Hoja de ruta de NIS2 para directores gerentes

Compruebe los umbrales (empleados, ingresos, sector) para confirmar si su entidad se clasifica como 'esencial' o 'importante'.

Base jurídica:

§28 BSIG

Responsable:

Director gerente

Esfuerzo:

2 minutos

Plazo:

ahora

Debe registrarse ante la autoridad de NIS2 de cada Estado miembro de la UE en el que opere: no solo Alemania. 'Operar en' significa establecimiento físico: su propia empresa, una sucursal, una oficina o sus propios empleados sobre el terreno en ese país. Las ventas transfronterizas por sí solas no cuentan. Ejemplo: una GmbH alemana con una oficina en Viena se registra ante el BSI (DE) y ante la NIS-Stelle (AT).

Base jurídica:

NIS2 Art. 27 · §33 BSIG (DE)

Responsable:

El responsable de TI presenta, el director gerente firma

Esfuerzo:

~1 hora por país + configuración de identidad nacional (p. ej. ELSTER en DE: 5–10 días laborables)

Plazo:

Se aplican plazos nacionales: DE: 06.03.2026 vencido; la obligación continúa

Lista completa de los sistemas, aplicaciones y datos de los que dependen sus operaciones: y de los riesgos frente a cada uno. Ambos son la base de toda demás obligación de NIS2 y lo primero que pide ver un auditor. En la plataforma NISD2, su responsable de TI y su CISO construyen y mantienen el inventario y el registro de riesgos, y el flujo de notificación de incidentes (24 h / 72 h / 1 mes conforme al §32 BSIG) queda integrado automáticamente.

Base jurídica:

§30(2) BSIG · NIS2 Art. 21(2)(a)

Responsable:

El responsable de TI elabora, el director gerente firma (§38(1) BSIG)

Esfuerzo:

~1 día la primera pasada · mantenido de forma continua, aprobado anualmente

Plazo:

T1

Inventario de sus proveedores directos, vinculado a su registro de activos (qué proveedor opera qué sistema). Gestión continua de riesgos de ciberseguridad: no un cuestionario puntual: postura de seguridad por proveedor, notificaciones de incidentes recibidas a través de su portal de proveedores, puntuación de riesgos. La plataforma incluye el cuestionario estándar anclado a NIS2 (código abierto, MIT + CC BY 4.0) y mantiene el inventario.

Base jurídica:

§30(2)(4) BSIG · NIS2 Art. 21(2)(d)

Responsable:

Compras / TI elabora, el director gerente firma

Esfuerzo:

~½ día la primera pasada · mantenido de forma continua

Plazo:

T1–T2

Las diez áreas de medidas conforme a NIS2 Art. 21: gestión de incidentes, continuidad del negocio (copias de seguridad, recuperación), formación, control de acceso, criptografía, gestión de vulnerabilidades y parches, seguridad de red, supervisión, contratos con proveedores, comunicaciones. La plataforma cubre las diez con plantillas, captura automática de pruebas y un registro de auditoría completo; usted aprueba el resumen anual.

Base jurídica:

§30(2) Nr. 1–10 BSIG · NIS2 Art. 21

Responsable:

El responsable de TI / CISO implementa, el director gerente aprueba anualmente

Esfuerzo:

continuo, junto al trabajo normal de TI

Plazo:

A partir del T2