La Directiva NIS-2 amplía drásticamente las obligaciones de ciberseguridad: alrededor de 30.000 empresas en Alemania se ven afectadas, y muchas aún no lo saben. Conozca qué sectores están cubiertos, qué requisitos de seguridad se aplican, cómo funciona la responsabilidad personal de los administradores y cómo prepararse con una hoja de ruta de cumplimiento.
NIS-2: La obligación de ciberseguridad que 30.000 empresas aún desconocen
Desde el 6 de diciembre de 2025, está en vigor en Alemania la Ley de Implementación de NIS-2 (NIS2UmsuCG). Transpone la Directiva europea (UE) 2022/2555 (Directiva NIS-2) al derecho nacional y amplía drásticamente las obligaciones de ciberseguridad para las empresas. Mientras que la regulación KRITIS anterior solo afectaba a unos 4.500 operadores de infraestructuras críticas, el nuevo régimen abarca aproximadamente 30.000 empresas e instituciones federales. Muchas de ellas aún no lo saben, ya que las autoridades no notifican activamente a las empresas afectadas. Quien no compruebe su situación por sí mismo se arriesga a multas severas y a la responsabilidad personal de la dirección.
¿Qué es la Directiva NIS-2?
La Directiva NIS-2 sucede a la primera Directiva NIS de 2016. Su objetivo es alcanzar un alto nivel común de ciberseguridad en toda la Unión Europea. En comparación con su predecesora, NIS-2 amplía considerablemente el ámbito de aplicación, endurece los requisitos de seguridad e introduce un régimen sancionador uniforme. La Agencia de la Unión Europea para la Ciberseguridad (ENISA) apoya a los Estados miembros con directrices técnicas y ayuda para la implementación.
¿Quién está afectado? Entidades esenciales e importantes
La nueva categorización
NIS-2 divide las entidades afectadas en dos categorías:
Entidades esenciales:
- Empresas con al menos 250 empleados o más de 50 millones de euros de facturación anual en sectores críticos
- Independientemente del tamaño: prestadores cualificados de servicios de confianza, registros TLD, proveedores DNS, proveedores de telecomunicaciones
- Operadores KRITIS bajo la regulación anterior
Entidades importantes:
- Empresas medianas (50 a 249 empleados o 10 a 50 millones de euros de facturación) en los sectores cubiertos
- Prestadores de servicios de confianza y determinados servicios de registro de dominios
Cobertura sectorial: la ampliación drástica
La Directiva NIS-2 cubre 18 sectores -- considerablemente más que la regulación KRITIS anterior según el § 8a BSIG, limitada a ocho sectores. Los sectores de alta criticidad incluyen: energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable, aguas residuales, infraestructuras digitales, gestión de servicios TIC, administración pública y espacio. Otros sectores cubiertos son: servicios postales y de mensajería, gestión de residuos, química, alimentación, industria manufacturera, proveedores de servicios digitales e investigación.
Especialmente relevante para la mediana empresa: las empresas del sector manufacturero -- como ingeniería mecánica, fabricación de vehículos e ingeniería eléctrica -- están sujetas por primera vez a obligaciones de ciberseguridad, siempre que superen los umbrales.
Comprobación de aplicabilidad
El BSI ofrece una herramienta de autoevaluación en línea con la que las empresas pueden determinar en pocos pasos si están sujetas a la nueva regulación.
Requisitos de seguridad según el art. 21
Diez medidas fundamentales
El art. 21 de la Directiva NIS-2 y las disposiciones correspondientes de la BSIG reformada exigen a las entidades afectadas un enfoque integral de riesgos (all-hazards approach). Las diez áreas de medidas obligatorias son:
- Análisis de riesgos y políticas de seguridad para redes y sistemas de información
- Gestión de incidentes de seguridad
- Continuidad del negocio -- gestión de copias de seguridad, recuperación ante desastres, gestión de crisis
- Seguridad de la cadena de suministro, incluidas las relaciones con proveedores
- Seguridad en la adquisición, desarrollo y mantenimiento de sistemas
- Evaluación de la eficacia de las medidas de gestión de riesgos
- Ciberhigiene básica y formación en ciberseguridad
- Criptografía y cifrado -- conceptos y procedimientos
- Seguridad del personal, control de acceso y gestión de activos
- Autenticación multifactor o autenticación continua, comunicaciones seguras
Proporcionalidad
Las medidas deben ser proporcionales al riesgo. Se deben considerar el tamaño de la entidad, la probabilidad y gravedad de los incidentes, los impactos sociales y económicos y el estado de la técnica.
Obligaciones de notificación según el art. 23: plazos estrictos
- 24 horas: Alerta temprana al BSI con una evaluación inicial
- 72 horas: Notificación detallada con evaluación, gravedad e impactos
- 1 mes: Informe final con descripción detallada, análisis de causas y medidas adoptadas
Consejo práctico: El plazo de 24 horas comienza desde el conocimiento del incidente. Las empresas necesitan sistemas de detección funcionales y un proceso de respuesta a incidentes probado.
Responsabilidad de los administradores: responsabilidad personal
Uno de los aspectos más significativos es la responsabilidad personal de la dirección. Los órganos de dirección deben:
- Aprobar las medidas de gestión de riesgos y supervisar su implementación
- Participar en formaciones de ciberseguridad
- Ser personalmente responsables por incumplimientos
La renuncia de la empresa a reclamaciones contra la dirección queda excluida. Un acuerdo transaccional solo es posible en condiciones estrictas -- en caso de insolvencia de la dirección y para proteger a los acreedores.
Sanciones: hasta 10 millones de euros o el 2 % de la facturación
Para entidades esenciales:
- Multas de hasta 10 millones de euros o 2 % de la facturación anual mundial
Para entidades importantes:
- Multas de hasta 7 millones de euros o 1,4 % de la facturación anual mundial
Además, las autoridades pueden ordenar auditorías de seguridad, emitir advertencias públicas y, para entidades esenciales, decretar una suspensión temporal de funciones directivas.
Relación con la regulación KRITIS existente
Las empresas ya reguladas como operadores KRITIS según el § 8a BSIG no partirán de cero. Los requisitos existentes constituyen una base sólida, aunque se suman obligaciones adicionales: obligaciones de notificación ampliadas, registro obligatorio ante el BSI y responsabilidad explícita de la dirección.
Todas las entidades afectadas debían registrarse en el portal del BSI antes del 6 de marzo de 2026.
Hoja de ruta de cumplimiento práctica
- Análisis de aplicabilidad: Determine su estatus con la herramienta BSI
- Análisis de brechas: Compare su nivel de seguridad con los requisitos del art. 21
- Gestión de riesgos: Establezca un proceso integral que incluya la cadena de suministro
- Respuesta a incidentes: Desarrolle un plan que garantice el cumplimiento del plazo de 24 horas
- Implicación de la dirección: Asegure la formación y documentación de responsabilidades
- Registro y documentación: Inscríbase en el portal BSI y documente todas las medidas
Conclusión
La Directiva NIS-2 y el NIS2UmsuCG marcan un cambio de paradigma en la regulación alemana de ciberseguridad. La extensión a aproximadamente 30.000 empresas, la responsabilidad personal de los administradores y las severas sanciones dejan claro: la ciberseguridad ya no es un asunto de TI, sino de la dirección. Las empresas que no actúen ahora se exponen a riesgos legales y financieros considerables.
En compleneo le apoyamos en el análisis de aplicabilidad NIS-2, la implementación de un programa de cumplimiento de ciberseguridad conforme a la ley y el asesoramiento sobre responsabilidad de los administradores. Contáctenos.
