Gestión de riesgos NIS2 conforme al artículo 21(2)(a)
NIS2 establece que debe gestionar el riesgo de ciberseguridad de forma estructurada. El artículo 21(2)(a) es donde reside la obligación, el §2 del CIR (UE) 2024/2690 detalla los aspectos concretos, y su autoridad reguladora nacional (en Alemania: el BSI) es ante quien responde.
La versión resumida
La gestión de riesgos encabeza la lista de diez deberes de ciberseguridad del artículo 21(2). Si NIS2 le aplica, tiene que identificar los riesgos para sus sistemas, valorar lo graves que podrían llegar a ser y hacer algo al respecto. La misma norma se aplica en toda la UE.
El CIR (UE) 2024/2690 desarrolla el detalle. El §2 del anexo establece que su marco de gestión de riesgos necesita tres partes. Implante uno. Compruebe que las personas realmente lo utilizan. Haga que alguien independiente lo revise. Ese es el mínimo. Si opera DNS, nube, un centro de datos, un MSP, servicios de confianza o cualquier otro sector enumerado en el anexo del CIR, esto le vincula directamente.
Alemania incorpora la misma norma a su Derecho nacional mediante el §30(2)(1) BSIG. La redacción es casi palabra por palabra el texto de la UE. Esta página recorre la directiva, el reglamento de desarrollo de la UE y la transposición alemana en ese orden.
Artículo 21(2)(a) de la Directiva NIS2 (2022/2555)
Políticas de análisis de riesgos y de seguridad de los sistemas de información.
Este es el punto (a) de la lista de diez medidas de ciberseguridad que toda entidad esencial e importante tiene que implantar.
CIR (UE) 2024/2690, anexo §2
A efectos del artículo 21(2)(a) de la Directiva (UE) 2022/2555, las entidades pertinentes establecerán un marco adecuado de gestión de riesgos para identificar y tratar los riesgos para la seguridad de las redes y sistemas de información.
Al tratarse de un reglamento (no de una directiva), es Derecho de la UE directamente vinculante. No requiere transposición nacional. Se aplica a los proveedores de DNS, los registros de TLD, los proveedores de servicios en la nube, los centros de datos, los proveedores de servicios gestionados y los demás sectores enumerados en su anexo.
§30(2)(1) BSIG (Alemania)
Políticas de análisis de riesgos y de seguridad de la tecnología de la información.
Alemania copia el texto de la UE casi palabra por palabra. El pequeño cambio ('seguridad de la tecnología de la información' en lugar de 'seguridad de los sistemas de información') es de redacción, no de significado.
Implante un marco de gestión de riesgos
Documente cómo identifica los riesgos, cómo los puntúa, qué hace con ellos y qué riesgos está dispuesto a asumir. Cubra todos los sistemas que importan para su negocio. Quien decida qué riesgos acepta tiene que firmarlo, con su nombre.
Compruebe que las personas realmente lo siguen
Revise con una cadencia regular si su equipo está haciendo lo que dice el marco. Si no es así, documente la brecha y corríjala. Un marco que nadie sigue no es un marco.
Consiga una mirada independiente
De vez en cuando, alguien que no opere el marco debería examinarlo. Independiente significa estructuralmente separado, no necesariamente externo. Su equipo de auditoría interna puede hacerlo. Un consultor contratado puede hacerlo. La cuestión es una mirada fresca.
Enfoque de todos los riesgos (artículo 21(2))
Los ciberataques no son lo único en la lista. Incendio, inundación, corte de suministro eléctrico, la marcha de una persona clave, la quiebra de un proveedor, todo cuenta. Si su registro de riesgos solo tiene malware y phishing, no ha cumplido el criterio.
Proporcionalidad (artículo 21(1), párrafo segundo)
Ajusta lo que hace al riesgo al que realmente se enfrenta. El texto establece que debe ser 'proporcionado al riesgo existente'. Seis factores entran en la decisión: lo expuesto que está, lo grande que es, la probabilidad de que se produzca un incidente, la gravedad que tendría (incluido el impacto económico y social más amplio), el estado de la técnica y lo que cuesta implantarlo. Un Stadtwerk de 60 personas no necesita gastar como un banco.
BSI / §30 BSIG
El BSI enumera las diez medidas del artículo 21(2) en sus Infopakete y las denomina 'al menos las diez medidas siguientes (véase el § 30(2) BSIG)'. La transposición alemana sigue de cerca la redacción de la directiva y apunta a IT-Grundschutz como vía práctica de implementación.
Guía Técnica de Implementación de ENISA
ENISA, la agencia de ciberseguridad de la UE, publica una Guía Técnica de Implementación (TIG) que toma el texto abstracto del CIR y le muestra qué hacer en la práctica. También correlaciona los requisitos con normas consolidadas como ISO/IEC 27001:2022 y NIST CSF 2.0, de modo que las certificaciones existentes le dan ventaja.
Leyes nacionales de transposición
Cada Estado miembro tiene su propia ley de transposición (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet). Las obligaciones son las mismas porque la directiva fija un único criterio para toda la UE. Lo que difiere: los plazos, los canales de notificación y con qué autoridad habla.
Tenemos un ciberseguro, así que estamos cubiertos.
El BSI es tajante: 'Por tanto, queda excluida una transferencia general del riesgo o una aceptación general del riesgo.' El seguro es algo que añade encima del tratamiento del riesgo, no un sustituto. Tampoco puede simplemente 'aceptar' todo riesgo que no quiera abordar. Ese argumento no sobrevivirá a una auditoría.
Podemos hacer el análisis de riesgos sin enumerar nuestros activos.
No puede. El §2.1 del CIR no funciona sin una lista escrita de lo que realmente tiene. Aplicaciones, sistemas, sedes, datos, proveedores. IT-Grundschutz le permite agrupar activos idénticos (45 portátiles de oficina cuentan como una entrada con una cantidad), de modo que la lista no tiene por qué ser enorme. Pero tiene que existir.
Decidimos qué aceptamos caso por caso.
Un auditor necesita ver los criterios que fijó antes del incidente, no después. Decida de antemano: en qué umbral acepta un riesgo, en qué umbral lo corrige, en qué umbral lo transfiere (por ejemplo, mediante un seguro). Esos criterios pertenecen al marco, no a un correo a posteriori.
El artículo 21(1) le da margen con la cláusula de proporcionalidad: lo que hace debe ajustarse a su tamaño, a su exposición al riesgo y a lo que cuesta. La propia directiva no espera que lo haga todo con la máxima profundidad desde el primer día.
Lo que vemos hacer a los profesionales en el Mittelstand alemán: primero una evaluación de brechas, luego las doce a quince medidas más urgentes dentro del primer año, y después el resto repartido a lo largo del siguiente año o dos. Eso se sostiene bajo el artículo 21(1) siempre que el escalonamiento esté documentado, justificado por su panorama de riesgos y aprobado por el órgano de dirección. No se sostendrá si el escalonamiento no está documentado o si omitió los riesgos más altos.
Hemos integrado en la plataforma el marco del §2 del CIR como un módulo. Registra los riesgos frente a los activos, puntúa la probabilidad y el impacto, encamina cada uno hacia un plan de tratamiento y recoge los criterios de aceptación con una aprobación firmada. Sin pilas de hojas de cálculo. Sin una segunda herramienta.
La parte de seguimiento del §2.2 surge del uso de la plataforma: aprobaciones, estado de las tareas, registro de auditoría. No mantiene un registro de cumplimiento separado. La revisión independiente del §2.3 puede ejecutarse internamente (un compañero que no esté en la cadena) o externamente (un auditor contratado). En cualquier caso, les damos la vista de solo lectura que necesitan.
- Directiva (UE) 2022/2555 (NIS2), artículo 21 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), anexo §1 y §2 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §30 en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- Infopakete del BSI 'NIS 2 Pflichten' — bsi.bund.de/dok/nis-2-infopakete
- Guía Técnica de Implementación de ENISA para el CIR (UE) 2024/2690 (a fecha de mayo de 2026)