¿Soy un proveedor de centros de datos conforme a NIS2?
NIS2 enumera los servicios de centros de datos en el sector 8 del Anexo I (Infraestructura Digital). El artículo 6(31) define el servicio de modo que incluye la energía y la refrigeración. La prueba estándar del tamaño del artículo 2(1) y de la Recomendación 2003/361/CE decide entonces si las obligaciones se aplican. Alemania transpone mediante el §28 BSIG. La KRITIS-V (carga de TI de 3,5 MW) es una capa nacional separada, no el punto de entrada a NIS2.
La versión breve
Si vende un servicio de centro de datos a terceros, está dentro del ámbito de aplicación en cuanto cumple el umbral estándar de tamaño de NIS2. El sector 8 del Anexo I nombra directamente a los proveedores de servicios de centros de datos bajo Infraestructura Digital. El artículo 6(31) le indica qué cuenta como servicio: el conjunto de TI y red más la distribución de energía de soporte y el control ambiental. El tejado, el SAI, las enfriadoras y el generador diésel forman parte del servicio, no son algo adyacente a él.
La prueba del tamaño es la estándar de NIS2. El artículo 2(1) de la Directiva vincula el ámbito de aplicación a la Recomendación 2003/361/CE: las entidades medianas (50 o más empleados, o volumen de negocios anual y balance superiores a 10 millones de euros) quedan sujetas al régimen, y las entidades grandes son «esenciales» en lugar de «importantes». No hay una incorporación con independencia del tamaño para los centros de datos, a diferencia de las telecomunicaciones o el DNS.
Alemania transpone mediante el §28 BSIG. El umbral de la KRITIS-Verordnung (carga de TI de 3,5 MW) es una capa alemana separada que decide si el mismo centro de datos es además KRITIS, con obligaciones adicionales. No decide si NIS2 es aplicable. La CIR (UE) 2024/2690 enumera a los proveedores de servicios de centros de datos en su Anexo, de modo que partes del reglamento de ejecución vinculan directamente a los centros de datos sin más transposición nacional.
Directiva NIS2 (2022/2555), Anexo I Sector 8 y Artículo 6(31)
«servicio de centro de datos» significa un servicio que abarca estructuras, o grupos de estructuras, dedicadas al alojamiento, la interconexión y la operación centralizados de equipos de tecnología de la información y de red que prestan servicios de almacenamiento, procesamiento y transporte de datos, junto con todas las instalaciones e infraestructuras para la distribución de energía y el control ambiental.
Dos cosas que hay que leer juntas. El sector 8 del Anexo I nombra a los proveedores de servicios de centros de datos como Infraestructura Digital. El artículo 6(31) le indica que el servicio no es solo los racks de TI. La distribución de energía y el control ambiental forman parte de la definición legal. Eso es lo que fija las instalaciones del edificio (SAI, generadores, refrigeración, extinción de incendios) dentro del marco de gestión de riesgos de NIS2.
Reglamento de Ejecución (UE) 2024/2690 de la Comisión, Anexo
El presente Reglamento establece los requisitos técnicos y metodológicos de las medidas a que se refiere el artículo 21(2) de la Directiva (UE) 2022/2555 en lo que respecta a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel (TLD), los proveedores de servicios de computación en nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los proveedores de mercados en línea, de motores de búsqueda en línea y de plataformas de servicios de redes sociales, y los prestadores de servicios de confianza.
Los proveedores de servicios de centros de datos están enumerados por su nombre en el Anexo de la CIR. Eso significa que los requisitos técnicos de gestión de riesgos de la CIR (gestión de activos, control de acceso, criptografía, cadena de suministro, gestión de incidentes) vinculan directamente a los centros de datos. La transposición nacional no es necesaria para la capa de la CIR. La capa de la Directiva sigue necesitando el §28 BSIG para surtir efecto en Alemania.
§28 BSIG (Alemania) y la KRITIS-Verordnung
Anbieter von Rechenzentrumsdiensten gelten ab dem Schwellenwert für mittlere Unternehmen als wichtige Einrichtungen, ab dem Schwellenwert für große Unternehmen als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
El §28 BSIG transpone las obligaciones de NIS2 para los centros de datos. La prueba del tamaño del artículo 2(1) (50 empleados / 10 millones de euros de volumen de negocios) decide si la entidad es «wichtig» o «besonders wichtig». La KRITIS-Verordnung es una capa alemana separada con su propio umbral de carga de TI de 3,5 MW para los centros de datos. KRITIS añade obligaciones por encima; no es la condición de entrada a NIS2. Un operador de colocación de 25 MW está en ambos regímenes. Un emplazamiento de colocación con 200 empleados y una carga de TI de 1 MW está dentro del ámbito de aplicación de NIS2 pero no de KRITIS.
¿Vende un servicio de centro de datos?
El artículo 6(31) es la prueba. Usted proporciona estructuras dedicadas al alojamiento, la interconexión y la operación centralizados de equipos de TI y de red, junto con la infraestructura de energía y control ambiental. La colocación, el alojamiento y las salas dedicadas cumplen todos. La carga de TI y las instalaciones del edificio son un solo servicio en derecho.
¿Está por encima del umbral de tamaño?
El artículo 2(1) NIS2 remite a la Recomendación 2003/361/CE. Las entidades medianas (50 o más empleados, o volumen de negocios anual y total de balance superiores a 10 millones de euros) quedan sujetas al régimen como «importantes». Las entidades grandes (más de 250 empleados o volumen de negocios superior a 50 millones de euros) quedan sujetas a él como «esenciales». No hay una incorporación con independencia del tamaño para los centros de datos.
¿Se aplica la capa alemana KRITIS?
La KRITIS-V fija un umbral de carga de TI de 3,5 MW para los centros de datos en Alemania. Superarlo hace que el emplazamiento sea KRITIS además de NIS2, con obligaciones adicionales (ciclo de auditoría, normas mínimas sectoriales específicas). KRITIS no es la condición de entrada a NIS2. Un operador de colocación de 1 MW con 200 empleados está dentro de NIS2 pero fuera de KRITIS.
La colocación, el alojamiento y el dedicado cumplen todos
La definición del artículo 6(31) no distingue entre modelos de prestación. Tanto si alquila racks (colocación), como si alquila servidores (alojamiento gestionado) o si opera una instalación de un solo inquilino para un cliente de pago, el servicio es el mismo en derecho: alojamiento centralizado de equipos de TI y de red, más la energía y el control ambiental de soporte. Las obligaciones se vinculan al servicio, no al envoltorio comercial.
Los centros de datos internos no son un servicio de centro de datos
Si opera un centro de datos puramente para su propio grupo, no está prestando un servicio de centro de datos en el sentido de NIS2. No hay servicio a un tercero. La instalación puede aún alimentar otra vía de delimitación del ámbito de aplicación (su grupo puede estar dentro del ámbito de aplicación por un sector distinto con sus propios activos), pero no le captura conforme al sector 8 del Anexo I como proveedor de centro de datos. La prueba depende de si el servicio se vende.
BSI / §28 BSIG
El BSI es la autoridad central de NIS2. El registro, el marco de gestión de riesgos y la notificación de incidentes conforme a NIS2 pasan todos por el BSI. El §28 BSIG nombra a los proveedores de servicios de centros de datos por encima del umbral de mediana empresa como «wichtige Einrichtungen» y por encima del umbral de gran empresa como «besonders wichtige Einrichtungen».
BSI C5 e IT-Grundschutz
El BSI también es titular de las referencias relevantes para el sector. El catálogo C5 (Cloud Computing Compliance Criteria) cubre la parte de nube y alojamiento. Los módulos de IT-Grundschutz INF.1 (edificio general) e INF.2 (centro de cómputo / sala de servidores) son la referencia de implementación alemana para los controles físicos y ambientales que el artículo 6(31) integra en el servicio. Los auditores esperan verlos mapeados en su marco de la CIR.
ENISA
ENISA, la agencia de ciberseguridad de la UE, coordina entre los Estados miembros y publica la Technical Implementation Guidance conforme a la CIR (UE) 2024/2690. Los proveedores de servicios de centros de datos están enumerados por su nombre en el Anexo de la CIR, lo que significa que partes del reglamento de ejecución son directamente vinculantes para los centros de datos sin necesidad de más transposición nacional.
Autoridades nacionales de ciberseguridad
Cada Estado miembro tiene su propia autoridad de NIS2: NCSC-NL en los Países Bajos, ANSSI en Francia, NCSC.AT en Austria, ACN en Italia. La fila del sector 8 del Anexo I y la definición del artículo 6(31) son las mismas en toda la UE porque la Directiva fija un único suelo. Lo que difiere: ante quién se registra, qué formulario de incidentes utiliza, y si el país superpone un régimen nacional de infraestructuras críticas por encima (Alemania tiene la KRITIS-V, otros usan umbrales distintos).
Operamos una sala de servidores para nuestra propia empresa, así que somos un proveedor de centro de datos.
No por la vía del centro de datos. El artículo 6(31) describe un servicio. Si el conjunto de TI se opera solo para su propio grupo y no se vende a terceros, no está prestando un servicio de centro de datos en el sentido de NIS2. Su grupo puede aún estar dentro del ámbito de aplicación de NIS2 a través de su propio sector (fabricación, energía, residuos, salud, etc.), pero la fila del sector 8 del Anexo I de centro de datos no captura la sala interna.
Estamos muy por debajo del umbral KRITIS de 3,5 MW, así que NIS2 no se aplica.
La KRITIS-V y NIS2 son dos regímenes con dos umbrales. El umbral de carga de TI de 3,5 MW es la capa alemana KRITIS. NIS2 tiene su propia prueba del tamaño del artículo 2(1): mediana en cuanto cruza los 50 empleados o los 10 millones de euros de volumen de negocios y total de balance. Un operador de colocación con 200 empleados y una carga de TI de 1 MW está dentro del ámbito de aplicación de NIS2 pero no de KRITIS. El resultado de quedar fuera de KRITIS no es un resultado de quedar fuera de NIS2.
Solo hacemos colocación, el cliente es dueño de los servidores, así que no estamos prestando un servicio de centro de datos.
La colocación es uno de los modelos de prestación de manual para el servicio del artículo 6(31). La definición cubre estructuras dedicadas al alojamiento centralizado de equipos de TI y de red más la energía y el control ambiental. No exige que los racks le pertenezcan. Vender espacio de rack, energía y refrigeración es el servicio. El argumento de que el servidor es propiedad del cliente no cambia la clasificación legal.
Un operador regional de colocación con 60 empleados, dos salas y aproximadamente 2 MW de carga de TI combinada está claramente dentro del ámbito de aplicación de NIS2 como «wichtige Einrichtung». El sector 8 del Anexo I nombra el sector. El artículo 6(31) captura el servicio de extremo a extremo, incluidas las instalaciones del edificio. La prueba del tamaño del artículo 2(1) sitúa a la empresa por encima del umbral de mediana empresa. La KRITIS-V de 3,5 MW de carga de TI no se cruza, por lo que la capa KRITIS no se aplica. El operador ejecuta el marco completo de gestión de riesgos de NIS2 pero no asume el ciclo de auditoría KRITIS.
Lo que vemos en la práctica: el registro de riesgos empieza con las instalaciones del edificio (acometida de suministro, cadenas de SAI, autonomía y combustible del generador, redundancia de refrigeración, extinción de incendios, acceso físico) y luego superpone el conjunto de TI y de red (conmutación central, jaulas de clientes, gestión fuera de banda, supervisión) por encima. El marco de gestión de riesgos del §2 CIR se ejecuta contra ese inventario combinado. La proporcionalidad del artículo 21(1) se aplica, de modo que un operador regional de 60 empleados no implementa con la profundidad de una región a hiperescala. El escalonamiento se documenta, se justifica con el cuadro de riesgos y lo aprueba la dirección.
Nuestra comprobación de aplicabilidad recorre la vía del centro de datos paso a paso. Pregunta si vende el servicio a terceros, cómo está estructurado el modelo de prestación (colocación, alojamiento, dedicado), cuáles son su plantilla y su volumen de negocios, y dónde se sitúa respecto al umbral alemán de la KRITIS-V. El resultado nombra la fila del Anexo I, la clasificación BSIG («wichtig» o «besonders wichtig») y si la capa KRITIS se aplica por encima.
El inventario de activos le permite modelar las instalaciones del edificio (acometida de suministro, SAI, generador, refrigeración, extinción de incendios, acceso físico) y el conjunto de TI y de red en una sola lista. El marco de gestión de riesgos del §2 CIR se ejecuta contra ese inventario, de modo que la misma lista de activos alimenta tanto la vía de NIS2 como, si cruza los 3,5 MW de carga de TI, la auditoría KRITIS sin doble mantenimiento.
- Directiva (UE) 2022/2555 (NIS2), Anexo I Sector 8 y Artículo 6(31) definición de servicio de centro de datos — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS2), Artículo 2(1) prueba del tamaño que remite a la Recomendación 2003/361/CE de la Comisión — eur-lex.europa.eu/eli/reco/2003/361/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo (proveedores de servicios de centros de datos enumerados por su nombre) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §28 en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- KRITIS-Verordnung (BSI-KritisV), sector Informationstechnik und Telekommunikation, umbral de carga de TI de 3,5 MW para los centros de datos
- BSI IT-Grundschutz, módulos INF.1 (Allgemeines Gebäude) e INF.2 (Rechenzentrum sowie Serverraum); catálogo de nube BSI C5 — bsi.bund.de