NIS 2 y los organismos de investigación
El anexo II sector 10 cubre los organismos de investigación que trabajan en investigación aplicada o desarrollo experimental con fines comerciales. Las universidades quedan fuera por defecto. Los Estados miembros pueden ampliar el ámbito.
Por qué existe este artículo
El anexo II de la Directiva NIS 2 ((UE) 2022/2555) enumera los organismos de investigación como sector 10. La categoría se sitúa en el anexo II, por lo que las entidades que cualifican se clasifican como entidades importantes (wichtige Einrichtungen).
El ámbito es más estrecho que el significado cotidiano de investigación. NIS 2 atiende a un tipo específico de actividad: la investigación aplicada o el desarrollo experimental destinados a producir resultados que luego se explotan comercialmente. La investigación básica, el trabajo puramente académico y las actividades educativas no están dentro de ámbito por defecto.
La página expone primero la capa de la UE (anexo II, artículo 6(41), considerando 39, prueba de tamaño del artículo 2(1)), después la implementación alemana en el §28 BSIG y las trampas prácticas que vemos con más frecuencia cuando los organismos de investigación ejecutan una comprobación de aplicabilidad.
Anexo II, sector 10 (Directiva (UE) 2022/2555)
Organismos de investigación
El anexo II punto 10 enumera el sector con el único tipo de entidad 'organismos de investigación'. La definición sustantiva reside en el artículo 6(41) y se ve reforzada por el considerando 39.
Artículo 6(41), considerando 39 (Directiva (UE) 2022/2555)
Por 'organismo de investigación' se entiende una entidad cuyo objetivo principal es realizar investigación aplicada o desarrollo experimental con vistas a explotar los resultados de dicha investigación con fines comerciales, y que no incluye los centros de enseñanza.
El considerando 39 añade que la presente Directiva no debe aplicarse a los centros de enseñanza, en particular las universidades o los centros de investigación que realizan actividades de investigación sobre una base no comercial. Los Estados miembros pueden decidir que los centros de enseñanza entren en el ámbito de aplicación de la presente Directiva sobre la base de sus políticas y enfoques nacionales.
§28 BSIG (NIS2UmsuCG, Alemania)
Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.
Alemania transpone el anexo II sector 10 al §28 BSIG. La entidad sigue siendo una entidad importante (wichtige Einrichtung) y entra en la banda de sanciones del §65 BSIG de hasta 7 millones de euros o el 1,4 por ciento del volumen de negocios anual global, la cifra que sea mayor.
Investigación aplicada con un fin comercial
La actividad principal es la investigación aplicada o el desarrollo experimental, con la intención de que los resultados se exploten comercialmente. Las licencias, las escisiones (spin-offs), la investigación por contrato para la industria o la venta de prototipos son señales típicas. La investigación pura motivada por la curiosidad, la docencia y la divulgación no lo son.
De tamaño mediano o superior
El artículo 2(1) NIS 2 aplica el umbral de la Recomendación de la UE 2003/361/CE. La entidad lo alcanza con al menos 50 empleados o un volumen de negocios anual y un balance total superiores a 10 millones de euros. Por debajo del umbral, la entidad no está dentro de ámbito salvo que un Estado miembro aplique un anulamiento con independencia del tamaño.
Ampliación nacional a las universidades
Los Estados miembros pueden decidir incluir a los centros de enseñanza, incluidas las universidades, en el ámbito mediante el Derecho nacional. Sin tal ampliación, las universidades quedan fuera, aunque dirijan grandes unidades de investigación aplicada. Si el país ha ampliado el ámbito es una cuestión que depende del acto nacional de transposición.
Los centros de enseñanza están excluidos por defecto
El considerando 39 es explícito: NIS 2 no se aplica a los centros de enseñanza, en particular las universidades o los centros de investigación que realizan actividades de investigación sobre una base no comercial. Una unidad de investigación universitaria que realiza trabajo por contrato para la industria no queda automáticamente incluida. La exclusión opera en el nivel de la institución, no del proyecto.
La fuente de financiación no decide el ámbito
La definición depende de la actividad (investigación aplicada, explotación comercial), no de quién paga. Una GmbH de investigación de financiación privada y un instituto Fraunhofer de financiación pública están ambos dentro de ámbito si cumplen la definición y la prueba de tamaño. Un instituto de investigación básica de financiación puramente pública no está dentro de ámbito porque la actividad es la que no encaja, no porque la financiación sea pública.
El BSI como autoridad competente
El Bundesamt für Sicherheit in der Informationstechnik (BSI) es la autoridad competente para los organismos de investigación en virtud del §28 BSIG. El registro se realiza a través del portal del BSI; las obligaciones son idénticas a las de otras entidades importantes en virtud de los §§30 a 32 BSIG.
Guía de ENISA
La Guía de Implementación Técnica de ENISA (v1.2, agosto de 2025) trata a los organismos de investigación igual que a las demás entidades del anexo II en cuanto a las medidas de gestión de riesgos del artículo 21. No hay ninguna exclusión específica para la investigación en el reglamento de ejecución. Las particularidades sectoriales aparecen únicamente en los umbrales de notificación de incidentes a través de la práctica supervisora nacional.
No hay ampliación general a las universidades en el §28 BSIG
Alemania no ha hecho, en la NIS2UmsuCG, una ampliación general de NIS 2 a las universidades. Las Hochschulen y los centros de investigación universitarios permanecen, por tanto, fuera del ámbito de NIS 2 a nivel federal, aunque otras leyes federales o estatales (por ejemplo, las leyes de seguridad informática de cada Land) puedan seguir aplicándose.
Las universidades también son investigación, así que deben estar dentro de ámbito.
Por defecto, no. El considerando 39 excluye a los centros de enseñanza, en particular las universidades y los centros de investigación no comerciales. Solo están dentro de ámbito si el Estado miembro ha ampliado expresamente NIS 2 a ellos mediante el Derecho nacional. En Alemania, esa ampliación no se ha hecho.
Solo los institutos de investigación de financiación pública están dentro de ámbito.
Dirección equivocada. La definición atiende a la actividad y a la intención de explotación comercial, no a la fuente de financiación. Una empresa privada de investigación por contrato puede estar plenamente dentro de ámbito. Un organismo de investigación básica de financiación puramente pública queda fuera porque la actividad es no comercial, no porque los fondos sean públicos.
Somos una entidad sin ánimo de lucro, así que NIS 2 no se aplica.
La forma jurídica no decide el ámbito. Una gemeinnützige GmbH o un e.V. que realice investigación aplicada con fines de explotación comercial puede cumplir la definición. La prueba es la actividad y el umbral de tamaño, no el régimen fiscal.
En las comprobaciones de aplicabilidad que ejecutamos, el caso límite es casi siempre un brazo de investigación por contrato de una universidad o un instituto de financiación pública con una sólida cartera de transferencia de tecnología. La pregunta correcta no es si la entidad hace investigación, sino si su finalidad principal es la investigación aplicada o el desarrollo experimental con una vía de explotación comercial.
Si la respuesta es sí y la entidad cumple el umbral de tamaño del artículo 2(1), está dentro de NIS 2 como entidad importante, con independencia de si se considera parte del panorama de la investigación pública. La comprobación de aplicabilidad de la plataforma recorre el artículo 6(41) y el artículo 2(1) de forma explícita, para que esto no quede a la interpretación.
Las entidades del sector 10 ejecutan el mismo registro de obligaciones de NIS 2 que cualquier otra entidad importante: registro en virtud del artículo 27, gobernanza en virtud del artículo 20, las diez áreas de gestión de riesgos del artículo 21(2) y la notificación de incidentes en virtud del artículo 23. La plataforma estructura todas ellas como obligaciones continuas en lugar de como un proyecto puntual.
Cuando un organismo de investigación tiene un patrón de evidencia específico (por ejemplo, contratos de transferencia de tecnología que tienen que satisfacer las cláusulas de cadena de suministro del artículo 21(2)(d)), esto reside en los módulos de proveedores y contratos. No hay un módulo de investigación independiente porque las medidas del artículo 21 son neutras en cuanto al sector.
- Directiva (UE) 2022/2555 (NIS 2), anexo II punto 10 (Investigación)
- Directiva (UE) 2022/2555 (NIS 2), artículo 6(41), definición de organismo de investigación
- Directiva (UE) 2022/2555 (NIS 2), considerando 39, exclusión de los centros de enseñanza y ampliación opcional por los Estados miembros
- Directiva (UE) 2022/2555 (NIS 2), artículo 2(1), ámbito y umbral de tamaño a través de la Recomendación 2003/361/CE
- BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), §28, ámbito sectorial que incluye los organismos de investigación
- BSIG §65, banda de sanciones para entidades importantes (hasta 7 millones de euros o el 1,4 por ciento del volumen de negocios anual global)
- Guía de Implementación Técnica de ENISA para el artículo 21 NIS 2, v1.2 (agosto de 2025)