Requisitos NIS2
Lo que las entidades afectadas deben implementar: 10 medidas obligatorias de ciberseguridad, una cascada estricta de notificación de incidentes y un cumplimiento basado en evidencias.
10 medidas obligatorias de gestión de riesgos (artículo 30 BSIG / artículo 21(2) NIS-2)
Todas las entidades esenciales e importantes deben implementar estas medidas. No hay periodo transitorio. Estas obligaciones se aplican desde el 6 de diciembre de 2025 en Alemania.
Análisis de riesgos y políticas de seguridad de la información
Establecer y mantener políticas para el análisis de riesgos y la seguridad de los sistemas de información. Realizar evaluaciones de riesgos periódicas que cubran todos los sistemas y procesos críticos.
Gestión de incidentes
Implementar procedimientos para prevenir, detectar, identificar, contener, mitigar y responder a los incidentes de seguridad.
Continuidad de negocio y gestión de crisis
Gestión de copias de seguridad, planificación de la recuperación ante desastres y procedimientos de gestión de crisis para garantizar la resiliencia operativa.
Seguridad de la cadena de suministro
Medidas de seguridad para las relaciones con proveedores directos y prestadores de servicios. Incluye la evaluación de las prácticas de ciberseguridad de todos los proveedores y los requisitos contractuales de seguridad.
Seguridad en la adquisición, el desarrollo y el mantenimiento
Seguridad en la adquisición, el desarrollo y el mantenimiento de redes y sistemas de información. Incluye la gestión de vulnerabilidades y los procedimientos de divulgación.
Evaluación de la eficacia
Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad. Pruebas y evaluación periódicas de los controles de seguridad.
Formación en ciberseguridad e higiene cibernética
Prácticas básicas de formación en ciberseguridad para todos los empleados. Programas de concienciación que cubran el phishing, la ingeniería social, la gestión de contraseñas y las prácticas informáticas seguras.
Criptografía y cifrado
Políticas y procedimientos sobre el uso de la criptografía y, cuando proceda, del cifrado. Cubre los datos en reposo, los datos en tránsito y la gestión de claves.
Seguridad del personal, control de acceso y gestión de activos
Políticas de seguridad de los recursos humanos, mecanismos de control de acceso y procedimientos de gestión de activos. Incluye la incorporación y baja de personal, el acceso de mínimo privilegio y los inventarios de activos.
Autenticación multifactor y comunicaciones seguras
Uso de MFA o de soluciones de autenticación continua. Comunicaciones seguras de voz, vídeo y texto. Sistemas seguros de comunicación de emergencia dentro de la entidad.
Alerta temprana (Frühwarnung)
Notificar si se sospecha que el incidente ha sido causado por actos ilícitos o malintencionados y si podría tener repercusiones transfronterizas.
Notificación actualizada (Aktualisierte Meldung)
Evaluación de la gravedad, evaluación del impacto, indicadores de compromiso y análisis inicial de la causa raíz, si está disponible.
Informe final (Abschlussmeldung)
Descripción detallada del incidente, causa raíz confirmada, medidas de mitigación adoptadas, medidas preventivas implementadas y evaluación del impacto transfronterizo.
¿Qué cuenta como incidente «significativo»?
Un incidente de seguridad se considera significativo cuando ha causado o es capaz de causar una perturbación operativa grave o pérdidas financieras a la entidad.
También se considera significativo cuando ha afectado o es capaz de afectar a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables. Para los 11 tipos de entidades digitales contemplados en el CIR 2024/2690 (DNS, nube, MSP, MSSP, mercados en línea, motores de búsqueda, redes sociales, servicios de confianza, etc.) se aplican umbrales cuantitativos adicionales conforme al artículo 3 del CIR (pérdida financiera superior a 500.000 EUR o al 5 % del volumen de negocios anual, exfiltración de secretos comerciales, fallecimiento o daño grave para la salud, acceso no autorizado malintencionado con éxito), además de criterios sectoriales en los artículos 5 a 14 (por ejemplo, una interrupción del DNS de más de 30 minutos, o una interrupción de la nube que afecte a más del 5 % de los usuarios).
Requisitos de auditoría y de evidencias
Deben demostrar el cumplimiento mediante auditorías, inspecciones o certificaciones cada 3 años. Deben incluir sistemas de detección de ataques en sus medidas. El plazo inicial para aportar evidencias lo fija el BSI en el momento del registro (~2028).
No existe un ciclo de auditoría obligatorio periódico, pero deben mantener documentación exhaustiva. El BSI puede realizar comprobaciones proactivas por muestreo y ordenar la aportación de evidencias en cualquier momento mediante una selección basada en el riesgo.
Deben documentar la implementación de todas las medidas exigidas. Las inspecciones del BSI son únicamente reactivas, desencadenadas por incidentes o por sospechas justificadas de incumplimiento.
- Informes de auditoría internos o externos
- Certificaciones (ISO 27001, BSI IT-Grundschutz, etc.)
- Documentación exhaustiva de las evaluaciones de riesgos, las medidas implementadas y las revisiones de eficacia
La certificación ISO 27001 o IT-Grundschutz respalda el cumplimiento de NIS2, pero no lo garantiza: los requisitos del BSIG pueden ir más allá del alcance de la certificación estándar.
- Evaluar las prácticas de ciberseguridad de todos los proveedores directos y prestadores de servicios
- Incluir requisitos de ciberseguridad en los contratos con los proveedores
- Supervisar y revisar de forma continua la postura de seguridad de los proveedores
- Coordinar la divulgación de vulnerabilidades con los proveedores
- Considerar la calidad global de los productos y las prácticas de los proveedores, incluidos sus procedimientos de desarrollo seguro