Ciberseguro bajo NIS 2
Un seguro puede pagar reclamaciones. No ejecuta las medidas técnicas y organizativas que exige el artículo 21 NIS 2.
Visión general
El ciberseguro y NIS 2 se sitúan en capas distintas. Una ciberpóliza es un contrato privado entre una entidad y una aseguradora que paga costes definidos tras un incidente. NIS 2 es derecho público: el artículo 21 expone las medidas técnicas y organizativas que las entidades esenciales e importantes tienen que implementar, el artículo 23 expone el deber de notificación, el artículo 27 expone el deber de registro. Ninguno de estos deberes se traslada a la aseguradora cuando se firma una póliza.
El BSI lo afirma directamente. Su paquete de información sobre NIS 2 describe la transferencia generalizada del riesgo mediante una póliza de seguro como no disponible bajo el régimen de gestión de riesgos de la directiva. El artículo 21(1) NIS 2 exige medidas adecuadas y proporcionadas, teniendo en cuenta el estado de la técnica y el coste de implementación. Una póliza firmada no es ni una medida ni un sustituto de una.
La pregunta práctica para un operador incluido en el ámbito del artículo 21 no es, por tanto, si tener ciberseguro, sino cómo interactúa la póliza con los controles subyacentes de NIS 2. La mayoría de las pólizas exigen que esos controles estén implementados como condición previa para la cobertura. Esos mismos controles son los que el BSI y los supervisores nacionales examinan durante una auditoría de NIS 2.
Artículo 21(1) NIS 2
Los Estados miembros velarán por que las entidades esenciales e importantes tomen medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que esas entidades utilizan en sus operaciones o en la prestación de sus servicios, así como para prevenir o reducir al mínimo las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios. Teniendo en cuenta el estado de la técnica y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de implementación, las medidas a que se refiere el párrafo primero garantizarán un nivel de seguridad de las redes y sistemas de información adecuado a los riesgos planteados.
Fuente: Directiva (UE) 2022/2555, artículo 21(1). Los puntos de referencia son el estado de la técnica, las normas pertinentes y el coste de implementación. El seguro no está en la lista.
CIR 2024/2690 Anexo, punto 2
La política sobre la seguridad de las redes y sistemas de información establecerá el enfoque de las entidades pertinentes para gestionar la seguridad de sus redes y sistemas de información. El marco de gestión de riesgos mencionado en el punto 2.1 identificará los riesgos para la seguridad de las redes y sistemas de información, y dispondrá su gestión.
Fuente: Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo. Los requisitos detallados de gestión de riesgos para las entidades de infraestructura digital se articulan en torno a un marco de gestión de riesgos con medidas, no en torno a la transferencia financiera del riesgo.
§30 BSIG (transposición alemana)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen zu vermeiden oder so gering wie möglich zu halten.
Fuente: §30 (1) BSIG. La transposición alemana refleja el artículo 21 NIS 2: medidas técnicas y organizativas por la propia entidad, sobre un estándar de proporcionalidad. El seguro no se nombra como uno de los medios.
Costes del incidente y responsabilidad frente a terceros
Los epígrafes de cobertura comunes incluyen los costes de respuesta a incidentes (forense, jurídico, comunicaciones), las pérdidas por interrupción del negocio vinculadas a un evento cibernético cubierto, los costes de restauración de datos y la responsabilidad frente a terceros por reclamaciones de clientes o interesados. Algunas pólizas se extienden a los pagos de rescate en las jurisdicciones donde esto es lícito, sujeto a un cribado de sanciones.
Multas, conocimiento previo, guerra e infraestructura
Las multas regulatorias son inasegurables en varias jurisdicciones de la UE por razones de orden público. Las exclusiones comunes también incluyen las vulnerabilidades conocidas no remediadas, los sistemas sin parchear por debajo de los niveles acordados contractualmente, los actos de guerra y los ataques patrocinados por estados (la redacción del mercado de Lloyd's está ampliamente adoptada), y las interrupciones de la infraestructura pública fuera del control de la entidad.
Condiciones previas y garantías
La mayoría de los aseguradores cibernéticos exigen que la entidad asegurada mantenga una línea base definida: autenticación multifactor, copia de seguridad, parcheo, formación de concienciación, plan de respuesta a incidentes. Estos son los mismos elementos cubiertos por el artículo 21(2) NIS 2 y el CIR. Una póliza puede caducar o pagar sumas reducidas si los controles de garantía no estaban implementados en el momento de la pérdida.
El deber del artículo 21 no es transferible
El artículo 21 se dirige a la entidad. Las medidas, la documentación y la supervisión del órgano de dirección conforme al artículo 20 residen dentro de la entidad. Un contrato de seguro es un arreglo financiero posterior a los hechos; no traslada la obligación legal de actuar antes de los hechos. El BSI describe esto en su paquete de información como una exclusión de la transferencia generalizada del riesgo.
La proporcionalidad decide las medidas, no la prima
El artículo 21(1) nombra tres puntos de referencia: el estado de la técnica, las normas pertinentes y el coste de implementación. La prueba de proporcionalidad se aplica a las propias medidas técnicas y organizativas. Una prima de seguro más alta no desplaza la evaluación de proporcionalidad; el operador sigue teniendo que demostrar que las medidas son adecuadas a los riesgos que la entidad realmente soporta.
BSI — Bundesamt für Sicherheit in der Informationstechnik
El paquete de información del BSI sobre la transposición de NIS 2 establece que el deber de gestión de riesgos no puede cumplirse transfiriendo el riesgo en su totalidad a una aseguradora. El lenguaje utilizado es que la transferencia generalizada del riesgo está excluida. La posición alinea al supervisor alemán con la estructura del artículo 21: se espera que una entidad implemente medidas, no que pague para evitarlas.
ENISA
La guía técnica de implementación de NIS 2 de ENISA se construye en torno a las medidas enumeradas en el artículo 21(2) y el anexo del CIR. La guía publicada de la agencia no trata el ciberseguro como una de las medidas; aparece, cuando lo hace, como parte de las opciones más amplias de tratamiento del riesgo de una entidad dentro de un marco de gestión de riesgos.
GDV — Gesamtverband der Deutschen Versicherungswirtschaft
La asociación alemana de seguros publica redacciones modelo del sector para la cobertura cibernética (AVB Cyber) y encuestas sobre el mercado. El material público de la asociación describe el ciberseguro como un elemento de un enfoque más amplio de gestión de riesgos y apunta a una línea base de controles técnicos como condición previa habitual de suscripción.
Mito: Una ciberpóliza transfiere la obligación de NIS 2 a la aseguradora.
Las obligaciones de NIS 2 conforme a los artículos 20, 21, 23 y 27 se dirigen a la entidad. La aseguradora es una contraparte de un contrato privado, no una entidad regulada que asume los deberes de NIS 2 del operador. El BSI describe la transferencia generalizada del riesgo como excluida bajo el régimen de la directiva.
Mito: Las multas regulatorias están cubiertas por la póliza.
Las multas regulatorias conforme al §65 BSIG (la transposición alemana de las sanciones administrativas de NIS 2 conforme a los artículos 34 y 36) se tratan ampliamente como inasegurables por razones de orden público en todas las jurisdicciones de la UE. Las redacciones estándar las excluyen. Los costes de defensa son una cuestión separada y a menudo están cubiertos sujetos a límites.
Mito: La prima está pagada, así que el pago es automático.
La suscripción cibernética está condicionada a las declaraciones de garantía sobre los controles de la entidad. Si los controles de garantía (autenticación multifactor, niveles de parcheo, régimen de copia de seguridad, plan de respuesta a incidentes) no estaban implementados en el momento de la pérdida, una aseguradora puede reducir o denegar el pago. Estos controles de garantía siguen las medidas del artículo 21(2) NIS 2.
Los corredores y los gestores de riesgos describen comúnmente el ciberseguro como una capa por encima de un programa de seguridad en funcionamiento, no como un sustituto de él. El orden que describen es: implementar primero las medidas del artículo 21, documentarlas, y luego acudir al mercado. Los aseguradores piden la misma documentación que pide una auditoría de NIS 2. Inventario de activos, registro de proveedores, línea base de parcheo, resultados de pruebas de copia de seguridad, plan de respuesta a incidentes, registros de formación de concienciación.
Desde la perspectiva de NIS 2, la pregunta pertinente para un operador es, por tanto, práctica. ¿Tiene la entidad evidencia de las medidas del artículo 21(2)? ¿Son las garantías contractuales de la ciberpóliza coherentes con la postura real del operador? Si las dos divergen, la laguna aparece dos veces: una con el supervisor en una auditoría de NIS 2, otra con la aseguradora en una reclamación.
NISD2 organiza la evidencia de la entidad en torno a las áreas de medidas del artículo 21(2) y el anexo del CIR. El inventario de activos, el registro de proveedores, el plan de tratamiento del riesgo, el plan de respuesta a incidentes, los registros de formación de concienciación y la firma de la dirección residen en un único registro de obligaciones. El mismo paquete de evidencia es el que examinan los aseguradores y los supervisores.
La plataforma no vende, intermedia ni recomienda productos de seguro. Documenta las medidas subyacentes de NIS 2 de modo que la cuestión de la cobertura se sitúe sobre una postura definida, no en lugar de una.
- Directiva (UE) 2022/2555 (NIS 2), artículo 21 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo — https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §30 y §65 — https://www.gesetze-im-internet.de/bsig_2009/
- BSI — NIS-2 Informationspakete und Hintergrund — https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/NIS-2/nis-2_node.html
- ENISA — NIS 2 Technical Implementation Guidance — https://www.enisa.europa.eu/publications
- GDV — Cyber-Versicherung und unverbindliche Musterbedingungen (AVB Cyber) — https://www.gdv.de/