Importante frente a esencial frente a KRITIS: el mismo trabajo, consecuencias distintas
NIS2 define tres niveles de entidades reguladas. Las medidas de seguridad son idénticas en los tres. Lo que cambia es con qué atención el BSI le vigila y con qué dureza le sanciona si falla.
Tres niveles, un único conjunto de reglas
La transposición alemana de NIS2 (BSIG) clasifica a las entidades reguladas en tres categorías: wichtige Einrichtungen (entidades importantes), entidades esenciales (entidades esenciales) y Betreiber kritischer Anlagen (operadores KRITIS). Muchas empresas dedican semanas a tratar de averiguar en qué categoría encajan antes de empezar su trabajo de cumplimiento.
Esta es la idea clave: no importa para el trabajo en sí. Las tres categorías deben implementar las mismas 10 categorías de medidas de seguridad definidas en el §30(2) BSIG. La misma gestión de riesgos. La misma notificación de incidentes. La misma seguridad de la cadena de suministro. Los mismos controles de acceso. Las mismas políticas de cifrado. La misma planificación de la continuidad de negocio.
Las diferencias están en la supervisión (cómo le vigila el BSI), las sanciones (cuánto paga si se le detecta incumpliendo) y tres obligaciones adicionales que solo se aplican a los operadores KRITIS. El proceso de cumplimiento que sigue en NISD2 cubre las tres categorías de forma idéntica.
| Criterio | Importante (Wichtig) | Esencial (Besonders Wichtig) | KRITIS |
|---|---|---|---|
| Tamaño de la empresa | 50+ empleados O >10M EUR de facturación y >10M EUR de balance | 250+ empleados O >50M EUR de facturación y >43M EUR de balance | Cualquier tamaño - determinado por los umbrales de infraestructura (p. ej. 500 000 personas abastecidas) |
| Sectores | Anexo I (energía, transporte, finanzas, salud, agua, infraestructura digital, espacio) + Anexo II (postal, residuos, productos químicos, alimentación, fabricación, servicios digitales, investigación) | Solo sectores del Anexo I (las entidades de tamaño medio del Anexo I se clasifican como importantes, no como esenciales) | Subconjunto de las esenciales - solo entidades que operan infraestructura cuyo fallo perturbaría el abastecimiento público |
| Inclusiones independientes del tamaño | Prestadores de servicios de confianza no cualificados, pequeños proveedores de telecomunicaciones | Servicios de confianza cualificados, registros de TLD, proveedores de DNS, grandes proveedores de telecomunicaciones | Operadores de instalaciones críticas según se definen en la BSI-KritisV (redes eléctricas, tratamiento de agua, hospitales, etc.) |
El umbral de mediana empresa de la UE es: 50+ empleados O (>10 M EUR de volumen de negocio Y >10 M EUR de balance). Ambos criterios financieros deben cumplirse simultáneamente; una facturación elevada por sí sola no basta. Para las entidades esenciales, el umbral de gran empresa es: 250+ empleados O (>50 M EUR de volumen de negocio Y >43 M EUR de balance). Estos ejemplos muestran cómo se aplican las reglas en la práctica.
| Escenario | Empleados | Volumen de negocio | Balance | Sector | Clasificación |
|---|---|---|---|---|---|
| Empresa de trading de alta facturación, equipo pequeño | 12 | 25 M EUR | 18 M EUR | Anexo I - Banca | Importante - ambos umbrales financieros superados (>10 M EUR), el número de empleados es irrelevante |
| Gran fabricante, margen bajo | 200 | 5 M EUR | 3 M EUR | Anexo II - Fabricación | Importante - el número de empleados ≥50 es suficiente, la facturación no importa |
| Startup SaaS, facturación alta, equipo diminuto | 8 | 15 M EUR | 4 M EUR | Anexo I - Infraestructura digital | Fuera de ámbito - la facturación supera los 10 M EUR pero el balance está por debajo de los 10 M EUR. Se necesitan AMBOS |
| Hospital regional | 400 | 60 M EUR | 45 M EUR | Anexo I - Salud | Esencial - 250+ empleados en un sector del Anexo I. Si >30 000 casos de hospitalización/año: KRITIS |
| Comercializadora de energía, asset-light | 15 | 120 M EUR | 55 M EUR | Anexo I - Energía | Esencial - ambos umbrales financieros grandes superados (>50 M EUR de facturación Y >43 M EUR de balance) |
| Empresa de gestión de residuos | 80 | 8 M EUR | 6 M EUR | Anexo II - Residuos | Importante - 80 empleados ≥50 del umbral, pese a la facturación baja. Solo NACE E.38 (no remediación E.39) |
| Proveedor de servicios gestionados (MSP) | 45 | 12 M EUR | 11 M EUR | Anexo I - Gestión de servicios TIC | Importante - por debajo de 50 empleados pero ambos umbrales financieros superados. También sujeto al CIR 2024/2690 |
| Procesadora de alimentos, plantilla estacional | 55 (media anual) | 9 M EUR | 7 M EUR | Anexo II - Alimentación | Importante - el número de empleados usa unidades de trabajo anuales (Rec. 2003/361/CE Art. 5). Los picos estacionales cuentan proporcionalmente |
| Prestador de servicios de confianza cualificado (qTSP) | 3 | 500 K EUR | 200 K EUR | Anexo I - Infraestructura digital | Esencial - independiente del tamaño según el §28(1) BSIG. Los qTSP son siempre esenciales con independencia del tamaño |
| Distribuidor químico, gran filial | 180 | 70 M EUR | 50 M EUR | Anexo II - Productos químicos | Importante - pese a los grandes datos financieros, los sectores del Anexo II llegan como máximo a importante. Solo Anexo I + grande = esencial |
Umbrales de tamaño según la Recomendación de la UE 2003/361/CE Art. 2, a la que remite el Art. 2(1) de la Directiva NIS2. El número de empleados usa unidades de trabajo anuales (Art. 5). Las reglas sobre empresas vinculadas/asociadas (Anexo Art. 3) pueden agregar el número de empleados y los datos financieros de la empresa matriz. Clasificación sectorial según el Anexo I/II de la Directiva NIS2, transpuesta en el §28 BSIG Anlage 1/2. Casos independientes del tamaño según el §28(1) BSIG.
Lo que es idéntico en las tres categorías
Las obligaciones de cumplimiento definidas en el §30(2) BSIG son las mismas para las entidades importantes, esenciales y KRITIS. No hay una versión más ligera para las entidades importantes ni una versión más pesada para las entidades esenciales. Las 10 categorías de medidas de seguridad se aplican por igual:
- Políticas y procedimientos de gestión de riesgos (§30(2) Nr. 1)
- Tratamiento y notificación de incidentes - 24 h informe inicial, 72 h informe detallado, 1 mes informe final (§32)
- Continuidad de negocio y recuperación ante desastres (§30(2) Nr. 3)
- Seguridad de la cadena de suministro (§30(2) Nr. 4)
- Seguridad en la adquisición, el desarrollo y el mantenimiento (§30(2) Nr. 5)
- Políticas para evaluar la eficacia de las medidas de seguridad (§30(2) Nr. 6)
- Higiene de ciberseguridad y formación (§30(2) Nr. 7)
- Políticas de criptografía y cifrado (§30(2) Nr. 8)
- Seguridad de los recursos humanos y control de acceso (§30(2) Nr. 9)
- Autenticación multifactor y comunicaciones seguras (§30(2) Nr. 10)
- Registro ante el BSI en un plazo de 3 meses (§33)
- Responsabilidad de la dirección - responsabilidad personal de aprobar y supervisar las medidas de seguridad (§38)
Esto significa que la plataforma NISD2 cubre todos los tipos de entidad con el mismo conjunto de requisitos. Ya sea una empresa alimentaria importante o un proveedor de energía esencial, el proceso de cumplimiento es idéntico. Completa los mismos requisitos, produce las mismas evidencias y cumple los mismos estándares.
| Obligación | Importante | Esencial | KRITIS |
|---|---|---|---|
| 10 medidas de seguridad (§30) | Obligatorio | Obligatorio | Obligatorio |
| Notificación de incidentes (§32) | 24 h / 72 h / 1 mes | 24 h / 72 h / 1 mes | 24 h / 72 h / 1 mes |
| Registro ante el BSI (§33) | Básico | Básico | Ampliado - servicio crítico, métricas de abastecimiento, ubicación de la instalación, contacto 24/7 |
| Responsabilidad de la dirección (§38) | Responsabilidad personal | Responsabilidad personal | Responsabilidad personal |
| Supervisión del BSI | Solo reactiva (§62) - el BSI actúa únicamente cuando existen indicios de incumplimiento | Proactiva (§61) - el BSI puede auditar en cualquier momento sin motivo | Proactiva + ciclo de prueba obligatorio cada 3 años (§39) |
| Sanción máxima (base) | 7.000.000 EUR | 10.000.000 EUR | 10.000.000 EUR |
| Sanción máxima (facturación) | 1,4 % del volumen de negocio mundial | 2 % del volumen de negocio mundial | 2 % del volumen de negocio mundial |
| Sistemas de detección de ataques (§31) | No obligatorio | No obligatorio | Obligatorio - capacidad SIEM/SOC continua |
| Prueba de cumplimiento obligatoria (§39) | No obligatorio | No obligatorio | Obligatorio - cada 3 años, presentado al BSI |
KRITIS: tres obligaciones adicionales
Los operadores KRITIS - entidades que operan infraestructura cuyo fallo perturbaría el abastecimiento público (redes eléctricas, tratamiento de agua, hospitales) - deben cumplir tres requisitos adicionales más allá de lo que deben hacer las entidades importantes y esenciales.
§31 - Sistemas de detección de ataques (Angriffserkennungssysteme)
Necesita un sistema que vigile su red las 24 horas y que pueda detectar ataques en curso o detectar que alguien ya ha entrado. En la práctica, esto significa desplegar un SIEM (Security Information and Event Management): software que recopila registros de cada servidor, cortafuegos y endpoint, los correlaciona y alerta ante anomalías. Debe usar correspondencia de patrones Y detección de anomalías, no solo firmas. La mayoría de las empresas externalizan esto a un proveedor de SOC gestionado (Security Operations Center), lo que normalmente cuesta entre 5.000 y 15.000 EUR al mes. Las entidades NIS2 normales pueden arreglárselas con una monitorización básica; los operadores KRITIS explícitamente no pueden.
§33(2) - Registro ampliado ante el BSI
Además del registro estándar (nombre, sector, contacto), los operadores KRITIS deben indicar al BSI exactamente qué servicio crítico prestan (p. ej. 'suministro de agua potable para 200.000 personas'), qué componentes críticos utilizan, la ubicación física de la instalación y una persona de contacto 24/7 localizable a cualquier hora. Las métricas de abastecimiento deben notificarse anualmente; el BSI las utiliza para verificar que sigue superando el umbral KRITIS (definido en la BSI-KritisV, p. ej. 500.000 personas abastecidas para agua, 104 MW para electricidad).
§39 - Prueba de cumplimiento obligatoria cada 3 años (Nachweispflicht)
Cada 3 años, debe presentar proactivamente al BSI resultados de auditoría, informes de seguridad o certificaciones que demuestren el cumplimiento de todas las medidas del §30 y la detección de ataques del §31. El BSI no tiene que ir a buscarle: usted acude a él. Si el BSI detecta deficiencias, emite órdenes de subsanación vinculantes con plazos y exige pruebas de que ha corregido los problemas. Considérelo un ciclo de certificación ISO obligatorio, salvo que el auditor es el Estado. Primer plazo: diciembre de 2028 (5 años para hospitales: diciembre de 2030).
Lo que esto significa para su empresa
Si es una empresa de 50 a 250 empleados en Alemania - el usuario típico de NISD2 -, es casi seguro que está clasificada como wichtige Einrichtung (entidad importante). Su empresa de fabricación, su negocio de procesamiento de alimentos o su proveedor de servicios de TI entra en esta categoría. El trabajo de cumplimiento que necesita realizar es exactamente el mismo que el de una gran entidad esencial o incluso un operador KRITIS. La única diferencia práctica: el BSI no le auditará de forma proactiva a menos que tenga un motivo (un incidente, una denuncia o un aviso).
Eso no es razón para hacer menos. Si el BSI le audita - de forma reactiva, tras un incidente - y le encuentra incumpliendo, se aplican sanciones de hasta 7 millones EUR o el 1,4 % del volumen de negocio mundial. Y su dirección es personalmente responsable según el §38. La posición más segura es el cumplimiento total con independencia de la categoría. NISD2 le ofrece el mismo proceso de cumplimiento que usan las entidades esenciales y KRITIS, porque los requisitos son idénticos.
Preguntas frecuentes
¿Puede mi empresa ser a la vez importante y esencial?
No. Las categorías son mutuamente excluyentes según el §28 BSIG. Si cumple el umbral de esencial (250+ empleados o >50M de facturación en un sector del Anexo I), es esencial. Si cumple el umbral de importante pero no el de esencial, es importante. KRITIS es un subconjunto de las esenciales: los operadores KRITIS se clasifican automáticamente como esenciales con obligaciones adicionales por encima.
Soy una entidad importante. ¿Tengo que hacer menos trabajo de cumplimiento?
No. Las 10 categorías de medidas de seguridad del §30(2) BSIG se aplican de forma idéntica tanto a las entidades importantes como a las esenciales. La única diferencia es la aplicación: el BSI supervisa a las entidades esenciales de forma proactiva (auditorías aleatorias) y a las entidades importantes de forma reactiva (solo tras indicios de incumplimiento). Pero las medidas en sí, los plazos de notificación de incidentes y la responsabilidad de la dirección son todos iguales.
¿Cómo sé si soy KRITIS?
La clasificación KRITIS se define en el reglamento BSI-KritisV, basándose en umbrales de abastecimiento específicos: 500.000 personas abastecidas para agua, 104 MW de capacidad instalada para electricidad, 30.000 casos de hospitalización al año para hospitales, etc. Si el fallo de su infraestructura no perturbaría directamente el abastecimiento público a estas escalas, no es KRITIS. La mayoría de las empresas del mid-market no son KRITIS: son entidades importantes o esenciales.
¿Qué pasa si me equivoco en la clasificación de mi entidad?
La clasificación determina la intensidad de la supervisión y los topes de las sanciones, no lo que tiene que implementar. Si implementa las 10 categorías de medidas (en lo que le guía NISD2), cumple con independencia de la clasificación. El riesgo de una clasificación errónea es subestimar su exposición a la supervisión: pensar que el BSI no le auditará cuando en realidad sí puede.
¿Distingue el CIR 2024/2690 entre entidades importantes y esenciales?
No. El CIR se aplica a tipos de entidad específicos (proveedores de la nube, proveedores de DNS, proveedores de servicios gestionados, etc.) con independencia de si se clasifican como importantes o esenciales. Los requisitos técnicos del CIR son idénticos para ambas categorías.
- §28 BSIG - Clasificación de entidades (entidades esenciales e importantes)
- §30 BSIG - Medidas de gestión de riesgos (10 categorías, idénticas para todos los tipos de entidad)
- §31 BSIG - Sistemas de detección de ataques (solo KRITIS)
- §32 BSIG - Obligaciones de notificación de incidentes (plazos idénticos para todos los tipos de entidad)
- §33 BSIG - Obligaciones de registro (ampliadas para KRITIS)
- §38 BSIG - Responsabilidad de la dirección (idéntica para todos los tipos de entidad)
- §39 BSIG - Prueba de cumplimiento (solo KRITIS, cada 3 años)
- §61 BSIG - Supervisión de entidades esenciales (proactiva)
- §62 BSIG - Supervisión de entidades importantes (reactiva)
- §65 BSIG - Sanciones y multas
- CIR 2024/2690 - Reglamento de ejecución de la UE (sin distinción de tipo de entidad)
- BSI-KritisV - Reglamento de umbrales KRITIS