Anexo II - Entidad importante

NIS2 para empresas de gestión de residuos

Su sector entra por primera vez en el ámbito de aplicación del anexo II de NIS2. Si su empresa de gestión de residuos tiene más de 50 empleados o más de 10 M€ de facturación, esta es su guía práctica sobre lo que exige la ley y por dónde empezar.

Simon OrzelSimon Orzel·Laufend geprüft

¿Por qué se aplica NIS2 a las empresas de residuos?

La gestión de residuos se incorporó a NIS2 porque las operaciones de residuos modernas dependen en gran medida de los sistemas de TI. La gestión de flotas, la optimización de rutas, los sistemas de báscula puente, los controles de las plantas de clasificación, la facturación y los informes regulatorios funcionan todos con software en red. Un ataque de ransomware que paraliza el sistema de gestión de flotas de una empresa de residuos no solo detiene los camiones: crea un riesgo para la salud pública. La basura sin recoger en una ciudad de 200.000 habitantes se convierte en una crisis en cuestión de días.

La UE clasificó la gestión de residuos en el anexo II de la Directiva NIS2, lo que significa que las empresas de residuos que alcanzan el umbral de tamaño (más de 50 empleados o más de 10 M€ de facturación anual) se categorizan como «entidades importantes» (wichtige Einrichtungen) conforme al §28(2) BSIG. Esto significa que se aplica toda la gama de obligaciones de NIS2: registro ante el BSI, medidas de gestión del riesgo de ciberseguridad, notificación de incidentes, seguridad de la cadena de suministro y responsabilidad de la dirección.

La mayoría de las empresas de residuos nunca se han enfrentado a la regulación de ciberseguridad. No es una crítica: hasta NIS2 no había ninguna razón legal para hacerlo. Pero sí significa que hay una curva de aprendizaje más pronunciada en comparación con sectores que ya estaban bajo KRITIS. La buena noticia: los entornos de TI de las empresas de residuos suelen ser menos complejos que los de la banca o la energía, lo que significa que el esfuerzo de cumplimiento es proporcionalmente menor.

¿Qué aspecto tiene el inventario de activos de una empresa de residuos?
Toda entidad NIS2 debe mantener un inventario de los activos que dan soporte a los servicios críticos. Para una empresa típica de gestión de residuos con 100-200 empleados, el inventario es más sencillo de lo que cabría esperar: normalmente de 10 a 15 entradas agrupadas.

Gestión de flotas y GPS

El software y los sistemas que gestionan el enrutamiento de vehículos, el seguimiento por GPS, la programación de conductores y la optimización de rutas en tiempo real. Suele ser una plataforma SaaS alojada en la nube o un servidor on-premises. Si esto se cae, los camiones no pueden despacharse de forma eficiente. Agrupe todos los componentes de gestión de flotas en una sola entrada de activo.

Báscula puente y sistemas de pesaje

Sistemas electrónicos de pesaje en las instalaciones que registran los pesos de los materiales entrantes y salientes para la facturación y el cumplimiento regulatorio. A menudo están conectados a sistemas ERP. Pueden incluir controladores industriales antiguos. Agrupe el sistema de báscula puente (hardware + software) como un solo activo.

Sistema ERP y de facturación

El sistema de negocio central que gestiona la gestión de clientes, los contratos, la facturación, el seguimiento de materiales y los informes regulatorios. Habitualmente SAP Business One, DATEV o soluciones específicas del sector como RECY o Wastebox. El compromiso de este sistema afecta a los ingresos, a los datos de clientes y a los informes regulatorios. Una entrada de activo.

Controles de plantas de clasificación y procesamiento

Si su empresa opera plantas de clasificación, instalaciones de compostaje o plantas de valorización energética de residuos, probablemente disponga de sistemas SCADA o de control industrial que gestionan los procesos físicos. A menudo son sistemas antiguos con funciones de seguridad limitadas. Representan una categoría de riesgo distinta porque controlan equipos físicos. Agrúpelos por instalación.

Endpoints y TI de oficina

Portátiles, ordenadores de sobremesa y dispositivos móviles utilizados por el personal de oficina, los despachadores y la dirección. Aplicaciones ofimáticas estándar (Microsoft 365, correo electrónico, gestión documental). Grundschutz permite agrupar dispositivos idénticos: «45 portátiles Windows estándar» es una entrada de activo, no 45.

Infraestructura de red

Routers, switches, cortafuegos y conexiones VPN que enlazan oficinas, depósitos e instalaciones de planta. Incluya las conexiones a internet y los enlaces entre sedes. Si su empresa tiene varias ubicaciones, la red de cada sede puede ser una entrada agrupada. La red es lo que conecta todo lo demás: su compromiso afecta a todos los demás activos.

Por dónde empezar: orden de prioridad para empresas de residuos
No necesita hacerlo todo a la vez. Este orden de prioridad refleja lo que el BSI buscará primero y lo que crea más valor de cumplimiento por hora de esfuerzo.
1

1. Regístrese ante el BSI

Complete su registro del §33 BSIG a través del portal del BSI. Esta es la obligación más visible y tiene su propia disposición sancionadora (hasta 500.000 €). Lleva unos 30 minutos y le inscribe de inmediato como una entidad que está asumiendo sus obligaciones. Hágalo antes que nada.

2

2. Construya su inventario de activos

Enumere los sistemas que dan soporte a sus servicios de recogida, procesamiento y eliminación de residuos. Utilice las seis categorías anteriores como punto de partida. Para cada activo, anote qué hace, quién lo gestiona (interno o proveedor) y qué ocurre si no está disponible durante 24 horas. Este inventario se convierte en la base de todo lo que sigue.

3

3. Configure la notificación de incidentes

Defina qué cuenta como incidente significativo para su empresa y establezca el proceso para notificar al BSI dentro de los plazos exigidos (24h/72h/1 mes). Designe quién toma la decisión de notificar, quién presenta la notificación y cómo localizarlos fuera del horario laboral. No necesita un centro de operaciones de seguridad: necesita un árbol de llamadas claro y un proceso documentado.

4

4. Revise los controles de acceso

Audite quién tiene acceso a sus sistemas críticos, especialmente la gestión de flotas, el ERP y cualquier sistema de control de planta. Implemente autenticación multifactor en el acceso remoto y en las cuentas administrativas. Retire el acceso a los antiguos empleados. Esta suele ser el área con más fruta al alcance de la mano: muchas empresas de residuos tienen contraseñas compartidas, sin MFA, y cuentas de antiguos empleados todavía activas.

5

5. Documente las relaciones con proveedores

La mayoría de las empresas de residuos externalizan funciones de TI importantes: alojamiento en la nube, mantenimiento del ERP, software de gestión de flotas. Documente quiénes son estos proveedores, qué acceso tienen a sus sistemas y qué compromisos de seguridad asumen. Este es el comienzo de su proceso de seguridad de la cadena de suministro conforme al §30(2)(4) BSIG. Si su proveedor de TI sufre una brecha, sus datos y sus servicios están en riesgo.

Qué hace diferentes a las empresas de residuos

Las empresas de residuos tienen un perfil de riesgo singular. A diferencia de una empresa de software, donde casi todo es digital, las operaciones de residuos implican procesos físicos: camiones en carretera, materiales en movimiento, equipos en las instalaciones. Un ciberataque a la gestión de flotas tiene consecuencias inmediatas en el mundo físico. Esta dimensión de tecnología operativa significa que su evaluación de riesgos debe considerar tanto los sistemas de TI como cualquier control industrial.

La mayoría de las empresas de residuos externalizan en gran medida. Muchas operan con un pequeño equipo interno de TI (o sin personal de TI dedicado en absoluto) y dependen de proveedores externos para todo, desde el correo electrónico hasta el ERP y la gestión de flotas. Bajo NIS2, puede externalizar las operaciones pero no la responsabilidad: el §30 BSIG considera a su empresa responsable de las medidas de seguridad incluso cuando las presta un proveedor. Esto convierte la gestión de proveedores en su palanca de cumplimiento más importante.

El lado positivo: los entornos de TI de las empresas de residuos suelen ser sencillos. Una empresa de residuos de 100 personas tiene quizá de 6 a 10 grupos de sistemas distintos, frente a 30 o más en un banco u hospital de tamaño similar. Esto significa que el esfuerzo de cumplimiento es proporcionado: se trata de semanas de trabajo enfocado, no de un programa plurianual. El estándar del BSI de «adecuado y proporcionado» juega a su favor aquí.

Preguntas frecuentes

¿Está realmente nuestra empresa de residuos dentro del ámbito de aplicación de NIS2?

Si su empresa opera en la recogida, el tratamiento o la eliminación de residuos y tiene 50 o más empleados o 10 M€ o más de facturación anual, está casi con toda seguridad dentro del ámbito de aplicación como entidad importante conforme al anexo II de NIS2. La definición del sector cubre toda la cadena de gestión de residuos. Si está cerca del umbral, compruebe si las empresas del grupo vinculadas le hacen superar el límite: NIS2 utiliza la definición de pyme de la UE, que tiene en cuenta las empresas vinculadas.

Externalizamos toda la TI: ¿se nos sigue aplicando NIS2?

Sí, plenamente. NIS2 se aplica a la entidad que presta el servicio de gestión de residuos, con independencia de quién gestione la TI. Puede externalizar el trabajo pero no la responsabilidad legal (§30 BSIG). En la práctica, esto significa que su proveedor de TI se convierte en su proveedor más crítico: documente la relación, incluya requisitos de ciberseguridad en el contrato y verifique que cuentan con medidas de seguridad adecuadas. Si sufren una brecha, se activa su obligación de notificación, no la de ellos.

¿Qué aspecto tiene un inventario de activos para una empresa de residuos?

Más sencillo de lo que piensa. Una empresa de residuos típica de 100 personas tiene unas 10 a 15 entradas de activos agrupadas: sistema de gestión de flotas, sistema de báscula puente, ERP/facturación, infraestructura de red por sede, endpoints estándar (agrupados, p. ej., «45 portátiles Windows»), correo/colaboración (Microsoft 365) y posiblemente SCADA o controles de plantas de clasificación. Grundschutz permite explícitamente agrupar activos idénticos, por lo que no necesita una línea por cada portátil.

¿Cuánto tiempo lleva el cumplimiento de NIS2 para una empresa de nuestro tamaño?

Para una empresa de residuos de 100 personas que parte de cero, espere de 3 a 6 meses para alcanzar una base sólida: registro ante el BSI (semana 1), inventario de activos y evaluación de riesgos (semanas 2 a 6), proceso de notificación de incidentes (semanas 4 a 8), mejoras del control de acceso (semanas 6 a 12), documentación de políticas (continua). No necesita ser perfecto desde el primer día: el BSI evalúa la trayectoria y la buena fe. Tras la configuración inicial, el esfuerzo continuo consiste principalmente en revisiones anuales y en responder a los incidentes.

Fuentes
  • Directiva NIS2 (UE) 2022/2555 - Anexo II, sector 4: Aguas residuales y gestión de residuos
  • BSIG - §28 (ámbito de aplicación), §30 (medidas de ciberseguridad), §33 (registro), §38 (responsabilidad de la dirección)
  • BSI - Orientación NIS2 específica por sector y documentación del portal de registro (2025)
  • IT-Grundschutz Kompendium - OPS.1.2.5 (Fernwartung), IND.1 (Prozessleit- und Automatisierungstechnik)
  • BDE Bundesverband der Deutschen Entsorgungs-, Wasser- und Kreislaufwirtschaft - Documentos de posición sobre NIS2
Cumplimiento de NIS2 para empresas de residuos: estructurado y práctico
La plataforma le guía por cada requisito del §30 BSIG con orientación adecuada al sector: plantillas de inventario de activos, flujos de evaluación de riesgos, documentación de proveedores y procedimientos de notificación de incidentes dimensionados para las operaciones de gestión de residuos.
Inicie su proceso de cumplimiento de NIS2