¿Qué es el BSI?
Autoridad superior federal bajo el Ministerio Federal del Interior, establecida conforme al §1 BSIG. Conforme a NIS 2 es la autoridad competente, el punto único de notificación y el operador del CSIRT nacional.
Qué es
Cualquiera que piense por primera vez en NIS 2 en Alemania acaba en el BSI. La Oficina Federal de Seguridad de la Información tiene su sede en Bonn, existe desde 1991 y, conforme al §1 BSIG, es la autoridad federal de ciberseguridad. En la práctica esto significa: todo lo que deba notificar, registrar o evidenciar conforme a NIS 2 acaba pasando por el BSI.
Lo que confunde a muchos lectores primerizos: conforme a NIS 2 el BSI no tiene un único papel, sino cuatro. Es la autoridad competente conforme al Art. 8 NIS 2, el punto único al que se notifican los incidentes significativos conforme al §32 BSIG, el organismo ante el que se registra conforme al §33 BSIG y el operador del CSIRT nacional (CERT-Bund) en el sentido del Art. 10 NIS 2. Cuatro interfaces, una autoridad.
En la práctica se encuentra con el BSI en tres puntos de contacto: registro, notificación de incidentes y supervisión. Lo que el BSI no hace: asesoramiento jurídico para casos concretos, certificación ISO 27001 o consultoría de implementación. El trabajo de implementación queda en sus manos, internamente o con ayuda externa.
§1 BSIG (establecimiento)
La Federación mantiene, como autoridad superior federal en el ámbito del Ministerio Federal del Interior, de la Construcción y de la Comunidad, la Oficina Federal de Seguridad de la Información.
Autoridad superior federal independiente significa que el BSI está organizativamente separado, pero sujeto a la supervisión técnica y de servicio del Ministerio Federal del Interior. No actúa como ministerio ni como tribunal.
§3 BSIG (tareas)
La Oficina Federal promueve la seguridad de la información. A tal fin desempeña las siguientes tareas: defensa frente a amenazas a la seguridad de la tecnología de la información federal, recopilación y evaluación de información sobre riesgos de seguridad, asesoramiento y alerta, fijación de estándares mínimos.
El catálogo del §3 BSIG es amplio. Para NIS 2 las tareas más relevantes son el asesoramiento y la alerta, la fijación de estándares mínimos y el apoyo a las autoridades competentes en la investigación de incidentes de seguridad.
Art. 8 NIS 2 (autoridades competentes) + §32, §33 BSIG
Los Estados miembros designarán una o varias autoridades competentes responsables de la ciberseguridad. Garantizarán que dichas autoridades competentes supervisen la aplicación de la presente Directiva a nivel nacional.
Alemania ha designado al BSI como autoridad competente conforme al Art. 8 NIS 2. Las notificaciones se canalizan a través del §32 BSIG y los registros a través del §33 BSIG.
Autoridad de registro
Se registra a través del portal del BSI conforme al §33 BSIG. Tres meses desde el momento en que entra por primera vez en el ámbito de NIS 2. Datos obligatorios: datos maestros, sector, persona de contacto, ámbito de actividad, clase de tamaño.
Punto único de notificación
Notifica los incidentes significativos conforme al §32 BSIG a través del punto único de notificación del BSI. Alerta temprana en un plazo de 24 horas, notificación de seguimiento en un plazo de 72 horas, informe final en el plazo de un mes. Ambos relojes empiezan en el momento en que tiene conocimiento.
CSIRT nacional (CERT-Bund)
CERT-Bund es el CSIRT nacional de Alemania en el sentido del Art. 10 NIS 2. Recibe las notificaciones de incidentes, coordina la respuesta e intercambia información con los demás Estados miembros en la red de CSIRT de la UE.
Supervisión
La supervisión de las entidades NIS 2 está anclada en el BSIG. El BSI puede solicitar información, ordenar auditorías y emitir directrices. Las multas se imponen conforme al §65 BSIG.
Centro de información y alerta
Informes de situación, alertas de seguridad, estándares técnicos mínimos: el BSI publica de forma continua. La Alianza para la Ciberseguridad y UP KRITIS añaden orientación práctica adicional.
No es una fuente de asesoramiento jurídico individual
Orientación general y estándares mínimos: sí. Evaluación jurídica de sus hechos concretos: no. Para eso necesita un abogado.
No es un organismo de certificación ISO 27001
El BSI no expide certificados ISO 27001. Lo que el BSI gestiona son sus propios esquemas de certificación, por ejemplo IT-Grundschutz y Common Criteria. Son independientes de ISO.
No es un consultor de implementación
El BSI inspecciona y supervisa, no implementa por usted. El trabajo operativo de NIS 2 ocurre dentro de su entidad, con su personal o con consultoría externa.
En conversaciones con equipos directivos que se acercan a NIS 2 por primera vez surgen dos preguntas: qué tengo que notificar, qué tengo que registrar. Las respuestas están en los §32 y §33 BSIG. Ambas pasan por el portal del BSI, ambas necesitan un certificado de organización ELSTER como credencial de acceso.
El centro de información central sigue siendo bsi.bund.de. El portal de notificación propiamente dicho tiene su propia dirección y está enlazado desde allí. Los lectores primerizos tienden a confundir ambos.
- Ley sobre la Oficina Federal de Seguridad de la Información (BSIG), en particular §§1, 3, 32, 33, 65, www.gesetze-im-internet.de
- Directiva (UE) 2022/2555 (NIS 2), Art. 8, 10, 23, 27, www.eur-lex.europa.eu
- Web del BSI: www.bsi.bund.de
- Ley de Implementación de NIS-2 y de Fortalecimiento de la Ciberseguridad (NIS2UmsuCG)
Esta página ofrece una guía estructurada basada en fuentes disponibles públicamente (Directiva NIS 2, BSIG, publicaciones del BSI). No constituye asesoramiento jurídico en el sentido del §2 RDG. Para casos concretos, consulte a un abogado colegiado. A fecha de 2026-06-04.