Cómo prepararse para una auditoría del BSI conforme al §64 y al §65 BSIG
El artículo 32 de NIS2 otorga a cada autoridad de supervisión un conjunto fijo de herramientas. El §64 BSIG lo copia al derecho alemán. Esta página recorre la escalera de evidencia de cuatro pasos que utiliza el BSI, además de aquello para lo que una entidad esencial, una entidad importante y un operador KRITIS tienen que estar listos cada uno.
La versión breve
Una auditoría del BSI no es un único evento. El artículo 32 de NIS2 enumera un conjunto fijo de competencias de supervisión para las entidades esenciales: inspecciones in situ, auditorías de seguridad específicas por un organismo independiente, auditorías ad hoc cuando haya un motivo justificado, escaneos de seguridad y solicitudes escritas de información y documentos. El BSI escala por esa escalera.
El §64 BSIG transpone esas competencias al derecho alemán como Auskunfts- und Unterlagenanforderung, Vor-Ort-Prüfung y technische Untersuchung. El §61 BSIG fija las competencias de supervisión circundantes. El §65 BSIG es donde viven las sanciones. Las sanciones llegan a diez millones de euros o el dos por ciento del volumen de negocios del grupo para las entidades esenciales y a siete millones o el uno coma cuatro por ciento para las entidades importantes, reflejando el artículo 34 de NIS2.
La mayoría de las auditorías nunca llegan al paso in situ. Una documentación limpia, un órgano de dirección que pueda responder por ella, y un plan de tratamiento escrito para las lagunas conocidas terminan la auditoría en el paso uno o dos. Esta página recorre la escalera, el texto legal que la respalda, y las tres trampas que convierten una auditoría documental en una visita al emplazamiento.
Artículo 32 Directiva NIS2 (2022/2555)
Los Estados miembros velarán por que las medidas de supervisión impuestas a las entidades esenciales a efectos de la presente Directiva sean efectivas, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso individual. En el ejercicio de sus competencias de supervisión respecto de las entidades esenciales, las autoridades competentes estarán facultadas para someter a esas entidades a: (a) inspecciones in situ y supervisión a distancia, incluidos controles aleatorios, realizadas por profesionales formados; (b) auditorías de seguridad periódicas y específicas realizadas por un organismo independiente o una autoridad competente; (c) auditorías ad hoc, también cuando estén justificadas por un incidente significativo o por una infracción de la presente Directiva por parte de la entidad esencial; (d) escaneos de seguridad basados en criterios de evaluación de riesgos objetivos, no discriminatorios, justos y transparentes, en caso necesario con la cooperación de la entidad afectada; (e) solicitudes de información necesaria para evaluar las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad afectada.
El artículo 32 fija el conjunto de herramientas ex ante para las entidades esenciales. El artículo 33 lo refleja para las entidades importantes pero como supervisión ex post, lo que significa que el BSI solo puede actuar cuando tiene indicios de incumplimiento. El artículo 34 fija los topes de sanción que el BSIG copia.
Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo
A efectos del artículo 21(2) de la Directiva (UE) 2022/2555, las entidades pertinentes establecerán, implementarán y aplicarán una política de seguridad de las redes y de los sistemas de información [...] y el marco de gestión de riesgos [...] que aborde los riesgos para la seguridad de los sistemas de redes y de información.
El Anexo de la CIR es contra lo que un auditor comprueba realmente. Detalla lo que la gestión de riesgos, la seguridad de la cadena de suministro, la gestión de incidentes, la continuidad de negocio, la formación, la criptografía, el control de acceso y las demás medidas del artículo 21(2) tienen que contener. La directiva otorga al BSI el derecho a mirar. El Anexo de la CIR fija el listón.
§64 BSIG (Alemania)
Das Bundesamt kann die zur Erfüllung seiner Aufgaben erforderlichen Informationen einschließlich personenbezogener Daten verarbeiten. Es kann insbesondere Auskünfte und die Übermittlung von Unterlagen verlangen, Räume, Grundstücke und Anlagen besonders wichtiger und wichtiger Einrichtungen während der üblichen Geschäftszeiten betreten und besichtigen sowie Prüfungen, einschließlich technischer Untersuchungen, vornehmen.
El §64 BSIG otorga al BSI tres competencias operativas: solicitar documentos, entrar en sus oficinas durante el horario laboral, llevar a cabo una inspección técnica. El §61 BSIG fija el ámbito de supervisión más amplio. El §65 BSIG fija las sanciones, con los topes del artículo 34 trasladados directamente. Los operadores KRITIS asumen un deber trienal adicional de evidencia conforme al §29 BSIG.
Solicitud de documentación y recorrido
El paso uno es una Auskunfts- und Unterlagenanforderung escrita del §64 BSIG. El BSI pide su marco de gestión de riesgos, su lista de activos, su política de gestión de incidentes, sus registros de formación, sus medidas de cadena de suministro y la evidencia de formación de la dirección del §38 BSIG. El paso dos es una llamada de recorrido: el BSI pide a los roles responsables que expliquen lo que está sobre el papel. Normalmente se espera que un miembro del órgano de dirección esté en esta llamada. La mayoría de las auditorías se cierran aquí.
Inspección in situ
Si falta documentación o el recorrido expone lagunas que el BSI no puede conciliar, el §64 BSIG les permite entrar en sus instalaciones durante el horario laboral e inspeccionar. Pedirán ver cómo se traducen las políticas en la práctica: copias de seguridad ejecutándose realmente, control de acceso aplicado realmente, manuales de incidentes realmente conocidos. El artículo 32(2)(c) les permite escalar ad hoc tras un incidente significativo, sin previo aviso. La solución no es rendir bien el día de la visita. Es no tener nada que el recorrido no pudiera ya mostrar.
Auditoría de seguridad específica e inspección técnica
El artículo 32(2)(b) permite al BSI ordenar una auditoría de seguridad periódica o específica por un organismo independiente, a su costa. El §64 BSIG añade la technische Untersuchung: escaneos, revisiones de configuración, análisis de registros. El artículo 32(2)(d) les permite ejecutar escaneos de seguridad en su perímetro conforme a criterios objetivos y no discriminatorios. Este paso es raro para las entidades importantes, estructuralmente disponible para las entidades esenciales, y la vía estándar para los operadores KRITIS conforme al §29 BSIG (ciclo trienal de Nachweis).
Fechado y firmado vence a exhaustivo
Un auditor no quiere una política perfecta. Quiere una política que esté fechada, firmada por un titular nombrado, revisada por última vez en los últimos doce meses, y trazable a una versión. Una política de seis páginas con una aprobación del director gerente de hace dos meses vale más que una política de cuarenta páginas que nadie posee. Las lagunas conocidas con un plan de tratamiento escrito y una fecha objetivo están bien. Las lagunas desconocidas y las decisiones no documentadas no.
El órgano de dirección tiene que estar en la sala
El artículo 20 de NIS2 pone al órgano de dirección a cargo de aprobar las medidas de gestión de riesgos de ciberseguridad y de supervisar su implementación. El §38 BSIG lo transpone con responsabilidad personal. Un recorrido del BSI en el que el director gerente no pueda responder por el cuadro de riesgos es por sí mismo un hallazgo. La solución no es un guion. Es una revisión trimestral a la que el director gerente asista realmente.
Auditoría estándar del BSI + Nachweis KRITIS del §29
Para las entidades esenciales e importantes, el BSI opera la escalera del §64 BSIG desde la solicitud de documentación hacia arriba. Para los operadores KRITIS (infraestructura crítica conforme al §28 BSIG), el §29 BSIG añade un deber trienal de Nachweis: cada tres años, el operador presenta evidencia (normalmente un informe de auditoría externa) que muestra que las medidas del §30 BSIG están implantadas. El Nachweis del §29 se rige por el calendario y no depende de que el BSI inicie una auditoría.
ENISA + Grupo de Cooperación NIS
ENISA, la Agencia de Ciberseguridad de la UE, publica la Technical Implementation Guidance (TIG) que mapea el artículo 21 de NIS2 sobre normas establecidas como ISO/IEC 27001:2022 y NIST CSF 2.0. El Grupo de Cooperación NIS conforme al artículo 14 de NIS2 coordina la práctica de auditoría entre los Estados miembros. Si opera en varios países, la sustancia que comprueban los auditores es la misma. La mecánica (formularios, canales, plazos) difiere.
Autoridades competentes sectoriales
Para algunos sectores (energía, finanzas, telecomunicaciones) la supervisión recae en parte en el regulador sectorial (BNetzA, BaFin) en lugar de, o junto con, el BSI. La directiva lo permite y el §61 BSIG nombra las divisiones de competencia. Las propias competencias del artículo 32 no cambian. Sí cambia qué autoridad se presenta en la puerta.
Si nuestras políticas están escritas, estamos listos.
Las políticas escritas son el paso uno. El recorrido del paso dos es donde la auditoría se decide realmente. El auditor pide al rol responsable que explique cómo funciona la política en la práctica. Si el rol no puede explicarla, la política es papel y la auditoría pasa a in situ conforme al §64 BSIG. El remedio no son mejores políticas. Es que la persona responsable las use realmente y que el órgano de dirección las revise realmente.
Pondremos la documentación en orden una vez que llegue la carta de auditoría.
El BSI normalmente concede un plazo de dos a cuatro semanas para la solicitud de documentación del §64. Construir un registro de riesgos, un inventario de activos y una política de gestión de incidentes desde cero en esa ventana no es realista. También produce el peor artefacto posible para un auditor: un documento nuevo sin historial de versiones, sin aprobaciones previas y sin uso trazable. Los documentos necesitan ser operados, no producidos para la carta.
Solo somos responsables de lo que operamos nosotros mismos, no de nuestros proveedores.
El artículo 21(2)(d) de NIS2 y el §30(2)(4) BSIG ponen la seguridad de la cadena de suministro sobre la entidad, no sobre el proveedor. Una respuesta de caja negra como «nuestro proveedor de servicios gestionados se encarga de eso» es un hallazgo. El auditor pedirá las cláusulas del contrato, la evaluación de riesgos del proveedor y la evidencia de que comprueba al proveedor. Los operadores KRITIS afrontan esto de forma más aguda: el Nachweis del §29 cubre también los servicios gestionados. Puede externalizar la operación, no la rendición de cuentas.
Un proveedor regional de energía con el que trabajamos está dentro del ámbito de aplicación como operador KRITIS conforme al §28 BSIG. Su último Nachweis del §29 fue hace dieciocho meses, el siguiente vence dentro de dieciocho. Llevan la preparación de forma continua: cada trimestre, el CISO recorre una medida del §30 BSIG con el director gerente, captura la evidencia (versión de la política, aprobación, última revisión, elementos de tratamiento abiertos) y cierra cualquier laguna antes del siguiente trimestre. Para cuando el auditor llama a la puerta, no se produce nada para la visita. Todo está fechado.
El propio Nachweis del §29 se ejecuta a través de un auditor externo contratado por el operador. El BSI no lleva a cabo la auditoría directamente: acepta el informe externo. El informe de auditoría señala las lagunas como «erhebliche Mängel» (defectos significativos), «sonstige Mängel» (otros defectos) o ninguna. Los defectos significativos activan deberes de seguimiento. Los otros defectos vienen con un plan de tratamiento y una fecha objetivo. El proveedor de energía cierra alrededor del ochenta por ciento de los hallazgos de auditoría antes de que el informe llegue al BSI, tratando la lista de lagunas como el orden del día permanente de los dos trimestres siguientes.
Cada requisito de NIS2 en la plataforma produce tres cosas por defecto: una política con una versión y una aprobación, una revisión recurrente con un plazo, y un registro de auditoría que anota quién hizo qué y cuándo. Una Auskunfts- und Unterlagenanforderung del §64 BSIG se convierte en una exportación, no en un proyecto de redacción. Usted entrega un paquete de evidencia empaquetado (políticas, aprobaciones, lista de activos, registro de riesgos, registro de incidentes, registros de formación, lista de proveedores) en lugar de rastrear archivos.
Para los operadores KRITIS el Nachweis del §29 se ejecuta sobre los mismos datos. El auditor externo obtiene una vista de solo lectura de los mismos artefactos que la empresa ya opera. No hay una segunda herramienta, ni una pila paralela de hojas de cálculo, ni una carrera de la semana de auditoría. El punto es estructural: cuando llega el día de la carta de auditoría, usted no está preparando. Está exportando.
- Directiva (UE) 2022/2555 (NIS2), Artículos 32, 33, 34 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §29 (Nachweis KRITIS), §61 (Aufsichtsbefugnisse), §64 (Auskunfts- und Untersuchungsbefugnisse), §65 (Bußgeldvorschriften)
- BSI Infopakete «NIS 2 Pflichten» — bsi.bund.de/dok/nis-2-infopakete
- ENISA Technical Implementation Guidance para la CIR (UE) 2024/2690 (a mayo de 2026)
- Documentos de referencia del Grupo de Cooperación NIS sobre la práctica de supervisión — digital-strategy.ec.europa.eu