Federal de Seguridad de la Información (BSIG), §30 (transposición nacional del Art. 21), www.gesetze-im-internet.de
  • ENISA Technical Implementation Guidance v1.0 (junio de 2025) sobre la evaluación de proporcionalidad

Esta página proporciona orientación estructurada basada en fuentes de acceso público (Directiva NIS 2, CIR 2024/2690, BSIG, ENISA TIG). No constituye asesoramiento jurídico en el sentido del §2 RDG. Para casos concretos consulta a un abogado colegiado. A fecha de 2026-06-04.

¿Quieres ver qué aspecto tiene la proporcionalidad en tu caso?
La comprobación de aplicabilidad gratuita produce un análisis por escrito que puedes adjuntar al acta del órgano de dirección.