¿Soy un fabricante de maquinaria conforme a NIS 2?
El Anexo II sector 5 de la Directiva NIS 2 incorpora la fabricación al ámbito. Los fabricantes de máquinas se sitúan en la subcategoría (d), división NACE C28. Si tiene 50 empleados o 10 millones de euros de volumen de negocios, es una entidad importante con los mismos diez deberes del Artículo 21(2) que los grandes.
La versión corta
NIS 2 cubre la fabricación como un sector importante. El Anexo II sector 5 nombra seis subcategorías de fabricación. La fabricación de maquinaria y equipo, división NACE C28, es una de ellas. Si eso es lo que hace y está por encima del umbral de tamaño, NIS 2 se le aplica.
El test de tamaño está en el Artículo 2(1) de la Directiva. 50 empleados o más, o 10 millones de euros de volumen de negocios y balance total. Alcance uno de esos y está dentro. Por debajo de ambos, queda fuera del ámbito por defecto. Alemania copia el mismo umbral en el §28 BSIG.
Lo que hace especial a la maquinaria es la huella de OT. Su célula de producción tiene PLC, SCADA, HMI, controladores de robot, y un ERP y un MES por encima. El Artículo 21(2) trata toda esa pila como un único sistema que defender. La vía de implementación práctica en Alemania es el IT-Grundschutz del BSI, en particular los bausteine IND para los sistemas de control industrial, y la ISO/IEC 62443 para la capa de OT.
Anexo II punto 5 Directiva NIS 2 (2022/2555) — Fabricación
(a) Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro (NACE C32.5 en parte, C26.60 en parte); (b) Fabricación de productos informáticos, electrónicos y ópticos (NACE C26); (c) Fabricación de material y equipo eléctrico (NACE C27); (d) Fabricación de maquinaria y equipo n.c.o.p. (NACE C28); (e) Fabricación de vehículos de motor, remolques y semirremolques (NACE C29); (f) Fabricación de otro material de transporte (NACE C30).
Los fabricantes de máquinas se sitúan bajo (d). La referencia NACE es la Rev. 2. Si su negocio es el rectificado, el fresado, la soldadura, el montaje o la integración de máquinas, instalaciones o módulos industriales, C28 es su división. El Anexo II es la lista de 'entidades importantes'. Los mismos diez deberes del Artículo 21(2) que el Anexo I, techo de sanción inferior, supervisión reactiva en lugar de proactiva.
Artículo 2(1) Directiva NIS 2 — test de tamaño
La presente Directiva se aplica a las entidades públicas o privadas de un tipo de los mencionados en el anexo I o II que tengan la consideración de medianas empresas en virtud del artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos correspondientes a las medianas empresas previstos en el apartado 1 de dicho artículo.
El corte de tamaño usa la definición de pyme de la UE. 50 empleados o más, o volumen de negocios anual superior a 10 millones de euros y balance total superior a 10 millones de euros. Alcance uno de esos y está dentro. La Directiva enumera un puñado de casos en los que el tamaño no importa, pero la fabricación pura de maquinaria no está en esa lista de anulación.
§28 BSIG (Alemania) — wichtige Einrichtung, sector 'Verarbeitendes Gewerbe / Herstellung'
Wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 2 genannten Einrichtungsart angehören und mindestens als mittleres Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gelten.
Alemania enumera la fabricación bajo la Anlage 2 del BSIG, con las mismas seis subcategorías que el Anexo II punto 5 de la Directiva. El techo de sanción para las entidades importantes lo fija el §65 BSIG: hasta 7 millones de euros o el 1,4 por ciento del volumen de negocios mundial, lo que sea mayor.
NACE C28 o uno de los cinco vecinos
Saque su código NACE Rev. 2 de su entrada en el registro mercantil o de su última declaración estadística. Si empieza por C28, es un fabricante de maquinaria. C26, C27, C29, C30 y la parte C32.5 para productos sanitarios son las subcategorías vecinas del Anexo II. Los talleres mixtos (fabricación de máquinas más montaje eléctrico) se clasifican normalmente por la actividad principal. Si su actividad principal está en cualquiera de estas, está en el sector.
50 empleados o 10 millones de euros
El Artículo 2(1) se lee como 'tiene la consideración de mediana empresa'. La definición de pyme tiene dos umbrales: una plantilla de 50 o más, o un volumen de negocios anual superior a 10 millones de euros y un balance total superior a 10 millones de euros. Las empresas vinculadas y asociadas cuentan. Una UG de 35 personas dentro de un grupo de 400 personas se cuenta normalmente con el grupo.
Su huella de OT
Mapee su célula de producción una vez. PLC, SCADA, HMI, robots, CNC, MES, ERP, estaciones de trabajo de ingeniería, cajas de acceso remoto de proveedores. Esa lista es su inventario de activos conforme al Artículo 21(2)(a). Es también el alcance de su análisis de riesgos. Grundschutz le permite agrupar activos idénticos (doce CNC idénticas como una entrada con cantidad). Tanto la TI como la OT están en el ámbito. La respuesta clásica de 'la OT está aislada por air gap, así que está fuera' no sobrevive a una auditoría.
El Anexo II sigue siendo NIS 2
Las entidades del Anexo II son 'importantes', no 'esenciales'. Las diez medidas del Artículo 21(2) son las mismas que para el Anexo I. Lo que difiere es el techo de sanción y el estilo de supervisión. El §65 BSIG limita las multas a un máximo de 7 millones de euros o el 1,4 por ciento del volumen de negocios mundial para las entidades importantes (frente a 10 millones o el 2 por ciento para las esenciales). La supervisión es reactiva: el BSI mira si hay un desencadenante concreto, no en un ciclo rutinario. Los mismos deberes, distinta intensidad de ejecución.
La OT está en el ámbito, fin de la historia
El Artículo 21 cubre 'las redes y los sistemas de información'. Tanto el CIR como la TIG de ENISA tratan la OT, el SCADA y los PLC como dentro del ámbito. El catálogo IT-Grundschutz del BSI tiene bausteine IND dedicados a los sistemas de control industrial. La ISO/IEC 62443 es el estándar internacional que usa la comunidad de ingeniería, y ENISA mapea las medidas del Artículo 21 sobre ella. Una auditoría que excluya la OT no es una auditoría del Artículo 21.
BSI / IT-Grundschutz IND
El BSI es la autoridad competente para NIS 2 en Alemania. Para los fabricantes de máquinas la vía práctica es el IT-Grundschutz con los bausteine IND: IND.1 (control de procesos y automatización en general), IND.2 (sistema de control industrial), IND.3 (sensores y actuadores). Impleméntelos junto a los bausteine de TI estándar (SYS, NET, OPS, APP) y tendrá una base defendible del Artículo 21.
VDMA
El Verband Deutscher Maschinen- und Anlagenbau publica orientación específica del sector sobre NIS 2, el Cyber Resilience Act y la ISO/IEC 62443 para sus miembros. Gestiona grupos de trabajo sobre seguridad de OT y traduce el texto regulatorio a un lenguaje de implementación práctico para el sector alemán de la maquinaria. La afiliación es voluntaria, pero la mayoría de los fabricantes de máquinas medianos son miembros.
Guía técnica de implementación de ENISA
ENISA publica una Guía técnica de implementación para el CIR (UE) 2024/2690 que mapea las medidas del Artículo 21 sobre la ISO/IEC 27001:2022, el NIST CSF 2.0 y otros estándares. La tabla de mapeo está en la v1.2 a fecha de agosto de 2025 bajo licencia CC BY 4.0. Para la maquinaria, el solapamiento relevante es con la serie ISO/IEC 62443, que ENISA referencia para la capa de OT.
NIS 2 es para los grandes grupos industriales, no para nuestro taller de máquinas de 80 personas.
El test de tamaño es 50 empleados o 10 millones de euros de volumen de negocios. Un taller de máquinas de 80 personas con NACE C28 está de lleno dentro. La categoría de 'entidad importante' del Anexo II existe precisamente para la capa del Mittelstand. El techo de sanción es inferior al de las entidades esenciales, pero los diez deberes del Artículo 21(2) son los mismos.
Solo hacemos el montaje final, la fabricación real está en nuestros proveedores.
NACE clasifica por actividad principal, no por dónde está el valor añadido. Si su empresa vende máquinas o módulos terminados bajo su propio nombre, su actividad principal es la fabricación, aunque buena parte del proceso se realice aguas arriba. La clasificación sigue la entrada en el registro mercantil y la declaración estadística, no el relato de la cadena de valor.
Exportamos sobre todo, así que las reglas de la UE no se aplican.
La Directiva usa el establecimiento, no la base de clientes. Si su persona jurídica está establecida en un Estado miembro de la UE y cumple los tests de sector y de tamaño, está dentro del ámbito con independencia de dónde venda. Los exportadores son entidades NIS 2 como cualquier otro fabricante. Que los compradores estén fuera de la UE no cambia sus obligaciones en el lado de la producción.
Lo que vemos sobre el terreno en el sector alemán de la maquinaria del Mittelstand: primero un memorándum de aplicabilidad de una página (código NACE, plantilla, volumen de negocios, el razonamiento jurídico), luego una evaluación de brechas que recorre las diez medidas del Artículo 21(2) frente al montaje de TI y OT existente. La mayoría de los talleres ya tienen algo para la TI. El lado de la OT suele ser más fino.
Tras la evaluación de brechas, las doce a quince medidas más urgentes se ejecutan en el primer año. Inventario de activos, análisis de riesgos, revisión de proveedores, gestión de incidentes, segmentación básica de OT, autenticación multifactor en las estaciones de trabajo de ingeniería y en las cajas de acceso remoto. El resto se reparte a lo largo del año o los dos años siguientes. Eso se sostiene bajo la cláusula de proporcionalidad del Artículo 21(1) siempre que la fase esté documentada y aprobada por el órgano de dirección.
Damos soporte a la comprobación de aplicabilidad del Anexo II sector 5 como una entrada de un solo paso: elija su código NACE, confirme plantilla y volumen de negocios, y aterriza en un espacio de trabajo presembrado con las diez medidas del Artículo 21(2) y los bausteine IND del BSI para la capa de OT. El inventario de activos, el registro de riesgos, la lista de proveedores y el flujo de incidentes residen en el mismo modelo de datos.
La evidencia específica de OT (diagramas de segmentación de red, exportaciones del inventario de PLC, revisiones de acceso remoto de proveedores) se enchufa a la misma biblioteca de evidencia que los controles de TI. No ejecuta un SGSI separado para la célula de producción. El requisito de formación de la dirección del §38 BSIG está integrado como un módulo de curso para la Geschäftsführung.
- Directiva (UE) 2022/2555 (NIS 2), Anexo II punto 5 (Fabricación) y Artículo 2(1) (ámbito y test de tamaño) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendación 2003/361/CE de la Comisión, Anexo Artículo 2 (definición de pyme)
- Clasificación Eurostat NACE Rev. 2, Sección C divisiones 26, 27, 28, 29, 30 y grupo 32.5
- Ley del BSI (BSIG), §28 (Anwendungsbereich, wichtige Einrichtungen) y §65 (sanciones)
- BSI IT-Grundschutz Kompendium, bausteine IND.1, IND.2, IND.3 — bsi.bund.de/grundschutz
- VDMA, orientación del sector sobre NIS 2 y seguridad de OT — vdma.org
- Guía técnica de implementación de ENISA para el CIR (UE) 2024/2690, tabla de mapeo v1.2 (agosto de 2025)