NIS 2 frente a NIS 1: qué cambió realmente
El artículo 41 de la Directiva (UE) 2022/2555 derogó la Directiva NIS 1 con efecto a partir del 18 de octubre de 2024. Esta página describe qué significa eso en la práctica.
Resumen
NIS 1 era la Directiva (UE) 2016/1148. Cubría siete sectores y dividía a los destinatarios en 'operadores de servicios esenciales' (OES) y 'proveedores de servicios digitales' (DSP). Los Estados miembros designaban a los OES individualmente.
NIS 2 es la Directiva (UE) 2022/2555. Cubre 15 sectores en el Anexo I y 7 sectores en el Anexo II, sustituye la división OES/DSP por 'entidades esenciales' y 'entidades importantes', y usa un criterio de tamaño explícito (50 empleados o más, o volumen de negocios anual superior a 10 millones de euros).
El artículo 41 de NIS 2 derogó la Directiva NIS 1 con efecto a partir del 18 de octubre de 2024. Cuando el Derecho de un Estado miembro siga refiriéndose a la antigua directiva, esas referencias apuntan ahora a NIS 2. Los estatutos nacionales de transposición (como la BSIG alemana en su versión NIS 2) sustituyen la arquitectura anterior de la IT-Sicherheitsgesetz 2.0.
Directiva (UE) 2022/2555 artículo 41
La Directiva (UE) 2016/1148 queda derogada con efecto a partir del 18 de octubre de 2024.
La fecha de derogación es también el plazo de transposición. Las referencias a NIS 1 en otros actos de la UE se leen como referencias a NIS 2.
Reglamento de Ejecución (UE) 2024/2690 de la Comisión
El presente Reglamento establece los requisitos técnicos y metodológicos de las medidas a que se refiere el artículo 21(2) de la Directiva (UE) 2022/2555 [...]
El CIR especifica las medidas del artículo 21(2) para un conjunto reducido de tipos de entidades de infraestructura digital. El propio catálogo del artículo 21 se aplica a todas las entidades de NIS 2.
Alemania: BSIG (versión NIS 2)
Gesetz uber das Bundesamt fur Sicherheit in der Informationstechnik (BSI-Gesetz).
Alemania transpone NIS 2 modificando la BSIG. La arquitectura anterior de la IT-Sicherheitsgesetz 2.0 (solo operadores KRITIS) se sustituye por un ámbito más amplio que incluye entidades esenciales e importantes.
De 7 sectores y designación OES a 15 más 7 sectores con una regla de tamaño
NIS 1 cubría siete sectores y exigía a los Estados miembros designar a los OES uno por uno. NIS 2 enumera 15 sectores en el Anexo I (esenciales) y 7 sectores en el Anexo II (importantes), y se aplica automáticamente a las entidades de estos sectores que cumplan el criterio de tamaño (50 empleados o más, o más de 10 millones de euros de volumen de negocios). Varios tipos de entidades están dentro del ámbito con independencia del tamaño.
De medidas de alto nivel del artículo 14 al artículo 21 con 10 áreas de medidas más el artículo 20 y el artículo 23
El artículo 14 de NIS 1 exigía medidas adecuadas y proporcionadas en términos bastante generales. El artículo 21(2) de NIS 2 nombra 10 áreas de medidas específicas (análisis de riesgos, gestión de incidentes, continuidad de negocio, cadena de suministro, gestión de vulnerabilidades, eficacia, higiene cibernética básica y formación, criptografía, control de acceso y gestión de activos, autenticación multifactor y comunicaciones seguras). El artículo 20 añade deberes explícitos del órgano de dirección, el artículo 23 añade una cascada de notificación estructurada, y el artículo 27 añade el registro de los datos de la entidad ante la autoridad competente.
De la discrecionalidad de los Estados miembros a límites máximos de sanción mínimos en toda la UE
NIS 1 dejaba las sanciones en gran medida al Derecho nacional y producía amplias variaciones entre Estados miembros. El artículo 34 de NIS 2 fija límites máximos mínimos en toda la UE: para las entidades esenciales, al menos 10 millones de euros o el 2 por ciento del volumen de negocios anual total mundial, según cuál sea mayor; para las entidades importantes, al menos 7 millones de euros o el 1,4 por ciento. Los artículos 32 y 33 también otorgan a las autoridades de control una lista más larga de competencias.
Las medidas técnicas se trasladan en gran medida
Una entidad que ya implementó las medidas del artículo 14 NIS 1 reconocerá buena parte del artículo 21(2) NIS 2: gestión de incidentes, continuidad de negocio, cadena de suministro, higiene cibernética básica y formación están presentes en ambos textos. Las etiquetas y la profundidad cambiaron, la idea subyacente no.
La gobernanza y la notificación son nuevas
El artículo 20 hace al órgano de dirección responsable de aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y recibir formación. El artículo 23 introduce una cascada de tres pasos (alerta temprana en un plazo de 24 horas, notificación de incidente en un plazo de 72 horas, informe final en un plazo de un mes). Ninguna de las dos figuras existía en NIS 1 a este nivel de detalle.
Bundesamt fur Sicherheit in der Informationstechnik (BSI)
El BSI es la autoridad competente conforme a la BSIG. Para la migración opera un registro de entidades, publica Handreichungen sobre la formación del órgano de dirección y otros deberes, y supervisa a las entidades esenciales e importantes. Los operadores KRITIS siguen existiendo como un subconjunto con deberes adicionales.
Agencia de la Unión Europea para la Ciberseguridad (ENISA)
ENISA publica la Guía Técnica de Implementación para las medidas del artículo 21(2) y gestiona la base de datos europea de vulnerabilidades conforme al artículo 12. Sus textos son no vinculantes, pero las autoridades de control los citan como la referencia práctica.
La BSIG sustituye la arquitectura de la IT-Sicherheitsgesetz 2.0
Alemania transpone NIS 2 modificando la BSIG. El modelo anterior de la IT-Sicherheitsgesetz 2.0 se centraba en los operadores KRITIS. La versión NIS 2 de la BSIG amplía el ámbito a entidades esenciales e importantes y añade los deberes de dirección del artículo 20, la notificación del artículo 23 y el registro del artículo 27.
Nuestra documentación de NIS 1 se traslada a NIS 2.
Las medidas técnicas se trasladan en gran medida, pero la envoltura jurídica no. NIS 2 introduce deberes del órgano de dirección (artículo 20), una cascada de notificación de tres pasos (artículo 23), el registro de la entidad (artículo 27) y un catálogo estructurado del artículo 21(2). La documentación antigua de NIS 1 suele tener brechas en gobernanza, plazos de notificación y la sección de cadena de suministro. Trate los documentos de NIS 1 como un punto de partida, no como un expediente completo.
Es el mismo regulador, así que es el mismo régimen.
En varios Estados miembros el supervisor de NIS 1 supervisa también NIS 2 (en Alemania, el BSI). La institución siguió siendo la misma; sus competencias legales y el catálogo de entidades supervisadas no. Los artículos 32 y 33 NIS 2 otorgan a las autoridades de control una lista más larga de competencias de inspección, auditoría y aplicación, y el artículo 34 fija límites máximos de sanción mínimos en toda la UE que no existían bajo NIS 1.
No cambió nada material.
El ámbito (15 más 7 sectores con una regla de tamaño), la gobernanza (deberes de dirección del artículo 20), la notificación (cascada del artículo 23), el registro (artículo 27) y las sanciones (límites máximos del artículo 34) cambiaron todos. La misma redacción 'adecuadas y proporcionadas' aparece en ambas directivas, pero el catálogo a su alrededor es mucho más específico en NIS 2.
En la práctica, la migración rara vez es un reinicio limpio. La mayoría de las entidades reutilizan partes de su registro de riesgos, su manual de incidentes y su lista de proveedores de NIS 1, y luego añaden las piezas nuevas: una decisión del órgano de dirección sobre las medidas del artículo 21(2), un flujo de notificación del artículo 23 con las marcas de tiempo de 24 horas, 72 horas y un mes, una entrada de registro del artículo 27, y una sección de cadena de suministro que coincida con el artículo 21(2)(d).
El cambio visible más común es la notificación. La única notificación 'sin demora indebida' de NIS 1 se convierte en tres documentos separados en NIS 2, cada uno con su propio plazo y su propia audiencia dentro de la entidad. Los profesionales suelen reconstruir el flujo de incidentes primero, porque ahí es donde las nuevas reglas de plazos muerden rápidamente.
El registro de obligaciones está estructurado en torno a los artículos de NIS 2. Las medidas del artículo 21(2) se siguen como requisitos individuales, los plazos de notificación del artículo 23 se siguen como un flujo de incidentes de tres pasos, el registro del artículo 27 se sigue como un registro separado, y la decisión del órgano de dirección del artículo 20 se sigue como una firma.
Si una entidad ya tiene evidencia de NIS 1, puede adjuntarse al requisito correspondiente de NIS 2. La plataforma no asume el traslado; cada requisito se revisa y se marca como satisfecho, parcialmente satisfecho o abierto, con una fecha y una persona responsable.
- Directiva (UE) 2022/2555, artículo 41 (derogación de la Directiva (UE) 2016/1148), artículos 20, 21, 23, 27, 32, 33, 34, Anexo I y Anexo II (EUR-Lex).
- Directiva (UE) 2016/1148, artículo 14 (requisitos de seguridad para los OES) y artículo 16 (requisitos de seguridad para los DSP) (EUR-Lex).
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, considerandos y Anexo (EUR-Lex).
- Bundesamt fur Sicherheit in der Informationstechnik (BSI), páginas informativas de NIS 2 y referencias a la BSIG (bsi.bund.de).
- ENISA, Guía Técnica de Implementación sobre el artículo 21(2) NIS 2 (enisa.europa.eu).