Autoclasificación en virtud de NIS 2: el silencio del BSI no es una defensa
La mayoría de los equipos del Mittelstand esperan una carta que nunca llegará. NIS 2 pone en ti la obligación de averiguar si estás dentro del ámbito, y el reloj corre tanto si lo compruebas como si no.
El error de concepto más caro
Muchas entidades del Mittelstand toman la ausencia de una carta del BSI como prueba de que no están dentro del ámbito de NIS 2. Se equivocan. La directiva y el §33 BSIG ponen el deber de registro en la entidad, no en la autoridad.
El mecanismo es sencillo. El Art. 27(1) NIS 2 obliga a los Estados miembros a crear un registro de entidades esenciales e importantes. El §33(1) BSIG lo transpone: las entidades se registran dentro de los tres meses siguientes a cumplir las condiciones. El plazo empieza cuando cumples los criterios, no cuando alguien te lo dice.
En la práctica esto significa que una empresa de gestión de residuos de 70 personas del Anexo II puede estar discretamente dentro del ámbito durante más de un año, acumulando multas en virtud del §65 BSIG y responsabilidad personal en virtud del §38 BSIG, hasta que por fin alguien consulta el Anexo.
Art. 27(1) NIS 2 (deber de registro)
Member States shall require essential and important entities to submit at least the following information to the competent authorities: name; address; up-to-date contact details; sector and subsector; list of Member States where they provide services.
El deber va de la entidad a la autoridad, no al revés. No hay ninguna disposición en NIS 2 que exija a la autoridad identificar primero a las entidades dentro del ámbito.
§33(1) BSIG (plazo de 3 meses)
Wesentliche und wichtige Einrichtungen registrieren sich innerhalb von drei Monaten nach erstmaligem Eintritt der Voraussetzungen beim Bundesamt.
Tres meses desde el momento en que la entidad cumple por primera vez las condiciones. No hay periodo de espera por una carta del BSI. El reloj corre según el propio calendario de la entidad.
Art. 2 + Anexo I/II NIS 2 (sector + tamaño)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or which exceed the ceilings for medium-sized enterprises.
Dos preguntas deciden la inclusión en el ámbito: ¿eres un tipo del Anexo I o II y eres al menos mediana empresa (50+ empleados y bien >10 M€ de facturación o bien >10 M€ de balance)? Más las excepciones de 'con independencia del tamaño' para servicios de confianza, DNS, registros de TLD, administración pública y proveedores únicos en un Estado miembro.
Contrasta los Anexos I y II con tu actividad
El Anexo I son las entidades esenciales (energía, transporte, banca, mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública, espacio). El Anexo II son las entidades importantes (servicios postales, residuos, productos químicos, alimentación, fabricación, proveedores digitales, investigación). Identifícate por la actividad real, no por la forma jurídica.
Contrasta el tamaño con la definición de PYME de la UE
Mediana: de 50 a 249 empleados Y (facturación o balance superior a 10 M€). Grande: 250+ empleados O facturación superior a 50 M€ O balance superior a 43 M€. Usa la Recomendación 2003/361/CE textualmente, cuenta las empresas vinculadas y asociadas según las reglas de la recomendación.
Comprueba las excepciones de con independencia del tamaño
El proveedor único de un servicio en un Estado miembro, las administraciones públicas de la administración central, los proveedores de servicios DNS, los registros de nombres de dominio de primer nivel (TLD) y los prestadores cualificados de servicios de confianza entran en el ámbito con independencia del tamaño. Para recordarlo: si estás en alguno de esos, el umbral de tamaño no se aplica.
Multa administrativa en virtud del §65 BSIG
Hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial, lo que sea mayor, para las entidades esenciales. Hasta 7 millones de euros o el 1,4 por ciento para las entidades importantes. La multa recae sobre la entidad. La infracción no es únicamente el retraso en el registro; es el incumplimiento subyacente de las obligaciones de los Art. 21 y Art. 23 que se acumuló durante el periodo de silencio.
Responsabilidad personal del órgano de dirección en virtud del §38 BSIG
El Art. 20(1) NIS 2, transpuesto al §38 BSIG, hace al órgano de dirección responsable de aprobar y supervisar las medidas de gestión de riesgos. El descubrimiento tardío no es una defensa; el órgano debería haberse asegurado de que la clasificación se realizara.
Escalada de las facultades de supervisión
El Art. 32 NIS 2 permite a la autoridad competente imponer obligaciones, exigir auditorías y, en el peor de los casos, suspender las operaciones. Los que entran tarde tienden a atraer más supervisión porque la autoridad necesita verificar la puesta al día.
Realiza hoy la comprobación de aplicabilidad
Asigna tu actividad al Anexo I o II, cuenta empleados e ingresos, recorre las excepciones de con independencia del tamaño. Documenta el resultado aunque sea negativo. Un análisis por escrito de 'fuera del ámbito' es la única defensa en un litigio posterior.
Si estás dentro del ámbito, regístrate en un plazo de tres meses
A través del portal del BSI en virtud del §33 BSIG. Requiere un certificado de organización ELSTER que, en sí mismo, tarda de dos a tres semanas. Inicia primero la solicitud de ELSTER si el plazo de registro es ajustado.
Repite la comprobación anualmente
Los Anexos pueden modificarse (revisión del Art. 6 NIS 2). Tu plantilla y tu facturación cambian. Una posición de 'fuera del ámbito' queda obsoleta. Programa una nueva comprobación anual.
- Directiva (UE) 2022/2555 (NIS 2), Art. 2, Art. 3, Anexo I, Anexo II, Art. 27, www.eur-lex.europa.eu
- Ley sobre la Oficina Federal de Seguridad de la Información (BSIG), §33, §38, §65, www.gesetze-im-internet.de
- Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas, www.eur-lex.europa.eu
- Ley de transposición de NIS-2 y de refuerzo de la ciberseguridad (NIS2UmsuCG)
Esta página proporciona orientación estructurada basada en fuentes de acceso público (Directiva NIS 2, BSIG, Recomendación de PYME de la UE). No constituye asesoramiento jurídico en el sentido del §2 RDG. Para casos concretos consulta a un abogado colegiado. A fecha de 2026-06-04.