Anhang I Sektor 2

NIS 2 para el sector del transporte

El sector 2 del Anexo I cubre cuatro subsectores. La regulación de seguridad operacional no sustituye a NIS 2.

Simon OrzelSimon Orzel·

Por qué el transporte está en NIS 2

La Directiva NIS 2 trata el transporte como un sector de alta criticidad. El sector 2 del Anexo I enumera cuatro subsectores: aéreo, ferroviario, por agua y por carretera. Cada uno nombra sus propias categorías de entidades, de modo que una aerolínea regional, un operador de estación, una autoridad portuaria y un operador de gestión del tráfico por carretera quedan todos en el mismo sector bajo distintas letras.

La capa jurídica que decide quién está dentro es la Directiva de la UE más la transposición nacional. En Alemania, eso es la BSIG. Reguladores sectoriales como la Luftfahrt-Bundesamt, la Eisenbahn-Bundesamt y la Bundesamt für Seeschifffahrt und Hydrographie conservan sus competencias de seguridad operacional existentes. El BSI es la autoridad competente para los deberes cibernéticos de NIS 2 y trabaja junto a esos reguladores, no en su lugar.

La prueba de tamaño del artículo 2(1) decide si una entidad está dentro del ámbito en absoluto. Una vez dentro, las obligaciones del artículo 21 (medidas de riesgo) y del artículo 23 (notificación de incidentes) se aplican con independencia de a qué subsector pertenezca la entidad. El reglamento de ejecución para los subsectores digitales no cubre el transporte; el transporte queda bajo el marco general del artículo 21 con orientación sectorial de ENISA.

El anclaje jurídico
Primero la directiva, luego la ley nacional. Los umbrales de KRITIS son una capa adicional para las entidades más grandes en Alemania.

Directiva de la UE

Sector 2: Transporte. (a) Transporte aéreo, (b) Transporte ferroviario, (c) Transporte por agua, (d) Transporte por carretera.

Directiva (UE) 2022/2555, Anexo I, sector 2. Cada letra enumera sus propias categorías de entidades (compañías aéreas y entidades gestoras de aeropuertos; administradores de infraestructuras, empresas ferroviarias y operadores de estaciones; transportistas por aguas interiores, marítimas y costeras y entidades gestoras de puertos; autoridades viarias y operadores de sistemas de transporte inteligentes).

Actos de ejecución de la UE

El Reglamento de Ejecución (UE) 2024/2690 de la Comisión se aplica a entidades específicas de infraestructura digital. El transporte no está dentro del ámbito de ese reglamento.

Las obligaciones del transporte provienen directamente del artículo 21 de la Directiva más cualesquiera normas nacionales de ejecución. ENISA publica orientación sectorial, pero hoy no hay un Reglamento de Ejecución de la Comisión que fije requisitos técnicos detallados para el transporte a escala de la UE.

Transposición nacional (Alemania)

El Anexo 1 de la BSIG refleja el sector 2 del Anexo I de la Directiva. La prueba de tamaño del §28 BSIG sigue al artículo 2(1).

Alemania transpone NIS 2 mediante la BSIG. El BSI es la autoridad competente. La regulación de seguridad operacional sectorial conforme a la Luftverkehrsgesetz, la Allgemeines Eisenbahngesetz y la Seeaufgabengesetz permanece en vigor y rige en paralelo.

Tres elementos que deciden si estás dentro
Coincidencia de subsector, umbral de tamaño, capa KRITIS opcional.
Anexo I sector 2

Coincidir con una categoría de subsector

El aéreo cubre las compañías aéreas utilizadas con fines comerciales, las entidades gestoras de aeropuertos y las entidades que operan instalaciones auxiliares dentro de los aeropuertos, además de los operadores de control de la gestión del tráfico que prestan servicios de control del tráfico aéreo. El ferroviario cubre los administradores de infraestructuras y las empresas ferroviarias, incluidos los operadores de instalaciones de servicio. El agua cubre las empresas de transporte de pasajeros y de mercancías por aguas interiores, marítimas y costeras, las entidades gestoras de puertos y los operadores de servicios de tráfico de buques. La carretera cubre las autoridades viarias responsables del control de la gestión del tráfico y los operadores de sistemas de transporte inteligentes.

Artículo 2(1)

Cumplir la prueba de tamaño

Cuenta mediana o grande: 50 empleados o más, o volumen de negocios anual y balance superiores a 10 millones de euros. Las entidades más pequeñas pueden seguir dentro del ámbito cuando se apliquen las excepciones del artículo 2(2), por ejemplo proveedores únicos de un servicio esencial en un Estado miembro.

BSI-KritisV (Alemania)

KRITIS es una capa adicional

La BSI-KritisV fija umbrales cuantitativos por subsector para lo que cuenta como instalación crítica en Alemania. Alcanzar un umbral KRITIS añade deberes para instalaciones específicas de KRITIS. No alcanzarlo no elimina el deber subyacente de NIS 2 si la entidad es mediana o grande en una categoría del sector 2.

Cómo se sitúa el transporte junto a la seguridad operacional
Los deberes cibernéticos se añaden por encima de la supervisión de seguridad operacional existente; no la sustituyen.

Seguridad operacional y ciber son carriles distintos

El aéreo, el ferroviario, el agua y la carretera ya quedan bajo regímenes de seguridad operacional exigentes (EASA, ERA, IMO, normas de vehículos e infraestructuras). NIS 2 añade deberes para los sistemas de información y comunicación utilizados para operar el servicio. El regulador sectorial de seguridad operacional conserva su carril. La autoridad competente de NIS 2 examina cómo la entidad gobierna el riesgo, los suministros, los incidentes y la continuidad para su TI y OT.

La continuidad es la prueba práctica

Lo que importa para NIS 2 es si el operador puede mantener el servicio en funcionamiento y notificar a la autoridad adecuada cuando algo va mal. El artículo 21 nombra las familias de medidas (gobernanza, riesgo, cadena de suministro, gestión de incidentes, continuidad de negocio, criptografía, control de acceso, formación, gestión de activos). El artículo 23 fija el calendario de notificación (alerta temprana en 24h, notificación de incidente en 72h, informe final en 1 mes).

Con quién hablas
El BSI es la autoridad de NIS 2 en Alemania. Los reguladores sectoriales siguen implicados. ENISA aporta orientación.
Alemania

Bundesamt für Sicherheit in der Informationstechnik

El BSI es la autoridad competente para NIS 2 conforme a la BSIG. El registro, las medidas de riesgo conforme al §30 y la notificación de incidentes conforme al §32 van al BSI. Los reguladores sectoriales de seguridad operacional (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) cooperan con el BSI pero no lo sustituyen para los deberes cibernéticos de NIS 2.

Alemania

Bundesnetzagentur y solapamientos sectoriales

La Bundesnetzagentur es la autoridad de NIS 2 para las telecomunicaciones. El transporte se solapa con las telecomunicaciones solo cuando la entidad opera además redes públicas de comunicación. Para el transporte puro, el BSI es la única dirección de NIS 2. Para instalaciones KRITIS, el canal de notificación KRITIS existente sigue funcionando en paralelo.

UE

ENISA

ENISA publica orientación sectorial y el panorama de amenazas para el transporte. Su trabajo informa a las autoridades nacionales y a los organismos de normalización, pero no emite normas vinculantes. Para orientación específica de transporte, lea los informes de ENISA más las normas EASA Part-IS para la aviación y la Resolución MSC.428(98) de la IMO para el ámbito marítimo como regímenes adyacentes.

Tres cosas que salen mal
Suposiciones comunes que fallan bajo escrutinio.

  • Nuestra certificación de seguridad operacional cubre lo ciber.

    Los regímenes de seguridad operacional (EASA, ERA, IMO y equivalentes nacionales) cubren la seguridad de las operaciones y cada vez incluyen más elementos de seguridad (por ejemplo EASA Part-IS). No eximen de los deberes del artículo 21 y del artículo 23 de NIS 2. La autoridad de NIS 2 es independiente, el ámbito es más amplio y el reloj de notificación de incidentes es distinto.

  • Solo las aerolíneas y los aeropuertos están dentro.

    Los cuatro subsectores están dentro. Los administradores de infraestructuras ferroviarias, las empresas ferroviarias y los operadores de estaciones se sitúan en 2(b). Los transportistas por aguas interiores, marítimas y costeras, las entidades gestoras de puertos y los operadores de servicios de tráfico de buques se sitúan en 2(c). Las autoridades viarias para el control de la gestión del tráfico y los operadores de sistemas de transporte inteligentes se sitúan en 2(d). Una autoridad regional de autobuses o una autoridad portuaria está tan dentro del sector 2 como una compañía de bandera.

  • Estamos por debajo del umbral de KRITIS, así que NIS 2 no se aplica.

    Los umbrales de KRITIS en la BSI-KritisV son una capa nacional aparte para instalaciones muy grandes. La prueba de tamaño de NIS 2 está fijada en el artículo 2(1) y es por lo general mucho más baja. Un operador de estación de 60 empleados con 12 millones de euros de volumen de negocios está por debajo de la mayoría de los umbrales de KRITIS y, aun así, plenamente dentro del ámbito de NIS 2.

Qué reportan los profesionales

La lectura que oímos con más frecuencia de los operadores de transporte es que NIS 2 aterriza encima de una organización ya moldeada por la ley de seguridad operacional. Los equipos de TI y OT hablan con un regulador distinto al del equipo de seguridad operacional, y las dos conversaciones tienen que mantenerse alineadas. Las medidas del artículo 21 (gobernanza, riesgo, cadena de suministro, gestión de incidentes, continuidad de negocio, criptografía, control de acceso, formación, gestión de activos) no son ideas nuevas, pero la profundidad de la documentación y el paso del registro sí lo son.

El artículo 21(1) exige medidas que sean adecuadas y proporcionadas, teniendo en cuenta el estado de la técnica, el coste de implementación y la exposición de la entidad. Eso da a una pequeña autoridad portuaria un punto de partida distinto al de un operador ferroviario nacional. Documente el razonamiento de proporcionalidad para que un revisor pueda seguirlo.

Qué hace la plataforma por las entidades de transporte

La plataforma estructura las medidas del artículo 21 como un único registro de obligaciones y permite a los operadores de transporte llevar su expediente de NIS 2 junto a su documentación de seguridad operacional existente. El inventario de activos (la base de RSK), el registro de proveedores, el flujo de incidentes, las firmas de gobernanza y los registros de formación se sitúan en un solo lugar y producen la evidencia que el BSI busca.

El nivel gratuito incluye todo lo que un operador necesita para registrarse conforme a NIS 2 en Alemania y ejecutar las obligaciones centrales. Ningún nivel bloquea ninguna funcionalidad obligatoria.

Fuentes primarias
  • Directiva (UE) 2022/2555 (NIS 2), Anexo I sector 2 — Transporte
  • Directiva (UE) 2022/2555, artículo 2 (ámbito y prueba de tamaño), artículo 21 (medidas de riesgo), artículo 23 (notificación de incidentes)
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), Anexo 1 sector 2; §§ 28, 30, 32
  • BSI-Kritisverordnung (BSI-KritisV), umbrales específicos por sector para el transporte
  • Panorama de amenazas de ENISA para el transporte (edición más reciente)
  • Reglamento de Ejecución (UE) 2023/203 de EASA (Part-IS) para la seguridad de la aviación
  • Resolución MSC.428(98) de la IMO sobre la gestión del riesgo cibernético marítimo
Compruebe su aplicabilidad
Dos minutos, sin registro.
Ejecutar la comprobación de aplicabilidad