KI-generiertes Beitragsbild zum Artikel NIS-2: Registerlücke wird zur Chefsache
17.07.2026

Registro NIS2: Acciones que debe adoptar la dirección ejecutiva ahora

5 Min. de lectura

El plazo legal de registro de la NIS-2 ante el BSI expiró el pasado 6 de marzo de 2026, y hasta principios de abril solo aproximadamente la mitad de los obligados figuraba en el registro. Según informes especializados, quienes estén afectados y aún no se hayan registrado solo disponen hasta finales de julio de una tolerancia administrativa para subsanar el trámite. La responsabilidad recae en la dirección de la empresa.

Lo más importante en resumen

  • Plazo: La fecha legal de registro finalizó el 6 de marzo de 2026. Según informes especializados, las notificaciones posteriores se tolerarán hasta el 31 de julio de 2026 como gesto de flexibilidad administrativa, sin modificación de la ley.
  • Brecha: Unas 29.500 entidades están sujetas a la obligación. Hasta el 2 de abril de 2026, solo 15.477 se habían registrado en el portal del BSI.
  • Responsabilidad: El registro está sujeto a sanciones (hasta 500.000 euros). La dirección debe implementar y supervisar la gestión de riesgos, y responde ante la propia empresa en caso de incumplimiento culpable.
  • Esta semana: Verificar si se está afectado, aclarar el acceso a ELSTER/MUK, completar el registro en el portal del BSI y documentar el proceso.

Relacionado:La supervisión de la IA en Alemania ya tiene dirección  /  Paralización administrativa de un modelo de IA: la lección para las pymes

El plazo ha expirado, la obligación sigue vigente

El 6 de diciembre de 2025 entró en vigor la Ley de Implementación de NIS-2. Desde entonces, la obligación de registro para entidades importantes y especialmente importantes se rige por la ley BSI revisada (BSIG). Para las entidades afectadas desde la entrada en vigor, el plazo legal de tres meses finalizó el 6 de marzo de 2026.

El BSI lo deja claro: el plazo legal de registro ha expirado. Quienes estén afectados y no se hayan registrado deben hacerlo de inmediato en el portal del BSI. No existe una prórroga legal del plazo. Informes especializados y una carta de asociaciones evaluada por Heise Online describen una tolerancia administrativa para notificaciones posteriores hasta el 31 de julio de 2026: el BSI espera que los registros pendientes se completen para esa fecha. Jurídicamente, la obligación sigue vigente desde el 6 de marzo -la flexibilidad no altera la infracción sancionable-.

Para los directivos de pymes, el calendario práctico es clave: el registro debería estar completado antes de finales de julio de 2026. A partir de entonces, aumenta notablemente el riesgo de supervisión efectiva. El expediente ya figura como «obligación incumplida» desde que se determina la condición de entidad afectada.

15.477
Registros en el portal del BSI a fecha de 2 de abril de 2026 -de unas 29.500 entidades obligadas previstas-
Fuente: BSI, «NIS-2 en cifras», evaluación al 02.04.2026 (próxima actualización según el BSI, previsiblemente el 31.07.2026)

La brecha es evidente. De las aproximadamente 29.500 entidades que el BSI considera dentro del ámbito regulado, solo 15.477 se habían registrado en el portal hasta el 2 de abril de 2026 -de las cuales 9.894 eran entidades importantes y 5.583, especialmente importantes-. Heise informó, citando al BSI, que a finales de mayo se habían alcanzado casi 18.500 registros. Aun así, sigue faltando una parte considerable. La próxima actualización oficial de estadísticas está prevista por el BSI para el 31 de julio de 2026.

¿Me afecta esto? La comprobación dura minutos

¿Qué es NIS-2? NIS-2 es una directiva de la UE sobre ciberseguridad que Alemania ha transpuesto al derecho nacional mediante la Ley de Implementación de NIS-2. Obliga a las empresas de determinados sectores, a partir de un tamaño establecido, a registrarse en el BSI, gestionar riesgos y notificar incidentes graves de seguridad. La responsabilidad recae expresamente en la dirección de la empresa.

Quien espere a que el BSI llame por iniciativa propia, no comprende el sistema: es la propia empresa la que debe comprobar si está afectada. La BSIG abarca instalaciones importantes y especialmente importantes en los sectores de los anexos 1 y 2 -desde energía y transporte hasta sanidad y servicios digitales, pasando por la industria manufacturera-. Lo decisivo suelen ser tanto el tamaño como el sector. Las instalaciones especialmente importantes incluyen, entre otros, a los operadores de infraestructuras críticas y a las grandes empresas en sectores de alto riesgo. Los servicios de dominios y DNS pueden verse afectados independientemente del tamaño de la empresa.

Pregunta Qué debe comprobar Próximo paso
Sector ¿Actividad en el anexo 1 o 2 de la BSIG? Iniciar la comprobación de afectación del BSI
Tamaño Especialmente importante: a partir de 250 empleados o más de 50 millones de Euro de facturación y más de 43 millones de Euro de balance (solo anexo 1).
Importante: a partir de 50 empleados o facturación y balance superiores a 10 millones de Euro cada uno (anexos 1 y 2).
Consultar las cifras del último cierre
Casos especiales KRITIS, DNS, registro de dominios, servicios digitales Evaluación especializada o asesoramiento jurídico
Resultado «sí» Obligación de registro según § 33 BSIG MUK + portal del BSI esta semana

Fuente: Umbrales de tamaño según § 28 apartado 1 número 4 y apartado 2 número 3 BSIG; obligación de registro según § 33 BSIG. Para operadores KRITIS, servicios de confianza, registros TLD y proveedores DNS no se aplican los umbrales -están incluidos independientemente del tamaño (§ 28 apartado 1 números 1 y 2). La comprobación de afectación en línea del BSI no es vinculante -la clasificación jurídica corresponde a la empresa.

En la práctica, a menudo basta con la comprobación de afectación en línea gratuita del BSI como punto de partida. No es vinculante, pero ofrece una orientación fiable en pocos minutos. Quien obtenga un «sí» o un «poco claro» debería preparar el registro y, en caso de duda, consultar a un asesor fiscal o a un despacho especializado -antes de que finalice el plazo de tolerancia.

Registro en dos pasos – y lo que cuesta

El procedimiento es de dos fases y digital. Primer paso: acceso a través de «Mi cuenta empresarial» (MUK) con certificado organizativo ELSTER. Muchas pymes ya disponen de este certificado para la administración tributaria. Si falta, su solicitud es el cuello de botella y la razón por la que los registros suelen quedarse atascados.

Segundo paso: registro en el portal del BSI en portal.bsi.bund.de. Entre los datos a facilitar se encuentran el nombre y la forma jurídica, los datos de contacto, incluidos los rangos de IP públicos, el sector o la rama de actividad, los Estados miembros de la UE donde se presta el servicio y las autoridades supervisoras competentes. Posteriormente, el portal también sirve como punto de notificación para incidentes de seguridad significativos.

El registro en sí es gratuito. Los costes surgen internamente: tiempo de los departamentos de TI y de la dirección, clarificación del sector y los umbrales, y, en su caso, auditoría externa. Si el MUK está disponible y se ha aclarado la afectación, la mera notificación en el portal suele llevar solo unas horas. Las medidas técnicas de protección forman parte del paquete completo, pero para el registro bastan los datos maestros correctos y el acceso.

Multa, responsabilidad, obligación del directivo: lo que realmente se aplica

La omisión o el registro incorrecto constituyen una infracción administrativa. Según el § 65 apartado 2 número 6 en relación con el apartado 5 número 5 de la BSIG, la multa puede ascender hasta 500.000 euros. Los marcos más elevados, de hasta 10 millones de euros (para instalaciones especialmente importantes) o 7 millones de euros (para instalaciones importantes), se aplican principalmente en caso de incumplimiento de las obligaciones de gestión de riesgos y notificación. A partir de un volumen de negocios total superior a 500 millones de euros, entra en juego un límite máximo vinculado a los ingresos.

La responsabilidad personal en la BSIG se refiere sobre todo a la responsabilidad interna de la dirección: según el § 38, los directivos deben implementar y supervisar las medidas de gestión de riesgos conforme al § 30. Si incumplen estas obligaciones de forma culpable, responden ante su propia entidad según las normas societarias de la forma jurídica correspondiente. Además, el § 38 apartado 3 de la BSIG establece la obligación de formar periódicamente a la dirección en materia de ciberriesgos. La cadena de obligaciones termina así en el despacho del directivo y debe estar documentada allí.

Para el director gerente sin departamento jurídico, esto significa que el registro y la decisión sobre la afectación deben constar en los archivos de la dirección. Sin una evaluación trazable, falta la prueba de descargo. Si no se realiza el registro, el BSI puede registrar la entidad por sí mismo, de acuerdo con otras autoridades supervisoras, según el § 33 apartado 3, iniciándose así la supervisión desde fuera.

Lo que la dirección debe resolver esta semana

El plazo es ajustado: hasta el 31 de julio de 2026 finaliza el periodo de tolerancia descrito en los círculos especializados. Un plan realista para una semana en una pyme sería el siguiente:

  • Día 1: Realizar la comprobación de afectación en línea del BSI. Registrar el resultado y los indicadores utilizados (empleados, facturación, balance, sector).
  • Días 1 a 2: Verificar el certificado organizativo ELSTER y el acceso a MUK. Si falta el acceso, solicitarlo de inmediato: este es el camino crítico.
  • Días 2 a 3: Designar un punto de contacto responsable y una persona de contacto. Coordinar los rangos de IP y los datos del sector con los departamentos de TI y control de gestión.
  • Días 3 a 4: Finalizar el registro en el portal del BSI. Guardar la confirmación. Informar a la dirección sobre el resultado y las obligaciones pendientes de NIS-2 (notificación, gestión de riesgos, formación).
  • Día 5: Elaborar una lista interna de tareas para los próximos 90 días: notificación de incidentes, análisis de riesgos, fecha de formación para la dirección. Priorizar las medidas técnicas en paralelo al registro.

Quien deje pasar el periodo de tolerancia sigue teniendo la obligación y el riesgo de multa. Quien se registre ahora proporciona a la organización la base para los procesos de notificación y supervisión. Para las pymes sin director de seguridad de la información (CISO), esta es la forma pragmática de empezar: primero figurar en el registro y luego desarrollar el contenido, todo documentado y respaldado por la dirección.

Preguntas frecuentes

¿Se ha prorrogado legalmente el plazo hasta el 31 de julio de 2026?

El plazo legal de registro finalizó el 6 de marzo de 2026 y no se ha prorrogado en el texto legal. Informes especializados describen una tolerancia administrativa para notificaciones posteriores hasta el 31 de julio de 2026. El BSI insta en sus páginas al registro inmediato. La obligación según el § 33 BSIG sigue vigente.

¿Cuál es la cuantía de la multa solo por la falta de registro?

Para infracciones contra la obligación de registro, el § 65 BSIG prevé, entre otras, sanciones de hasta 500.000 euros. Las cuantías máximas más elevadas (hasta 10 millones de euros o 7 millones de euros) afectan principalmente a otras obligaciones, como la gestión de riesgos y las notificaciones. Corresponde a la ejecución del BSI decidir si y cuándo impone multas; la base legal está establecida.

¿Responde personalmente el director gerente si falta el registro?

El § 38 BSIG vincula la responsabilidad personal interna principalmente a la obligación de implementar y supervisar medidas de gestión de riesgos. El registro es una obligación de la entidad y está sujeto a multas. Si falta, suele documentar un fallo organizativo, y la dirección debe poder dirigir y demostrar la implementación global.

¿Cuánto cuesta el registro en el BSI?

El portal del BSI no cobra ninguna tasa por el registro NIS-2. El esfuerzo se genera internamente (MUK/ELSTER, clarificación de datos, posible auditoría externa). Quien deje la afectación sin aclarar, arriesga un trabajo posterior más costoso y el riesgo de multa; la tasa del portal es, en este caso, el menor de los gastos.

¿Es suficiente la prueba de afectación del BSI como justificante?

Es una herramienta no vinculante y un buen punto de partida. La evaluación legal y la decisión de registro siguen siendo responsabilidad de la empresa. Guarde el resultado, la fecha y los datos empresariales utilizados; esto ayuda en la documentación interna y frente a asesores.

Más para leer en MyBusinessFuture

MyBusinessFutureLey de Ejecución del Data Act: qué deben resolver los fabricantes alemanes de IoT hasta septiembre de 2026MyBusinessFutureObligación de factura electrónica 2028: 18 meses para la contabilidad de las pymesMyBusinessFutureReglamento de IA de la UE: qué debe etiquetar el sector medio

Más de la red MBF Media

cloudmagazinSeparar claramente NIS2 y DORA: clústeres de cumplimiento en KubernetesDigital ChiefsResponsabilidad personal: proteger a los CIO frente a NIS2 y DORASecurityToday¿Qué es NIS2? Definición, obligaciones y responsabilidad

Fuente de la imagen: generada por IA (julio de 2026)

También disponible en

Newsletter MBF Media

El briefing mensual para decisores

Una vez al mes, la newsletter de MBF Media reúne lo esencial de cloudmagazin, MyBusinessFuture, Digital Chiefs y SecurityToday, seleccionado por la redacción.

25 000 responsables de IT y negocio leen esta newsletter. Únase.

Suscríbase gratis
Newsletter MBF Media, última edición en iPhone
Una revista de evernine media GmbH
La revista para directivos del Mittelstand DACH