Transposición NIS2: lo que las pymes aún deben hacer
6 min de lectura
La ley de transposicion NIS2 esta en vigor desde el 6 de diciembre de 2025 – sin periodo de transicion. Alrededor de 29.500 empresas en 18 sectores estan afectadas, incluyendo por primera vez miles de pymes de ingenieria mecanica, servicios informaticos y logistica. El plazo de registro ante el BSI expiro el 6 de marzo de 2026. Quienes aun no se han registrado arriesgan multas de hasta 10 millones de euros y responsabilidad personal de la direccion. Esto no es un escenario futuro – es derecho vigente.
Lo mas importante
- 29.500 empresas en 18 sectores estan sujetas a NIS2 – significativamente mas que bajo la anterior directiva NIS (BSI, 2025).
- Sin periodo de transicion: el NIS2UmsuCG esta en vigor desde el 6 de diciembre de 2025. Las medidas de seguridad y obligaciones de notificacion son vinculantes de inmediato.
- Responsabilidad personal: el articulo 38 BSIG hace a los directivos personalmente responsables. Las infracciones graves pueden resultar en prohibicion de ejercer.
- Multas de hasta 10 millones de euros o el 2 por ciento de la facturacion anual global para entidades esenciales (articulo 60 BSIG).
- Registro BSI expirado: el plazo fue el 6 de marzo de 2026. El registro tardio es posible, pero cada dia de retraso aumenta el riesgo de multa.
NIS2 en Alemania: lo que esta en vigor desde diciembre de 2025
La directiva europea NIS2 deberia haberse transpuesto a la legislacion nacional antes de octubre de 2024. Alemania incumplio este plazo – la ley de transposicion NIS2 (NIS2UmsuCG) fue aprobada por el Bundestag el 13 de noviembre de 2025, confirmada por el Bundesrat el 20 de noviembre y entro en vigor el 6 de diciembre de 2025.
Lo que muchos directivos subestiman: la ley no contempla periodo de gracia. Desde el dia de su entrada en vigor, las medidas de seguridad segun el articulo 30 BSIG y las obligaciones reforzadas de notificacion son vinculantes para todas las empresas afectadas. Quien aun no cumple ya esta infringiendo el derecho vigente. Y el BSI audita activamente desde principios de 2026 – no solo cuando ocurre un incidente.
Para agravar la situacion: segun datos del BSI, solo alrededor del 38,5 por ciento de las aproximadamente 29.500 empresas afectadas se habian registrado en marzo de 2026. Mas de 18.000 empresas se encuentran asi en una zona gris juridica – afectadas pero ni registradas ni en cumplimiento.
Quien esta afectado? Los 18 sectores de un vistazo
NIS2 afecta a empresas con 50 o mas empleados o 10 millones de euros de facturacion anual en 18 sectores. La ley distingue dos categorias: entidades esenciales (obligaciones mas altas, multas mas severas) y entidades importantes.
Las entidades esenciales incluyen energia, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, servicios TIC en B2B, administracion publica y espacio. Las entidades importantes incluyen servicios postales y de mensajeria, gestion de residuos, quimica, alimentacion, industria manufacturera (ingenieria mecanica, automocion, electrotecnia), proveedores de servicios digitales e instituciones de investigacion.
Para las pymes, la segunda categoria es determinante: un fabricante de maquinaria con 80 empleados y 15 millones de euros de facturacion cae bajo NIS2 – aunque nunca se haya ocupado de regulacion en seguridad informatica. Lo mismo aplica a proveedores de servicios informaticos, empresas de logistica y proveedores de la industria del automovil. El umbral de aplicacion es deliberadamente bajo.
NIS2 exige que la direccion no solo tolere sino que pilote activamente el establecimiento y mantenimiento de un nivel de seguridad adecuado. Aprobar conceptos de seguridad, proporcionar recursos y evaluar riesgos regularmente – es una obligacion personal de la direccion.
Resumen de las obligaciones segun el articulo 38 BSIG
Multas y responsabilidad personal segun el articulo 38 BSIG
Las sanciones bajo NIS2 son mas severas que cualquier cosa que las empresas alemanas hayan enfrentado en materia de seguridad informatica. Las entidades esenciales arriesgan multas de hasta 10 millones de euros o el 2 por ciento de la facturacion anual global – lo que sea mayor. Para las entidades importantes, los limites son de 7 millones de euros o el 1,4 por ciento de la facturacion.
El aspecto verdaderamente explosivo es el articulo 38 BSIG: la responsabilidad personal de la direccion. Los directivos deben aprobar la implementacion de las medidas de seguridad y supervisar su ejecucion. Estan obligados a participar regularmente en formaciones para comprender los riesgos informaticos, los fundamentos tecnicos y los requisitos legales. En caso de negligencia grave o intencion, el directivo es personalmente responsable.
En casos extremos, el BSI puede imponer una prohibicion temporal de ejercer a los directivos que infrinjan NIS2 de forma repetida o grave. Esta es una nueva dimension: la seguridad informatica ya no puede delegarse – es responsabilidad de la direccion con consecuencias personales. Quienes se interesan por el ciberseguro descubren rapidamente que muchas polizas exigen el cumplimiento de NIS2 como requisito previo para la cobertura.
Un ejemplo concreto: el director de un proveedor de servicios informaticos de tamano medio con 120 empleados habia omitido el registro NIS2. En febrero de 2026, un ataque de ransomware golpeo a la empresa. El plazo de notificacion de 24 horas no se cumplio porque no existia ningun plan de respuesta a incidentes. La consecuencia: ademas del dano economico del ataque, se imponen multas por falta de registro, notificacion tardia y medidas de seguridad inadecuadas. El director es personalmente responsable porque no puede demostrar ni su participacion en formaciones ni su aprobacion de las medidas. Este caso no es aislado – el BSI audita activamente desde principios de 2026.
Que deben implementar concretamente las empresas afectadas?
El articulo 30 BSIG define diez areas en las que las empresas deben tomar medidas. El alcance depende del tamano de la empresa, la exposicion al riesgo y la importancia social. Para las pymes, los siguientes puntos son especialmente relevantes:
Gestion de riesgos: analisis de riesgos regulares para todos los sistemas informaticos y procesos de negocio. No como un ejercicio anual de cumplimiento, sino como un proceso continuo.
Respuesta a incidentes: un plan documentado para la gestion de incidentes de seguridad. Se debe presentar una notificacion inicial al BSI en las 24 horas. Un informe cualificado evaluando la gravedad sigue en las 72 horas. Un informe final es debido tras un mes.
Continuidad de negocio: estrategias de respaldo, planes de recuperacion y gestion de crisis. La empresa debe demostrar que puede sobrevivir a un incidente informatico grave.
Seguridad de la cadena de suministro: evaluar y asegurar toda la cadena de suministro. Esto afecta especialmente a empresas que son proveedores de infraestructuras criticas – y hay muchas entre las pymes. Quienes aun no han revisado su estrategia cloud en terminos de soberania deberian hacerlo en el marco de la implementacion de NIS2.
Obligacion de formacion de la direccion: el articulo 38 BSIG exige formaciones documentadas. Los directivos deben conocer los fundamentos de la seguridad informatica, las amenazas actuales y los requisitos legales. La formacion debe documentarse – es una prueba central de descargo en caso de auditoria.
Control de acceso y criptografia: la autenticacion multifactor, la comunicacion cifrada y una gestion estructurada de autorizaciones ya no son recomendaciones opcionales sino obligaciones legales. Especialmente en las pymes donde las contrasenas simples y las cuentas de administrador compartidas son aun la norma, esto supone un esfuerzo considerable.
5 pasos hacia el cumplimiento NIS2
Verificar si esta afectado
Su empresa pertenece a uno de los 18 sectores? Tiene mas de 50 empleados o mas de 10 millones de euros de facturacion anual? Entonces muy probablemente esta afectado. El BSI pone a disposicion una herramienta de verificacion en su sitio web.
Completar el registro BSI
El plazo oficial fue el 6 de marzo de 2026. Si lo incumplio: completelo de inmediato. El registro se realiza a traves del portal de notificacion e informacion del BSI. Cada dia de retraso aumenta el riesgo de multa.
Realizar un analisis de brechas
Compare su postura actual de seguridad informatica con los requisitos del articulo 30 BSIG. Donde ya tiene medidas implementadas, donde hay lagunas? Un auditor externo o consultor especializado puede completar este analisis en dos a cuatro semanas.
Establecer un plan de respuesta a incidentes
Defina canales de notificacion claros, responsabilidades y niveles de escalado. Practique el escenario de emergencia al menos una vez al ano con un ejercicio de mesa. El plazo de notificacion de 24 horas al BSI requiere procesos documentados que se activen inmediatamente en una crisis.
Formar a la direccion y documentar
El articulo 38 BSIG exige formaciones verificables de la direccion. No es opcional. Reserve formaciones NIS2 certificadas y documente la asistencia. Estas pruebas son decisivas para el descargo en caso de auditoria.
Ademas del cumplimiento NIS2, las empresas deberian vigilar el Cyber Resilience Act que impone requisitos adicionales a los fabricantes de productos digitales. Y quienes quieran mantener una vision regulatoria general encontraran el segundo gran bloque de cumplimiento para 2026 en el articulo sobre el EU AI Act.
Preguntas frecuentes
Se aplica NIS2 a empresas con menos de 50 empleados?
En principio no. El umbral es de 50 empleados o 10 millones de euros de facturacion anual. Se aplican excepciones a empresas en areas especialmente criticas como servicios DNS, proveedores de servicios de confianza u operadores de dominios de nivel superior – estos caen bajo NIS2 independientemente de su tamano.
Puedo completar aun el registro BSI?
Si. El plazo del 6 de marzo de 2026 ha pasado, pero el registro a traves del portal BSI sigue siendo posible. Las empresas deberian completar el registro tardio de inmediato. El registro tardio en si conlleva riesgo de multa, pero el riesgo aumenta cada dia de retraso.
Que ocurre durante un incidente de seguridad bajo NIS2?
Las empresas afectadas deben presentar una notificacion inicial al BSI en las 24 horas. Un informe cualificado evaluando la gravedad, el alcance y los posibles impactos transfronterizos sigue en las 72 horas. Un informe final es debido en un plazo maximo de un mes.
Es el directivo personalmente responsable por infracciones NIS2?
Si. El articulo 38 BSIG preve la responsabilidad personal de la direccion. Los directivos deben aprobar las medidas de seguridad, supervisar su implementacion y participar regularmente en formaciones. En caso de negligencia grave o intencion, se aplica la responsabilidad personal. En casos graves, el BSI puede imponer una prohibicion temporal de ejercer.
Cuanto cuesta la implementacion de NIS2 para una pyme?
Depende del nivel de seguridad actual. Las empresas con un SGSI existente segun ISO 27001 tienen el menor esfuerzo – principalmente necesitan anadir las obligaciones de notificacion y la formacion de la direccion. Las empresas sin gestion estructurada de seguridad informatica deben contar con una inversion inicial de 50.000 a 200.000 euros distribuidos en seis a doce meses.
Es suficiente una certificacion ISO 27001 para el cumplimiento NIS2?
Una certificacion ISO 27001 cubre muchos requisitos NIS2 pero no es suficiente por si sola. NIS2 exige adicionalmente el registro BSI, obligaciones de notificacion especificas en 24 horas, formaciones verificables de la direccion y la seguridad de la cadena de suministro. ISO 27001 es una excelente base pero debe complementarse con las obligaciones especificas de NIS2.
Lectura recomendada
Fuente imagen titulo: Pexels / Tima Miroshnichenko (px:5380596)
