Seguridad del personal NIS 2 conforme al artículo 21(2)(i)
Las personas forman parte del perímetro de seguridad. El artículo 21(2)(i) NIS 2 nombra la seguridad del personal, el control de acceso y la gestión de activos de una sola vez. El §10 del CIR (UE) 2024/2690 detalla las cuatro partes de personal. En Alemania, el §30(2)(9) BSIG recoge el mismo deber.
La versión breve
La mayoría de las brechas empiezan con una persona. El artículo 21(2)(i) sitúa la seguridad del personal en la lista de diez deberes de ciberseguridad. El texto agrupa tres cosas: seguridad del personal, control de acceso y gestión de activos. Están vinculadas porque una función decide qué acceso necesita una persona y qué activos puede tocar.
El §10 del CIR (UE) 2024/2690 toma la mitad de personal y la divide en cuatro partes. Asegúrese de que las personas comprenden su función (§10.1). Compruebe la fiabilidad donde tenga sentido (§10.2). Gestione las bajas y los cambios de función de forma limpia (§10.3). Disponga de un procedimiento disciplinario para las infracciones (§10.4). No es RR. HH. blando. Es seguridad operativa.
Alemania transpone la totalidad del artículo 21(2)(i) a través del §30(2)(9) BSIG, que enumera juntas la seguridad del personal, el control de acceso y la gestión de activos. La misma redacción. El mismo deber. Esta página recorre la directiva, el reglamento de desarrollo de la UE y la transposición alemana en ese orden.
Artículo 21(2)(i) Directiva NIS 2 (2022/2555)
Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
Punto (i) de la lista de diez medidas de ciberseguridad que toda entidad esencial e importante tiene que implantar. Tres deberes empaquetados en un párrafo, porque solo funcionan juntos.
CIR (UE) 2024/2690, anexo §10
Seguridad de los recursos humanos (artículo 21(2)(i) de la Directiva (UE) 2022/2555).
El §10 del CIR divide la mitad de personal en cuatro subapartados. §10.1 funciones y contratación, §10.2 comprobaciones de fiabilidad, §10.3 cese y cambios de función, §10.4 procedimiento disciplinario. Derecho de la UE directamente vinculante para los proveedores de DNS, los proveedores de nube y de centros de datos, los MSP, los prestadores de servicios de confianza y los demás sectores nombrados en el anexo.
§30(2)(9) BSIG (Alemania)
Seguridad de los recursos humanos, conceptos para el control de acceso y la gestión de activos.
Alemania copia el texto de la UE. El deber es el mismo. El BSI señala IT-Grundschutz, en particular el módulo ORP.2 «Personal», como la vía práctica para la implementación.
Funciones, concienciación y contratación
Asegúrese de que las personas conocen cuáles son sus responsabilidades de ciberseguridad. El personal en general, los usuarios con acceso de administrador o privilegiado, y el órgano de dirección en particular. Contrate de forma deliberada para las funciones relevantes para la ciberseguridad: comprobación de referencias, validación de cualificaciones, pruebas escritas cuando proceda.
Comprobaciones de fiabilidad cuando proceda
Comprobaciones de antecedentes del personal y de los proveedores directos «cuando sea factible y aplicable» y la función lo requiera. Anote por escrito qué funciones solo pueden ser ocupadas por personas cuya fiabilidad se haya verificado. Depende de la función, no es universal. Las funciones de administrador y de acceso privilegiado son candidatas típicas.
Cese, cambio de función y régimen disciplinario
Cuando alguien se va o cambia de función, los deberes de seguridad que sobreviven al empleo tienen que fijarse por escrito en el contrato y aplicarse efectivamente. Las cláusulas de confidencialidad rigen más allá del fin del empleo. Y debe existir un procedimiento disciplinario para las infracciones de las políticas de seguridad.
Las comprobaciones de fiabilidad dependen de la función, no son universales
El §10.2 dice comprobaciones de antecedentes «cuando sea factible y aplicable» y solo en las funciones que lo requieran. No examina a cada cajero. Sí examina a la persona que tiene el administrador de dominio. Los criterios sobre qué funciones necesitan una comprobación de fiabilidad deben constar por escrito, antes de contratar, no después.
La confidencialidad sobrevive a la relación laboral
El §10.3 quiere que los deberes de seguridad que deben mantenerse después de que alguien se vaya queden fijados contractualmente. La confidencialidad es el más obvio. No divulgación de detalles de incidentes, datos de clientes, arquitectura de sistemas. La cláusula entra en el contrato el primer día, no el último día de quien se va.
BSI / IT-Grundschutz ORP.2
La base IT-Grundschutz del BSI cubre la seguridad del personal en el módulo ORP.2 «Personal». ORP.2 recorre la contratación, la concienciación, la formación, los procedimientos de baja y el personal de los proveedores. En Alemania también tiene que coordinarse con el Derecho laboral: límites de la AGG sobre los criterios de cribado, codeterminación del comité de empresa según la BetrVG sobre las comprobaciones de antecedentes. Elabore la política con el comité de empresa en la sala, no en su contra.
Orientación técnica de implementación de ENISA
La TIG de ENISA para el CIR (UE) 2024/2690 mapea el §10 con los controles del anexo A de ISO/IEC 27001:2022 A.6.1 a A.6.6 (cribado, condiciones de empleo, concienciación, proceso disciplinario, cese, confidencialidad). Si ya aplica ISO 27001, la mayor parte del §10 está en su sitio. La TIG nombra las evidencias que los auditores esperan.
Leyes de transposición nacionales
Cada Estado miembro tiene su propia transposición (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). El deber conforme al artículo 21(2)(i) es el mismo. Lo que difiere localmente: las restricciones del Derecho laboral sobre el cribado de antecedentes, que reflejan la AGG y la BetrVG alemanas en la forma, aunque no en el detalle.
No hacemos comprobaciones de antecedentes. La protección de datos lo prohíbe.
Es una generalización excesiva. El §10.2 limita las comprobaciones de fiabilidad a las funciones donde son «factibles y aplicables». Para usuarios con acceso de administrador o privilegiado, una comprobación de fiabilidad documentada suele ser admisible bajo el GDPR si tiene una base jurídica clara, un alcance definido y al comité de empresa de acuerdo. El trabajo no es «no examinar a nadie». El trabajo es «anotar qué funciones lo necesitan y ejecutarlo para esas funciones».
Cuando alguien se va, le retiramos la tarjeta y desactivamos su cuenta. Listo.
Bien para la parte de acceso físico e informático. No basta para el §10.3. La directiva quiere que los deberes que sobreviven al empleo queden fijados por escrito en el contrato. Confidencialidad, no divulgación, devolución de activos, obligaciones continuas de notificación de incidentes que la persona conozca. Una lista de comprobación de bajas sin anclaje contractual es la mitad del trabajo.
No tenemos un procedimiento disciplinario para las infracciones de seguridad informática.
Sí lo tiene, solo que no lo ha escrito específicamente para la TI. El §10.4 quiere un procedimiento disciplinario para las infracciones de las políticas de seguridad. No tiene que ser un proceso separado. Intégrelo en su procedimiento disciplinario general de RR. HH.: nombre el desencadenante («infracción de la política de seguridad de la información»), remita a la política, documente la vía de escalado.
La mayoría de las empresas del Mittelstand ya hacen la mitad del §10 sin llamarlo NIS 2. RR. HH. comprueba referencias en la contratación. Hay una lista de comprobación de bajas. Las cláusulas de confidencialidad están en el contrato laboral estándar. La formación de concienciación se hace una vez al año. Eso cubre el grueso del §10.1 y una parte del §10.3.
Las brechas del §10 que vemos son más estrechas de lo que la gente piensa. Una: cláusulas contractuales de confidencialidad que cubran explícitamente las obligaciones relacionadas con la TI y sobrevivan al fin del empleo, no solo lenguaje genérico de NDA. Dos: una lista escrita de funciones para las que es obligatoria una comprobación de fiabilidad antes de contratar, con los criterios detallados. Tres: un procedimiento disciplinario explícito para las infracciones de seguridad informática, aunque sea un párrafo con remisión cruzada al procedimiento general de RR. HH. Cierre esas tres, y el §10 está hecho.
La plataforma captura las evidencias del §10 en los módulos de RR. HH. y ACC. Las asignaciones de funciones viven en un solo lugar con la persona, la función, el estado de la comprobación de fiabilidad y la fecha de la última formación de concienciación. La lista de comprobación de bajas es un flujo de trabajo con aprobación, no un documento de Word.
El registro disciplinario se encuentra en la traza de auditoría. Cuando se registra una infracción de política, el procedimiento que se activa queda documentado, los pasos dados se aprueban y el cierre es visible. Sin hoja de cálculo. Sin segunda herramienta. La misma base de evidencias que examinará su auditor.
- Directiva (UE) 2022/2555 (NIS 2), artículo 21(2)(i) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), anexo §10 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §30(2)(9) en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- IT-Grundschutz del BSI, módulo ORP.2 «Personal» — bsi.bund.de/grundschutz
- Orientación técnica de implementación de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)