Art. 20 NIS 2 + §38 BSIG

RACI para NIS 2 en una organización de 60 personas

En virtud del Art. 20 NIS 2 el órgano de dirección es Responsable último de las medidas de gestión de riesgos por ley. RACI es la forma más barata de asegurarse de que todos los demás saben lo que eso significa en la práctica.

Simon OrzelSimon Orzel·

Por qué RACI para NIS 2

La mayoría de los equipos del Mittelstand se saltan la matriz RACI porque suena a teatro de consultor. Bajo NIS 2 no es opcional en espíritu. El Art. 20 NIS 2 pone la Responsabilidad última en el órgano de dirección por su nombre; la matriz es solo la forma más barata de hacer legibles para el equipo el Responsable último (A), el Responsable de ejecución (R), el Consultado (C) y el Informado (I).

Una organización de 60 personas no puede permitirse un CISO, un DPO, un CCO, un responsable jurídico y un responsable de TI como cinco personas distintas. Una persona suele cubrir dos o tres funciones, y el órgano de dirección cubre las de responsabilidad directamente personal. RACI documenta cómo funciona esa consolidación sin infringir la directiva.

La matriz importa más en dos momentos: cuando se incorpora un nuevo directivo y pregunta quién es el dueño de cada obligación NIS 2, y cuando el BSI solicita evidencia y necesitas demostrar que alguien dio su aprobación.

Dónde reside la obligación
La directiva nombra el lado del Responsable último; la transposición añade el deber de formación.

Art. 20(1) NIS 2 (responsabilidad del órgano de dirección)

Member States shall ensure that the management bodies of essential and important entities approve the cybersecurity risk-management measures taken by those entities in order to comply with Article 21, oversee its implementation and can be held liable for infringements by the entities of that Article.

'Aprobar' y 'supervisar' son actividades de Responsable último en términos RACI. El órgano de dirección ostenta la A delegue o no la R. La delegación está permitida, la abdicación no.

§38 BSIG (formación del órgano de dirección)

Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen haben an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagementverfahren im Bereich der Cybersicherheit sowie ihrer Auswirkungen zu erwerben.

La formación es una obligación propia del órgano de dirección, no delegable. RACI lo refleja como Responsable de ejecución Y Responsable último en la fila del órgano de dirección.

Cinco funciones centrales para 60 empleados
Conjunto mínimo viable de funciones. Las entidades más pequeñas consolidan aún más; las más grandes añaden especialistas.

Órgano de dirección

CEO, Geschäftsführer, Vorstand. Responsable último de las medidas del Art. 21 por ley. Responsable de ejecución de la formación del Art. 20, la aprobación del presupuesto, la aceptación de riesgos por encima del umbral acordado.

Responsable de TI o CISO

La mayoría de las entidades del Mittelstand de 60 personas no tienen un CISO; el responsable de TI hace de ambos. Responsable de ejecución de la implementación técnica de las medidas, de las operaciones del día a día, de la evaluación técnica de proveedores.

Delegado de protección de datos (DPO)

Ya existe para el GDPR. Bajo NIS 2 suele ser el dueño del lado de la notificación a clientes (Art. 23(2) NIS 2) y del solapamiento de brechas con el Art. 33 del GDPR. A menudo a tiempo parcial o externo.

RR. HH.

Responsable de ejecución de la formación del personal ORP.3, de los procesos de acceso de altas/cambios/bajas, del lado de los datos personales de empleados en la gestión de proveedores.

Cumplimiento o jurídico

A menudo externalizado. Responsable de ejecución de las cláusulas contractuales con proveedores en virtud del Art. 21(2)(d), las notificaciones a destinatarios del Art. 23(2), la correspondencia regulatoria con el BSI.

Matriz RACI: 10 obligaciones NIS 2 × 5 funciones
Lee cada fila: A es Responsable último (aquí se detiene la pelota), R es Responsable de ejecución (hace el trabajo), C es Consultado, I es Informado.
Matriz RACIÓrgano de direcciónResponsable de TI o CISODelegado de protección de datos (DPO)RR. HH.Cumplimiento o jurídico
Registro ante el BSI en virtud del §33 BSIGARCIC
Política de seguridad de la información en virtud del Art. 21(2)(a)ARCCC
Gestión de incidentes en virtud del Art. 21(2)(b)ARCIC
Continuidad de negocio en virtud del Art. 21(2)(c)ARICI
Seguridad de la cadena de suministro en virtud del Art. 21(2)(d)ACCIR
Formación del órgano de dirección en virtud del Art. 20(2) + §38 BSIGA and RICCC
Formación de concienciación para todo el personal en virtud del Art. 21(2)(g)ACCRI
Notificación de incidentes en virtud del Art. 23 + §32 BSIGARCIC
Notificación a destinatarios en virtud del Art. 23(2) NIS 2ACRIC
Actualización del registro en virtud del §33(5) BSIG (plazo de 2 semanas)ARICC
Responsable último vs Responsable de ejecución: la trampa más común

RACI falla cuando los equipos tratan A y R como lo mismo. En virtud del Art. 20 NIS 2 el órgano de dirección ostenta la A por ley. No puede delegar la A. Puede y debe delegar la R, a menudo en el responsable de TI o el DPO, pero la pelota sigue deteniéndose en el órgano de dirección.

Consecuencia práctica: cuando una auditoría pregunta '¿quién aprobó esta aceptación de riesgo?', la respuesta no puede ser 'el responsable de TI'. Tiene que ser un miembro del órgano de dirección, por su nombre, con una fecha. El responsable de TI ejecuta; el órgano de dirección firma.

Qué cambia si tu TI está externalizada

Un acuerdo con un MSP no traslada la A al MSP. El Art. 20 se queda en tu órgano de dirección. La responsabilidad de ejecución puede residir en el MSP, pero solo dentro de un contrato que defina qué hacen en virtud del Art. 21(2)(d).

La matriz RACI gana una sexta columna: MSP externo. Se sitúan como R en las filas técnicas, como Consultados en las filas de políticas. La columna del Responsable último nunca abandona tu órgano de dirección.

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), Art. 20, Art. 21, Art. 23, www.eur-lex.europa.eu
  • Ley sobre la Oficina Federal de Seguridad de la Información (BSIG), §32, §33, §38, www.gesetze-im-internet.de
  • BSI IT-Grundschutz ORP.3 (concienciación y formación), www.bsi.bund.de
  • Plantillas comunes de notificación del Grupo de Cooperación (adoptadas el 26 de mayo de 2026) sobre flujos de trabajo de notificación

Esta página proporciona orientación estructurada basada en fuentes de acceso público (Directiva NIS 2, BSIG, BSI IT-Grundschutz, plantillas del Grupo de Cooperación). No constituye asesoramiento jurídico en el sentido del §2 RDG. Para el diseño RACI concreto de tu entidad, consulta a un asesor cualificado. A fecha de 2026-06-04.

¿Quieres un RACI adaptado a tu plantilla?
Inicia sesión y la plataforma produce un RACI inicial basado en tu sector, tu plantilla y las obligaciones que selecciones.