Diagramm zur NIS2-Umsetzung im Mittelstand: Compliance-Fristen bis 2026.
04.04.2026

Transposición NIS2: lo que las pymes aún deben hacer

6 min. de lectura

El NIS2-Umsetzungsgesetz es válido a partir del 6 de diciembre de 2025 – sin transición. Aproximadamente 29.500 empresas en 18 sectores están afectadas, incluyendo miles de pequeñas y medianas empresas (PYME) de la fabricación de maquinaria, servicios de TI y logística. La fecha límite para la registración con la BSI se ha visto pasada el 6 de marzo de 2026. Quien no se ha registrado aún, corre el riesgo de multas de hasta 10 millones de euros y responsabilidad personal de la dirección. Esto no es un escenario futuro – esto es el derecho actual.

Lo más importante en resumen

  • 29.500 empresas en 18 sectores están sujetas al NIS2 – mucho más que bajo la anterior directiva NIS (BSI, 2025).
  • Sin transición: El NIS2-Umsetzungsgesetz es válido inmediatamente a partir del 6 de diciembre de 2025. Las medidas de seguridad y las obligaciones de notificación son obligatorias.
  • Responsabilidad personal: El artículo 38 de la BSIG-neu hace que los ejecutivos sean responsables personalmente. En caso de graves violaciones, se puede imponer una suspensión de la profesión.
  • Multas de hasta 10 millones de euros o 2 por ciento del ingreso global anual para instituciones específicas (artículo 60 de la BSIG-neu).
  • Fecha límite de registro con la BSI agotada: La fecha límite se había visto pasada el 6 de marzo de 2026. Una nueva solicitud de registro es posible, pero cada día de retraso aumenta el riesgo de multa.

NIS2 en Alemania: Lo que se aplica a partir del 6 de diciembre de 2025

La directiva europea NIS2 debía haberse incorporado al derecho nacional hasta octubre de 2024. Alemania ha superado esta fecha – el NIS2-Umsetzungs- y Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) fue aprobado por el Bundestag el 13 de noviembre de 2025, confirmado por el Bundesrat el 20 de noviembre y entró en vigor el 6 de diciembre de 2025.

Lo que muchos ejecutivos subestiman: El código no tiene una fase de transición. A partir del día en que entra en vigor, las medidas de seguridad según el artículo 30 de la BSIG y las obligaciones de notificación aumentadas para todas las empresas afectadas son obligatorias. Quien no esté conforme, viola already el derecho actual. Y la BSI ha comenzado a revisar activamente desde principios de 2026 – no solo en caso de un incidente.

Lo que dificulta aún más: Según los datos de la BSI, solo el 38,5 por ciento de las aproximadamente 29.500 empresas afectadas se habían registrado hasta marzo de 2026. Más de 18.000 empresas se encuentran en una zona legal de incertidumbre – afectadas, pero ni registradas ni conformes.

29.500
empresas afectadas en Alemania
BSI, 2025
10 Mio. €
multa máxima para instituciones específicas
artículo 60 de la BSIG-neu
24 h
plazo máximo para la notificación de un incidente de seguridad
artículo 32 de la BSIG-neu

¿Quién está afectado? Un resumen de los 18 sectores

NIS2 afecta a empresas con 50 empleados o más, o con un volumen de ventas anual de 10 millones de euros, en 18 sectores. El código distingue dos categorías: entidades específicamente importantes (con obligaciones más altas y multas más severas) y entidades importantes.

Entidades específicamente importantes incluyen energía, transporte y comunicaciones, banca, infraestructuras financieras, salud, agua potable, aguas residuales, infraestructuras digitales, servicios de TI en el sector B2B, administración pública y exploración espacial. Entidades importantes incluyen correos y enviadores, gestión de residuos, química, alimentos, industria manufacturera (fabricación de maquinaria, fabricación de vehículos, electrónica), proporcionadores de servicios digitales y instituciones de investigación.

Para el sector mediano, la segunda categoría es crucial: un fabricante de maquinaria con 80 empleados y 15 millones de euros en ventas está sujeto a NIS2, aunque nunca se ha ocupado de regulaciones de seguridad cibernética. Lo mismo se aplica a proveedores de servicios de TI, empresas de logística y proveedores de la industria automotriz. La línea de amortiguación de la afectación está conscientemente establecida bajo.

NIS2 exige que la dirección ejecutiva no solo permita el establecimiento y el funcionamiento de un nivel de seguridad adecuado, sino que lo dirija activamente. Deben autorizar conceptos de seguridad, proporcionar recursos y evaluar riesgos regularmente – esto es una obligación personal de la dirección.
Resumen de las obligaciones según el artículo 38 BSIG-neu

Multas y responsabilidad personal según el artículo 38 BSIG

Las sanciones bajo NIS2 son más graves que lo que los empresas alemanas han experimentado hasta ahora en el ámbito de la seguridad cibernética. Entidades específicamente importantes pueden enfrentar multas de hasta 10 millones de euros o del 2% del volumen de ventas globales – el mayor de los dos. Para entidades importantes, las límites son de 7 millones de euros o del 1,4% del volumen de ventas.

Lo que realmente es destacable es el artículo 38 BSIG-neu: la responsabilidad personal de la dirección. Los ejecutivos deben autorizar la implementación de las medidas de seguridad y supervisar su ejecución. Deben asistir regularmente a capacitaciones para comprender los riesgos cibernéticos, las bases técnicas y las exigencias legales. En caso de grave negligencia o malicia, el ejecutivo está personalmente responsable.

En el caso extremo, el BSI puede emitir un veto provisional a los ejecutivos que violan repetidamente o de manera grave a NIS2. Esto introduce una nueva dimensión: la seguridad cibernética ya no es delegable, sino una prioridad de la dirección con consecuencias personales. Quien se ocupa del tema de la seguro cyber se derrite rápidamente en la realización de que muchos seguros requieren la conformidad con NIS2 como requisito previo para el protección del seguro.

Ejemplo concreto: El ejecutivo de un proveedor de servicios de TI mediano con 120 empleados no se registró en NIS2. En febrero de 2026, un ataque de ransomware afectó a la empresa. No se cumplió el plazo de notificación de 24 horas, ya que no existía un plan de respuesta al incidente. La consecuencia: además del daño económico por el ataque, se pronunciaron multas por la falta de registro, la notificación tardía y las medidas de seguridad deficientes. El ejecutivo está personalmente responsable, ya que no puede probar la asistencia a capacitaciones ni autorizar la implementación de las medidas.

¿Qué deben implementar las empresas afectadas exactamente?

§30 BSIG-neu define diez áreas donde las empresas deben tomar medidas. El alcance se basa en el tamaño de la empresa, la exposición al riesgo y su importancia social. Para el sector medio, los siguientes son especialmente relevantes:

Gestión de riesgos: Análisis de riesgos regulares para todos los sistemas de TI y procesos comerciales. No solo una vez al año como una obligación, sino como un proceso continuo.

Respuesta a incidentes: Un plan documentado para el manejo de incidentes de seguridad. Se debe realizar una notificación al BSI dentro de las 24 horas. Dentro de las 72 horas, una notificación calificada con una evaluación de la gravedad. Tras un mes, un informe final.

Continuidad empresarial: Estrategias de respaldo, planes de recuperación y gestión de crisis. La empresa debe demostrar que puede superar un incidente de TI grave.

Seguridad de la cadena de suministro: Evaluar y asegurar la seguridad de la cadena de suministro completa. Esto afecta especialmente a las empresas que trabajan como proveedores de infraestructuras críticas – y hay muchas en el sector medio. Aquellos que aún no han revisado su estrategia de nube en términos de soberanía deben hacerlo en el marco de la implementación de NIS2.

Obligación de capacitación para la dirección: §38 BSIG requiere capacitaciones probables. Los ejecutivos deben conocer los fundamentos de la seguridad de TI, las amenazas actuales y los requisitos legales. La capacitación debe ser documentada – es un prueba clave en caso de auditoría. Esto también se aplica a los ejecutivos de accionistas en el sector medio que han delegado la seguridad de TI a los administradores de sistemas.

Control de acceso y criptografía: La autenticación multifactor, la comunicación cifrada y un manejo estructurado de permisos ya no son recomendaciones opcionales, sino obligaciones legales. En el sector medio, donde a menudo se utilizan contraseñas simples y cuentas de administrador compartidas, esto implica un esfuerzo significativo.

En 5 pasos para la NIS2-compliance

1

Comprobar la incertidumbre

¿Su empresa cae en uno de los 18 sectores? ¿Tiene más de 50 trabajadores o un volumen de ventas anual superior a 10 millones de euros? En ese caso, es probable que esté afectada. El BSI proporciona un chequeo de incertidumbre en su sitio web.

2

Reconciliación de la registración con el BSI

La fecha límite oficial fue el 6 de marzo de 2023. Si la ha pasado por alto: hacerlo de inmediato. La registración se realiza a través del Portal de Notificación e Información del BSI. Cada día de retraso aumenta el riesgo de multa.

3

Ejecución de análisis de brechas

Compare su estado actual de seguridad informática con los requisitos del artículo 30 de la BSIG. ¿Dónde tienen medidas ya implementadas y dónde faltan? Un auditor externo o un asesor especializado puede realizar este análisis en dos a cuatro semanas.

4

Establecer un plan de respuesta a incidentes

Defina vías claras de notificación, responsabilidades y niveles de escalación. Realice al menos una práctica de simulación al año con una tabletop. La fecha límite de notificación de 24 horas al BSI requiere procesos documentados que sean accesibles en caso de emergencia.

5

Formar y documentar la dirección

El artículo 38 de la BSIG-neu requiere pruebas documentadas de formación de la dirección. Esto no es opcional. Reserva cualificadas formaciones NIS2 y documenta la asistencia. Estas pruebas son cruciales en caso de auditoría para evitar sanciones.

Además de la NIS2-compliance, los negocios deben considerar el Cyber Resilience Act, que establece requisitos adicionales para los fabricantes de productos digitales. Y para mantener el panorama regulatorio en perspectiva, en el artículo sobre el EU AI Act se encuentra el segundo bloque de cumplimiento clave para 2023.

Preguntas frecuentes

¿Gana NIS2 a empresas con menos de 50 trabajadores?

En general, no. La línea de demarcación se establece en 50 trabajadores o un volumen de ventas anual de 10 millones de euros. Existen excepciones para empresas en áreas críticas como los servicios DNS, los proveedores de servicios de confianza o los operadores de dominios de nivel superior. Estas empresas están sujetas a NIS2 independientemente de su tamaño.

¿Puedo realizar la registración BSI después del plazo?

Sí. La fecha límite del 6 de marzo de 2026 ha pasado, pero la registración a través del portal BSI sigue siendo posible. Las empresas deben realizar la registración en cuanto sea posible. La registración después del plazo no está penalizada con multas, pero el riesgo aumenta conforme se retrasa la acción.

¿Qué ocurre en caso de una violación de seguridad bajo NIS2?

Las empresas afectadas deben presentar una notificación inicial al BSI dentro de las 24 horas. Dentro de las 72 horas siguen una notificación calificada que incluye una evaluación de la gravedad, el alcance y las posibles implicaciones transfronterizas. Un informe final debe ser presentado en un plazo máximo de un mes después del hecho.

¿El director general se responsabiliza personalmente por violaciones de NIS2?

Sí. El artículo 38 de la BSIG-neu establece una responsabilidad personal del consejo de administración. Los ejecutivos deben autorizar medidas de seguridad, supervisar su implementación y asistir regularmente a capacitaciones. En caso de grave negligencia o mala intención, se puede imponer una responsabilidad personal. En casos graves, el BSI puede emitir un veto provisional al ejecutivo.

¿Cuánto cuesta la implementación de NIS2 para un pequeño y mediano emprendedor?

Esto depende del nivel actual de seguridad de la empresa. Las empresas con un ISMS existente según ISO 27001 tienen el menor esfuerzo – deben principalmente complementar las obligaciones de notificación y la capacitación del consejo de administración. Las empresas sin un manejo estructurado de seguridad de la información tendrían un esfuerzo inicial de 50.000 a 200.000 euros, distribuido a lo largo de seis a doce meses.

¿Es suficiente una certificación ISO-27001 para cumplir con NIS2?

Una certificación ISO-27001 cubre muchas de las exigencias de NIS2, pero no es suficiente por sí sola. NIS2 requiere además la registración BSI, las obligaciones de notificación dentro de las 24 horas, la capacitación probada del consejo de administración y la protección de la cadena de suministro. ISO 27001 es una base muy sólida, pero debe ser complementada con las obligaciones específicas de NIS2.

Fuente de la imagen del título: Pexels / Tima Miroshnichenko (px:5380596)

También disponible en

Una revista de evernine media GmbH
La revista para directivos del Mittelstand DACH DEENFRES