Anhang I Sektor 8 NIS 2

¿Soy un proveedor de computación en la nube bajo NIS 2?

NIS 2 incluye los servicios de computación en la nube en el sector 8 del Anexo I (Infraestructura digital). El Artículo 6(30) fija la definición jurídica que abarca IaaS, PaaS y SaaS. El Artículo 2(1) aplica después la prueba de tamaño habitual de mediana empresa. El CIR (UE) 2024/2690 sitúa a los proveedores de la nube en su Anexo, lo que significa que partes de ese Reglamento le vinculan directamente en toda la UE.

Simon OrzelSimon Orzel·

La versión corta

Si presta un servicio de computación en la nube a clientes, está en el ámbito de NIS 2 en cuanto cruza el umbral de tamaño de mediana empresa. El sector 8 del Anexo I nombra directamente a los proveedores de servicios de computación en la nube dentro de Infraestructura digital. La definición del Artículo 6(30) es amplia: IaaS, PaaS, SaaS, nube pública, nube privada vendida como servicio, ofertas híbridas, todas cuentan.

A diferencia de las telecomunicaciones o el DNS, los proveedores de la nube no están en la lista de 'con independencia del tamaño' del Artículo 2(2). Se aplica la prueba normal del Artículo 2(1): mediana empresa según la Recomendación 2003/361/CE significa 50 empleados o más, o un volumen de negocio anual superior a 10 millones EUR. Cruce cualquiera de los dos umbrales y entra en el ámbito. Permanezca por debajo de ambos y normalmente está fuera, con las excepciones limitadas de los Artículos 2(2) y (3) que no se aplican a la nube como tal.

Alemania incorpora esto al Derecho nacional a través del §28 BSIG. El BSI es su autoridad. Por encima de la Directiva, el Reglamento de Ejecución (UE) 2024/2690 de la Comisión enumera a los proveedores de la nube en su Anexo, de modo que sus requisitos técnicos y metodológicos le vinculan directamente sin necesidad de más Derecho alemán. Esta página recorre la Directiva, la definición de la UE y la transposición alemana en ese orden.

La fuente jurídica
Tres capas apiladas una sobre otra. La Directiva nombra la nube como sector. El Artículo 6(30) define qué es un servicio de computación en la nube. El Reglamento de Ejecución enumera a los proveedores de la nube en su Anexo y los vincula directamente. El §28 BSIG transpone los deberes al Derecho alemán.

Directiva NIS 2 (2022/2555), Anexo I Sector 8 y Art. 6(30)

Sector 8 Infraestructura digital: proveedores de servicios de computación en la nube. Por 'servicio de computación en la nube' se entiende un servicio digital que permite la administración a demanda y el amplio acceso remoto a un conjunto escalable y elástico de recursos informáticos compartibles, incluso cuando dichos recursos estén distribuidos en varias ubicaciones.

Hay que leer juntos dos pasajes. El sector 8 del Anexo I nombra a los proveedores de servicios de computación en la nube como infraestructura esencial. El Artículo 6(30) define qué cuenta como servicio de computación en la nube. La redacción es neutra desde el punto de vista tecnológico y abarca IaaS, PaaS y SaaS. No existe ningún otro reglamento de la UE que redefina este término, de modo que rige la propia definición de la Directiva.

Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo

El presente Reglamento se aplica a las entidades a que se refiere el Artículo 3 de la Directiva (UE) 2022/2555 enumeradas en el Anexo del presente Reglamento, a saber: proveedores de servicios de DNS, registros de nombres de dominio de primer nivel, proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, proveedores de redes de distribución de contenidos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, y prestadores de servicios de confianza.

El CIR (UE) 2024/2690 enumera a los proveedores de servicios de computación en la nube en su Anexo. Este es el truco jurídico que importa: un Reglamento es directamente aplicable, sin necesidad de transposición nacional. El CIR establece el marco detallado de gestión de riesgos (§2), los requisitos de gestión de incidentes, seguridad de la cadena de suministro, tratamiento de vulnerabilidades y los umbrales de 'incidente significativo' para estos sectores. Los proveedores de la nube tratan, por tanto, con una capa de Directiva (transpuesta en el BSIG) más una capa de Reglamento que les vincula con la misma redacción en todos los Estados miembros.

§28 BSIG, Alemania

Anbieter von Cloud-Computing-Diensten gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes, sofern sie die Schwellenwerte für mittlere Unternehmen nach Empfehlung 2003/361/EG erreichen.

Alemania transpone los deberes de la nube a través del §28 BSIG. El BSI es la autoridad central de NIS 2 para el registro, el marco de gestión de riesgos y la notificación de incidentes. Los proveedores de la nube por encima del umbral de tamaño se clasifican como 'besonders wichtige Einrichtungen' (entidades esenciales). Por debajo del umbral, los deberes no se aplican salvo que se active una de las limitadas inclusiones de los Artículos 2(2) o (3). La nube como tal no está en esas listas.

Tres pruebas que recorrer
Tres pruebas breves deciden si está en el ámbito. Una es sobre lo que hace. Una es sobre el umbral de tamaño. La tercera cierra la cuestión de qué capas jurídicas le vinculan.
Prueba A

¿Presta un servicio de computación en la nube?

Aplique la definición del Artículo 6(30). El servicio debe ser digital, a demanda, ampliamente accesible de forma remota, y ejecutarse sobre un conjunto escalable y elástico de recursos compartibles. IaaS (cómputo, almacenamiento, red), PaaS (entornos de ejecución gestionados, bases de datos como servicio) y SaaS (aplicaciones de negocio multiinquilino vendidas por la red) cumplen todos la definición. Una aplicación alojada de un solo inquilino vendida como servicio normalmente también, porque el conjunto de recursos subyacente se comparte a nivel del proveedor.

Prueba B

¿Cruza el umbral de tamaño?

Los proveedores de la nube siguen la prueba normal del Artículo 2(1). Según la Recomendación 2003/361/CE, mediana empresa empieza en 50 empleados o un volumen de negocio anual superior a 10 millones EUR (con un balance anual total superior a 10 millones EUR como alternativa). Con 250 empleados o un volumen de negocio superior a 50 millones EUR pasa a ser una gran empresa y se clasifica como 'esencial'. Por debajo de 50 empleados y con un volumen de negocio inferior a 10 millones EUR, normalmente está fuera del ámbito como proveedor de la nube.

Prueba C

El CIR le vincula directamente

Una vez que está en el ámbito, se apilan dos capas. El BSIG (en Alemania) transpone la Directiva. El CIR (UE) 2024/2690 le enumera en su Anexo y le vincula directamente. Eso significa que el marco de gestión de riesgos del §2 CIR, las reglas de cadena de suministro del §6 y los umbrales de significatividad de incidentes se aplican con la misma redacción en todos los Estados miembros. No hay una variante nacional del CIR que consultar.

Dos reglas que dan forma a la prueba de ámbito
Dos reglas interpretativas subyacen a la cuestión del ámbito de la nube. Equivóquese en cualquiera de las dos y llegará a la respuesta equivocada.

Las tres capas de servicio cuentan

El Artículo 6(30) es neutro respecto a la capa. IaaS, PaaS y SaaS satisfacen todos la definición porque las tres descansan sobre un conjunto de recursos compartido escalable y elástico. Un error frecuente es asumir que 'nube' significa solo IaaS de hiperescaladores. El texto alcanza a un proveedor alemán de SaaS que vende una herramienta de RR. HH. multiinquilino igual que alcanza a AWS, Azure y GCP. El umbral de tamaño filtra después quién tiene realmente deberes.

Elástico y compartible es la línea

Si el conjunto de recursos no es escalable y elástico, o no es compartible, el servicio no es un servicio de computación en la nube bajo el Artículo 6(30). Un servidor dedicado de un solo cliente con capacidad fija que usted opera por cuenta del cliente es alojamiento, no nube. Una jaula de centro de datos dedicada a un cliente es colocation, no nube. Ambos pueden seguir situándose bajo otras filas del sector 8 del Anexo I (servicio de centro de datos, servicio gestionado), pero no bajo la fila de la nube. La definición hace el filtrado.

Cómo aplican esto en realidad los reguladores nacionales
La UE fija el deber, los Estados miembros transponen. Para la nube, una segunda capa vincula directamente a través del CIR. La mayoría de los proveedores de la nube tratan con el equivalente del BSI y leen el mismo texto del CIR en cada mercado que sirven.
Alemania

BSI / §28 BSIG

El BSI es la autoridad central de NIS 2. El registro, el marco de gestión de riesgos, el calendario de notificación de incidentes (alerta temprana a las 24 h, notificación a las 72 h, informe final a 1 mes) discurren todos a través del BSI. El §28 BSIG clasifica a los proveedores de la nube en el ámbito como 'besonders wichtige Einrichtungen'. Una vez que cruza el umbral de tamaño, se registra ante el BSI.

Alemania

BSI C5 (referencia operativa)

C5 es el catálogo de seguridad en la nube del BSI. No es una obligación de NIS 2, pero en la práctica muchos clientes alemanes de la nube piden una atestación C5 tipo 2 en sus contratos. El conjunto de controles se solapa considerablemente con el marco de gestión de riesgos del §2 CIR, de modo que los proveedores que ya tienen una atestación C5 pueden reutilizar la mayor parte de la evidencia para su documentación de gestión de riesgos de NIS 2.

A escala de la UE

ENISA / Anexo del CIR

ENISA, la agencia de ciberseguridad de la UE, publica Technical Implementation Guidance para el CIR. Como los proveedores de la nube están enumerados en el Anexo del CIR, esa guía es la referencia del día a día para la gestión de riesgos del §2, las expectativas de cadena de suministro y el modelo de umbral de 'incidente significativo'. El texto es idéntico en toda la UE, de modo que un proveedor de la nube que sirve a DE, NL, FR e IT aplica la misma redacción del CIR en cada mercado.

Otros Estados miembros

Autoridades nacionales de ciberseguridad

Cada Estado miembro tiene su propia autoridad de NIS 2 que gestiona la capa de registro y supervisión: RDI en los Países Bajos, ANSSI en Francia, ACN en Italia, INCIBE en España. Los deberes de la Directiva se transponen localmente, el CIR vincula con la misma redacción en todas partes. Para un proveedor de la nube que vende por toda la UE, los registros son nacionales, el marco de gestión de riesgos es un único documento utilizado en todas partes.

Tres trampas que vemos en las llamadas de delimitación de la nube
Tres supuestos que llevan a los proveedores de la nube a la respuesta equivocada. Los tres provienen de leer el sector 8 del Anexo I sin leer la definición del Artículo 6(30).

  • Alquilamos servidores dedicados, así que somos un proveedor de la nube bajo NIS 2.

    Normalmente no, en la fila de la nube. El Artículo 6(30) exige un conjunto escalable y elástico de recursos compartibles. Un servidor bare-metal alquilado a un solo cliente con capacidad fija es alojamiento. Puede situarle bajo la fila de servicio de centro de datos del sector 8 del Anexo I (definición distinta, mismo sector), o bajo proveedor de servicios gestionados si además lo opera para el cliente, pero no bajo servicio de computación en la nube. Lea las definiciones, no la etiqueta de marketing de su propia lista de precios.

  • Somos un SaaS pequeño, así que las reglas de la nube no se nos aplican.

    La prueba jurídica tiene dos partes. Primero el Artículo 6(30): un SaaS multiinquilino vendido por la red sobre una infraestructura compartida cumple la definición. Segundo el Artículo 2(1): el umbral de tamaño. Si tiene menos de 50 empleados y menos de 10 millones EUR de volumen de negocio, está fuera del ámbito en la fila de la nube. Si cruza cualquiera de los dos, está dentro. 'De nicho' no es una categoría jurídica. Las cifras y la definición hacen el trabajo.

  • Operamos una nube privada para nuestro propio grupo, así que somos un proveedor de la nube en el ámbito.

    Normalmente no. El servicio del Artículo 6(30) tiene que prestarse a clientes. Una nube privada puramente interna que sirve solo a su propia organización no es un servicio en el sentido regulatorio, de modo que no cuenta para la fila de la nube. Puede seguir estando en el ámbito de NIS 2 por el sector en el que opera su grupo (energía, salud, transporte, fabricación), pero no como proveedor de servicios de computación en la nube sobre la base de una plataforma interna.

Cómo recorre esto en realidad un pequeño proveedor de la nube

Un proveedor alemán de SaaS de 60 personas con un producto multiinquilino y 12 millones EUR de volumen de negocio anual está en el ámbito de NIS 2 en la fila de la nube. El sector 8 del Anexo I nombra a los proveedores de servicios de computación en la nube; el Artículo 6(30) se cumple porque el conjunto de recursos es compartido, elástico y accesible de forma remota; el Artículo 2(1) se cumple porque la empresa es mediana. El §28 BSIG la clasifica como 'besonders wichtige Einrichtungen'. El Anexo del CIR la sitúa bajo el marco de gestión de riesgos del §2, directamente vinculante. Nada de esto es discrecional.

Lo que vemos en la práctica: el proveedor redacta un marco de gestión de riesgos del §2 CIR frente a su stack de producción (aplicación, entorno de ejecución, capa de datos, identidad, cuentas de la nube de apoyo), mapea los temas del Artículo 21(2) sobre el marco y usa la proporcionalidad del Artículo 21(1) para escalar la profundidad a una operación de 60 personas. La detección de incidentes, la cadencia de notificación de 24 h / 72 h / 1 mes y los deberes de cadena de suministro del §6 CIR descansan todos sobre la misma lista de activos. Una atestación C5 tipo 2, si el proveedor la tiene, cubre una gran parte de la evidencia del §2 y se reutiliza como documentación, no se rehace.

Cómo le ayuda la plataforma a decidir

Nuestra comprobación de aplicabilidad recorre el Artículo 6(30) paso a paso. Pregunta qué presta, si el conjunto de recursos es compartido y elástico, y si el servicio se vende a clientes. El resultado le indica qué fila del Anexo I se aplica (nube, centro de datos, servicio gestionado, todas definiciones separadas), si el umbral de tamaño del Artículo 2(1) le alcanza, y qué categorías del Anexo del CIR le vinculan directamente además del BSIG.

El módulo de activos cubre el stack de producción en un único inventario: límites de inquilino, proveedores de identidad, almacenes de datos, cuentas de la nube de apoyo, encargados del tratamiento de terceros. El marco de gestión de riesgos del §2 CIR se ejecuta después frente a ese inventario, de modo que la misma lista de activos alimenta el registro ante el BSI, las evaluaciones de cadena de suministro del §6 CIR y la evidencia de la atestación C5 sin doble mantenimiento.

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), Anexo I Sector 8 y definición de servicio de computación en la nube del Artículo 6(30) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Directiva (UE) 2022/2555 (NIS 2), Artículo 2(1) ámbito por tamaño y sector; Artículo 2(2) inclusiones con independencia del tamaño — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas — eur-lex.europa.eu/eli/reco/2003/361/oj
  • Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo (enumera a los proveedores de servicios de computación en la nube entre las entidades directamente vinculadas) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Ley del BSI (BSIG), §28 en su versión modificada por la NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
  • BSI C5 (Cloud Computing Compliance Criteria Catalogue), edición vigente — bsi.bund.de
Compruebe su ámbito en la nube en tres minutos
La comprobación de aplicabilidad gratuita recorre el Artículo 6(30), el Artículo 2(1) y el Anexo del CIR por usted. Gratis, código abierto, sin lock-in.
Abrir la comprobación de aplicabilidad gratuita