Continuidad de negocio NIS 2 conforme al artículo 21(2)(c)
NIS 2 dice que debe mantener las operaciones en funcionamiento y recuperarse cuando algo se rompe. El artículo 21(2)(c) es el deber. El §4 del CIR (UE) 2024/2690 detalla el BCP, el plan de copias de seguridad y el procedimiento de crisis. Alemania lo incorpora en el §30(2)(3) BSIG.
La versión breve
La continuidad de negocio se sitúa en el punto (c) de la lista del artículo 21(2). La directiva agrupa tres cosas: mantener el negocio en funcionamiento, gestionar sus copias de seguridad y la recuperación, y ejecutar la gestión de crisis. Si NIS 2 se le aplica, tiene que hacer las tres.
El §4 del CIR (UE) 2024/2690 divide el mismo deber en tres subapartados. El §4.1 es el propio plan de continuidad de negocio, con una lista de contenido de ocho puntos. El §4.2 es la copia de seguridad y la redundancia, con un plan de seis puntos más pruebas de integridad. El §4.3 es el procedimiento de gestión de crisis, incluido cómo se comunica con el regulador. Si opera DNS, nube, un centro de datos, un MSP, servicios de confianza o cualquier otro sector del anexo del CIR, esto le vincula directamente.
Alemania incorpora la misma regla al Derecho nacional a través del §30(2)(3) BSIG. La redacción sigue a la directiva. Esta página recorre la directiva, el reglamento de desarrollo de la UE y la transposición alemana en ese orden.
Artículo 21(2)(c) Directiva NIS 2 (2022/2555)
Continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y gestión de crisis.
Punto (c) de la lista de diez medidas de ciberseguridad que toda entidad esencial e importante tiene que implantar. Una línea, tres deberes agrupados.
CIR (UE) 2024/2690, anexo §4
Continuidad de las actividades y gestión de crisis (artículo 21(2)(c) de la Directiva (UE) 2022/2555).
Como se trata de un reglamento (no de una directiva), es Derecho de la UE directamente vinculante. El CIR divide el §4 en tres subapartados: §4.1 el plan de continuidad de negocio y recuperación ante desastres, §4.2 la gestión de copias de seguridad y redundancia, §4.3 el procedimiento de gestión de crisis. Se aplica directamente a los proveedores de DNS, los registros de TLD, los proveedores de nube y de centros de datos, los MSP y los demás sectores enumerados en su anexo.
§30(2)(3) BSIG (Alemania)
Continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y gestión de crisis.
Alemania copia la redacción de la directiva. Los Infopakete del BSI enumeran la continuidad de negocio como una de las diez medidas del artículo 21(2) que toda entidad esencial e importante tiene que cubrir.
Plan de continuidad de negocio y recuperación ante desastres
Un plan escrito con ocho puntos: finalidad y alcance, funciones y responsabilidades, lista de contactos, las condiciones que activan su puesta en marcha, la secuencia de recuperación, el plan de recuperación para cada proceso crítico, los recursos que necesita, y cómo reinicia y reanuda las operaciones normales. No tres frases en un documento de Word. Un documento real que la gente pueda seguir cuando la red está caída y los teléfonos no paran de sonar.
Gestión de copias de seguridad y redundancia
Un plan de copias de seguridad de seis puntos: tiempos de recuperación objetivo, integridad de la copia, almacenamiento externo, controles de acceso físico y lógico, el propio procedimiento de recuperación y los periodos de conservación. Además de pruebas de integridad periódicas para averiguar antes del incidente si las copias se restauran realmente. Además de redundancia (N+1) para activos, personal y canales de comunicación.
Procedimiento de gestión de crisis
Un procedimiento escrito con funciones nombradas, un canal de comunicación con la autoridad competente, una forma de mantener la seguridad durante la crisis, y la lista de comunicaciones obligatorias, incluidas las notificaciones de incidentes conforme al artículo 23. La gestión de crisis no es «nos ponemos en una llamada». Es quién está en la llamada, qué deciden y a quién informan.
La copia de seguridad es gobernanza, no solo TI
El plan de copias de seguridad del §4.2 es documentación auditable, no una casilla en su herramienta de copias. Los periodos de conservación se aprueban. La ubicación del almacenamiento externo se documenta. Los tiempos de recuperación se fijan en función del negocio, no de lo que la herramienta puede hacer. Si su estrategia de copias vive enteramente dentro del equipo de TI, le falta la capa de gobernanza que pide el CIR.
Pruebe con una cadencia, no «cuando tengamos tiempo»
El §4.1 espera que el BCP se pruebe periódicamente. El §4.2 espera pruebas de integridad de las copias con una cadencia. Un BCP sin probar es papel. Una copia sin probar es una esperanza. Una vez al año para el simulacro del BCP, con más frecuencia para las pruebas de restauración de copias. Documente la prueba, documente lo que falló, documente lo que corrigió.
BSI / IT-Grundschutz DER.4
El BSI enumera la continuidad de negocio como una de las diez medidas del artículo 21(2) (véase el §30(2)(3) BSIG) y señala el Baustein DER.4 «Notfallmanagement» de IT-Grundschutz como la vía práctica. DER.4 cubre todo el ciclo de vida de la continuidad: BIA, BCP, planes de recuperación, pruebas, aprobación. Si sigue DER.4 de principio a fin, está muy por encima del mínimo del §4 del CIR.
Orientación técnica de implementación de ENISA
La TIG de ENISA convierte el §4 del CIR en pasos concretos y lo mapea con ISO/IEC 27001:2022 (cláusulas en torno a A.5.29, A.5.30, A.8.13, A.8.14) y NIST CSF 2.0 (función Recover). Si ya aplica ISO 27001 o NIST CSF, la TIG le indica qué puede reutilizar y qué brechas le quedan.
Leyes de transposición nacionales
Cada Estado miembro tiene su propia transposición (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). El deber de continuidad es el mismo porque la directiva fija un único estándar de la UE. Lo que difiere: a qué autoridad nacional notifica en una crisis y por qué canal.
Tenemos copias de seguridad en cinta, así que estamos bien.
Las copias no bastan. El §4.2 del CIR exige documentar el plan completo de seis puntos: tiempos de recuperación objetivo, integridad, almacenamiento externo, controles de acceso, procedimiento de recuperación, periodos de conservación. Más pruebas de integridad periódicas. Una rotación de cintas sin el plan escrito es la mitad del requisito.
El BCP es problema del equipo de TI.
No lo es. El §4.3 cubre explícitamente la gestión de crisis con la capa directiva: canales de comunicación con la autoridad competente, las notificaciones de incidentes obligatorias conforme al artículo 23, decisiones sobre qué servicios mantener y cuáles suspender. Eso es un deber de la dirección, no un deber de TI.
Ya lo resolveremos en una crisis.
No lo hará. El §4.3 exige un procedimiento de crisis escrito con funciones nombradas y canales de comunicación predefinidos. El sentido de escribirlo de antemano es que no esté improvisándolo a las 3 de la madrugada de un domingo. Un auditor pedirá el documento. «Tenemos buena gente» no es el documento.
Lo que vemos en la práctica: la mayoría de las empresas del Mittelstand tienen copias de seguridad. Cinta, nube, segundo emplazamiento, algo. Lo que casi nunca tienen es el plan documentado del §4.2 en torno a esas copias: objetivos de tiempo de recuperación fijados en función del negocio, periodos de conservación aprobados, ubicación del almacenamiento externo nombrada, pruebas de integridad en un calendario. Las copias existen. La gobernanza no.
Dos pasos que resuelven el trabajo: primero, redacte el BCP del §4.1. Use la lista de ocho puntos del CIR como índice. Segundo, ejecute la prueba una vez al año. Un ejercicio de simulación en el que el equipo directivo recorre el BCP para un escenario real vale más que seis meses puliendo el documento. La prueba es lo que produce la evidencia de auditoría.
Hemos integrado el §4 del CIR en la plataforma como un módulo. El formulario del BCP captura los ocho campos de contenido del §4.1. El formulario de copias de seguridad captura los seis puntos del §4.2 más el calendario de pruebas. El formulario del procedimiento de crisis captura las funciones, los canales y las vías de comunicación del artículo 23 del §4.3. La aprobación se encuentra junto a cada artefacto.
La cadencia de pruebas también vive en la plataforma. Usted programa el simulacro anual del BCP y las pruebas trimestrales de restauración de copias, la plataforma avisa al responsable, el responsable registra el resultado, y la traza de auditoría muestra cuándo se ejecutó y qué ocurrió. Sin calendario aparte, sin almacén de documentos aparte.
- Directiva (UE) 2022/2555 (NIS 2), artículo 21(2)(c) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), anexo §4 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §30(2)(3) en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- Baustein DER.4 «Notfallmanagement» de IT-Grundschutz del BSI — bsi.bund.de/grundschutz
- Orientación técnica de implementación de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)