El procedimiento sancionador de NIS 2 paso a paso
El artículo 34 NIS 2 fija el límite máximo. La Ordnungswidrigkeitengesetz alemana fija el procedimiento. El §65 BSIG los une.
Qué describe este artículo
NIS 2 obliga a los Estados miembros a prever sanciones administrativas contra las entidades que incumplan sus deberes de gestión de riesgos de ciberseguridad o de notificación. El artículo 34 NIS 2 fija los importes máximos y los criterios de cálculo. Cada Estado miembro encaja ese límite máximo en su propia ley de infracciones administrativas.
En Alemania, la Ley del BSI implementa el catálogo de sanciones en el §65 BSIG. Los raíles procesales se sitúan en la Ordnungswidrigkeitengesetz (OWiG): audiencia conforme al §55 OWiG, resolución sancionadora conforme al §41 OWiG, oposición en un plazo de dos semanas conforme al §67 OWiG. Las reglas sustantivas de cálculo del §17 OWiG operan junto a los factores específicos de NIS 2 del artículo 34(7).
Esta página describe cómo es el procedimiento visto desde fuera. No asesora sobre cómo responder. Una defensa concreta en un procedimiento del §65 BSIG requiere asesoramiento penal y regulatorio.
Capa de la UE: artículo 34 NIS 2
Los Estados miembros velarán por que las sanciones administrativas impuestas a entidades esenciales e importantes con arreglo al presente artículo respecto de las infracciones de la presente Directiva sean, en cada caso concreto, efectivas, proporcionadas y disuasorias.
El artículo 34(4) fija el máximo en 10 millones EUR o el 2 por ciento del volumen de negocios anual total mundial del ejercicio anterior para las entidades esenciales. El artículo 34(5) fija 7 millones EUR o el 1,4 por ciento para las entidades importantes, según cuál sea mayor en cada caso.
Capa nacional: §65 BSIG (Alemania)
Eine Ordnungswidrigkeit kann bei einer besonders wichtigen Einrichtung mit einer Geldbuße bis zu zehn Millionen Euro oder bis zu zwei Prozent des im vorangegangenen Geschäftsjahr weltweit erzielten Gesamtumsatzes des Unternehmens, dem die Einrichtung angehört, geahndet werden, je nachdem, welcher Betrag höher ist. Bei einer wichtigen Einrichtung beträgt die Geldbuße bis zu sieben Millionen Euro oder bis zu 1,4 Prozent des Gesamtumsatzes.
El §65 BSIG refleja el límite máximo del artículo 34 NIS 2. La lista de conductas sancionables del §65(1) BSIG cubre, entre otras, los incumplimientos de las medidas de gestión de riesgos del §30 BSIG, la notificación de incidentes omitida del §32 BSIG y el registro omitido del §33 BSIG.
Código procesal: OWiG
Vor Erlass eines Bußgeldbescheids ist dem Betroffenen Gelegenheit zu geben, sich zu der Beschuldigung zu äußern. (§55 OWiG)
La OWiG rige el procedimiento. El §55 OWiG exige una audiencia antes de la resolución sancionadora. El §41 OWiG especifica la forma del Bußgeldbescheid. El §67 OWiG concede al destinatario dos semanas desde la notificación para presentar un Einspruch. El §17 OWiG rige el cálculo sustantivo, aplicado junto con los criterios del artículo 34(7) NIS 2.
Inicio
Un procedimiento del §65 BSIG suele empezar después de que la autoridad de control constate un hecho desencadenante: incumplimiento de las medidas de ciberseguridad del §30 BSIG descubierto en una auditoría o autoinforme, una notificación de incidente del §32 BSIG omitida o tardía (alerta temprana en 24 horas, seguimiento en 72 horas, informe final en un mes), o un registro del §33 BSIG omitido. La autoridad abre un Ordnungswidrigkeitenverfahren y notifica a la entidad.
Anhörungsschreiben
Antes de que pueda dictarse cualquier resolución sancionadora, la autoridad envía un Anhörungsschreiben en el que enumera la conducta imputada, la base jurídica conforme al §65 BSIG y un plazo para alegar. El escrito de audiencia es procesal, no un veredicto. El silencio no detiene el procedimiento. El marco del §65 BSIG prevé que el asunto se resuelva con arreglo al expediente si la entidad no responde.
Bußgeldbescheid
Si la autoridad concluye que la infracción está acreditada, dicta un Bußgeldbescheid conforme al §41 OWiG. El importe se calcula frente a los criterios del artículo 34(7) NIS 2 (gravedad, duración, dolo o negligencia, infracciones previas, beneficio económico, cooperación, medidas previas) junto con el §17 OWiG. La resolución lleva una instrucción del §67 OWiG: dos semanas para presentar un Einspruch.
Efectivas, proporcionadas, disuasorias
El artículo 34(1) NIS 2 vincula a la autoridad a la proporcionalidad. El límite máximo de 10 millones EUR o el 2 por ciento es un máximo, no una tarifa. El §17 OWiG exige a la autoridad ponderar la importancia de la infracción y las circunstancias económicas de la entidad. En la práctica, el cálculo se mueve en ambos sentidos: al alza por gravedad y reincidencia, a la baja por cooperación genuina y medidas previas demostrables.
La cooperación es un factor de cálculo
El artículo 34(7)(f) NIS 2 enumera el grado de cooperación con las autoridades competentes como factor atenuante. La revelación voluntaria de la infracción, la prueba de medidas correctoras y el pleno acceso al expediente cuentan todos en el cálculo. Las medidas previas de la entidad conforme al §30 BSIG (artículo 34(7)(d) NIS 2) se leen frente a la misma referencia.
Bundesamt für Sicherheit in der Informationstechnik
El BSI es la autoridad de control competente para la mayoría de los sectores de NIS 2 en Alemania conforme al §1 BSIG. Abre y dirige el procedimiento sancionador del §65 BSIG. Los operadores de instalaciones críticas (KRITIS) quedan bajo la misma autoridad. Los Bußgeldbescheide y la correspondencia de Einspruch pasan por el BSI.
ENISA y el Grupo de Cooperación
ENISA no impone sanciones. Elabora orientaciones y coordina el Grupo de Cooperación de NIS conforme al artículo 14 NIS 2. Los productos de ENISA (taxonomía de incidentes, orientación sectorial) informan qué cuenta como estado de la técnica conforme al artículo 21(2) NIS 2 y, por tanto, alimentan el cálculo del artículo 34(7).
Supervisores sectoriales
Para finanzas, energía, transporte y salud, los reguladores sectoriales conservan un papel paralelo conforme al §61 BSIG y a la ley sectorial específica. El límite máximo del §65 BSIG sigue aplicándose. Cuando DORA cubre a una entidad financiera, el propio régimen sancionador de DORA tiene precedencia sobre las medidas de ciberseguridad, pero el deber de registro del artículo 27 NIS 2 sigue rigiendo.
El límite del 2 por ciento se calcula sobre el volumen de negocios de la entidad alemana.
El artículo 34(4) NIS 2 y el §65 BSIG calculan el porcentaje sobre el volumen de negocios anual total mundial de la empresa a la que pertenece la entidad en el ejercicio anterior. Para filiales dentro de un grupo más grande, esto puede elevar el límite máximo en órdenes de magnitud por encima de los ingresos locales.
Si ignoramos la Anhörung, el asunto desaparece.
El §55 OWiG solo exige a la autoridad dar a la entidad una oportunidad de alegar. No exige una respuesta. El marco del §65 BSIG prevé que el asunto avance hacia un Bußgeldbescheid con arreglo al expediente si no llega ninguna alegación. El código procesal no se ralentiza ante el silencio.
La revelación total de cada detalle operativo minimizará la sanción.
El artículo 34(7)(f) NIS 2 recompensa la cooperación con la autoridad competente. No exige que la entidad construya el caso de la autoridad por ella. La línea entre cooperación y autoinculpación es el punto en el que interviene la asesoría jurídica. Las admisiones procesales hechas sin asesoramiento son difíciles de retractar.
El plazo de dos semanas de Einspruch del §67 OWiG corre desde la notificación del Bußgeldbescheid. Es un plazo legal, no negociable. Incumplirlo hace firme la resolución conforme al §66 OWiG, tras lo cual solo quedan vías de restitución estrechas. El escrito de audiencia del §55 OWiG no lleva un plazo equivalente propio, pero la autoridad fija uno en el escrito.
Una defensa concreta en un procedimiento del §65 BSIG requiere asesoramiento penal y regulatorio. Este artículo describe el procedimiento y los anclajes jurídicos. No aborda cómo responder a un escrito de audiencia o una resolución sancionadora concretos. Todo lo que toque la sustancia de la gestión de riesgos de la entidad (§30 BSIG), su historial de notificación (§32 BSIG) o sus medidas previas conforme al artículo 21 NIS 2 debería discutirse con asesoramiento antes de salir de la entidad.
Un procedimiento del §65 BSIG se resuelve con arreglo al expediente. El cálculo del artículo 34(7) NIS 2 recompensa las medidas previas, la cooperación y un historial documentado. Ese historial se construye antes de que llegue cualquier escrito: quién aprobó qué control, cuándo se notificó un incidente, qué evidencia respaldaba las medidas de gestión de riesgos del §30 BSIG.
La plataforma registra ese historial de forma continua. Las firmas, los rastros de asignación, las notificaciones de incidentes y las aprobaciones de políticas llevan marcas de tiempo e identidades. Nada de eso decide un procedimiento. Todo ello es el tipo de expediente que el cálculo del §17 OWiG y del artículo 34(7) NIS 2 examina.
- Directiva (UE) 2022/2555 (NIS 2), artículo 34: Condiciones generales para la imposición de sanciones administrativas a entidades esenciales e importantes.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §65: Bußgeldvorschriften.
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §30 (Risikomanagement), §32 (Meldepflichten), §33 (Registrierung).
- Gesetz über Ordnungswidrigkeiten (OWiG), §17 (Bemessung), §41 (Bußgeldbescheid), §55 (Anhörung), §66 (Rechtskraft), §67 (Einspruch).
- ENISA, productos del Grupo de Cooperación de NIS 2 y guía técnica de implementación.