← Volver al Blog
Investigación 18 min de lectura

Cumplimiento NIS2: La Guía Completa para Empresas Europeas

La ley de transposición NIS2 de Alemania entró en vigor el 5 de diciembre de 2025. Los plazos de registro en el BSI llegan en marzo de 2026. Esta guía cubre todo lo que CISOs, directores de TI y responsables de cumplimiento necesitan saber: quién debe cumplir, cuáles son las obligaciones, cómo son las sanciones y cómo construir una hoja de ruta práctica de cumplimiento.

160K+
Entidades en la UE afectadas
€10M
Multa máxima
18
Sectores cubiertos
24h
Notificación de incidentes

¿Qué es la Directiva NIS2?

ℹ️ Contexto

La Directiva NIS2 (Directiva (UE) 2022/2555) reemplaza la Directiva NIS original de 2016, que fue ampliamente considerada como insuficiente en alcance y aplicación. Amplía drásticamente la cobertura de ~10.000 entidades bajo NIS1 a un estimado de más de 160.000 entidades en toda la UE.

NIS2 fue diseñada para abordar tres debilidades fundamentales: transposición inconsistente entre los Estados miembros, alcance limitado que cubría solo sectores reducidos, y aplicación débil con sanciones demasiado bajas para impulsar el cambio.

En Alemania, la NIS2UmsuCG (Ley de Implementación de NIS2 y Fortalecimiento de la Ciberseguridad) entró en vigor el 5 de diciembre de 2025. El BSI es la autoridad supervisora designada, y los plazos de registro comienzan el 6 de marzo de 2026.


¿Quién debe cumplir con NIS2?

NIS2 pasó de un enfoque basado en designación a un mecanismo de umbral por tamaño. Las organizaciones quedan automáticamente dentro del ámbito si cumplen los criterios de sector y tamaño.

Anexo I — Sectores de Alta Criticidad (11 sectores)

SectorEjemplos
EnergíaElectricidad, petróleo, gas, hidrógeno, calefacción urbana
TransporteAéreo, ferroviario, marítimo, por carretera
BancaEntidades de crédito
Infraestructura de mercados financierosCentros de negociación, contrapartes centrales
SaludHospitales, laboratorios, farmacéuticas, dispositivos médicos
Agua potableSuministro y distribución
Aguas residualesRecogida, eliminación, tratamiento
Infraestructura digitalIXPs, DNS, registros TLD, cloud, centros de datos, CDNs
Gestión de servicios TIC (B2B)MSPs, MSSPs
Administración públicaEntidades de la administración central
EspacioOperadores de infraestructura terrestre

Anexo II — Otros Sectores Críticos (7 sectores)

SectorEjemplos
Servicios postales y de mensajeríaProveedores de servicios postales
Gestión de residuosRecogida, transporte, tratamiento
Fabricación de productos químicosProducción, distribución
Producción alimentariaProcesamiento, distribución (a gran escala)
FabricaciónDispositivos médicos, electrónica, maquinaria, vehículos
Proveedores digitalesMarketplaces, motores de búsqueda, redes sociales
InvestigaciónOrganizaciones de investigación con impacto significativo

Umbrales de tamaño

⚠️ Cobertura independiente del tamaño

Ciertas entidades están incluidas independientemente de su tamaño: proveedores cualificados de servicios de confianza, registros TLD, proveedores DNS, proveedores de telecomunicaciones, administración pública y proveedores únicos de servicios esenciales.


Entidades Esenciales vs Importantes

AspectoEntidades EsencialesEntidades Importantes
SupervisiónProactiva (ex-ante)Reactiva (ex-post)
Multa máxima€10M o 2% de la facturación global€7M o 1,4% de la facturación global
AuditoríasRegulares, obligatoriasAnte evidencia de incumplimiento
Requisitos de seguridadIdénticosIdénticos

Dato clave

Las obligaciones de seguridad son las mismas para ambos niveles. La diferencia radica únicamente en la intensidad de la supervisión y los topes de sanciones.


Requisitos clave de NIS2 (Artículo 21)

10 Obligaciones Obligatorias

Cronograma de notificación de incidentes

PlazoRequisitoPropósito
24 horasAlerta temprana al CSIRTSeñalar que ocurrió un incidente significativo
72 horasNotificación del incidente con evaluaciónGravedad, impacto, indicadores de compromiso
1 mesInforme finalAnálisis de causa raíz, impacto, medidas de mitigación

⚠️ Responsabilidad personal a nivel directivo

El Artículo 20 exige que los órganos de dirección aprueben las medidas de ciberseguridad, reciban formación y asuman responsabilidad personal. Bajo la NIS2UmsuCG de Alemania, los ejecutivos enfrentan multas personales y posible suspensión temporal de funciones directivas. Esta responsabilidad no puede delegarse completamente.


Sanciones y aplicación de NIS2

€10M
Multa Entidad Esencial
2%
de la facturación global
€7M
Multa Entidad Importante
1,4%
de la facturación global

Además de las multas, las autoridades pueden emitir instrucciones vinculantes, ordenar el cese de actividades, exigir la divulgación pública del incumplimiento, suspender certificaciones y — para entidades esenciales — prohibir temporalmente las funciones directivas de las personas responsables.

⚠️ Sanciones al nivel del RGPD para ciberseguridad

Para una empresa con €1.000 millones de facturación, la multa máxima para entidades esenciales es de €20 millones. Las pólizas de seguro D&O deben revisarse para detectar lagunas de cobertura — la responsabilidad personal no puede asegurarse completamente.


Cronograma NIS2: Fechas críticas

FechaHito
27 dic 2022NIS2 publicada en el Diario Oficial de la UE
16 ene 2023NIS2 entra en vigor
17 oct 2024Fecha límite de transposición para todos los Estados miembros
5 dic 2025Alemania: NIS2UmsuCG entra en vigor
6 mar 2026Alemania: Fecha límite de registro en el BSI
17 oct 2027La Comisión Europea revisa el funcionamiento de NIS2

Se acerca la fecha límite del BSI

El registro de marzo de 2026 está a semanas. Identifica las brechas de cumplimiento antes de registrarte.

Iniciar Escaneo NIS2 Gratuito →

Cumplimiento NIS2 paso a paso

Hoja de ruta de cumplimiento en 10 pasos

ℹ️ ISO 27001 ≠ Cumplimiento NIS2

ISO 27001 proporciona una base sólida, pero NIS2 añade requisitos específicos: plazos obligatorios de notificación de incidentes (24h/72h/1 mes), responsabilidad personal de la dirección y obligaciones detalladas de seguridad de la cadena de suministro. La certificación por sí sola no garantiza el cumplimiento.


Cómo KENSAI automatiza el cumplimiento de NIS2

Descubrimiento automatizado de la superficie de ataque

KENSAI escanea continuamente tu superficie de ataque externa — dominios, subdominios, IPs, servicios cloud, APIs expuestas — y mapea activos contra tu ámbito NIS2. Inventario en tiempo real de lo que necesitas proteger.

Mapeo de vulnerabilidades basado en CVE

Con más de 332.000 CVEs, KENSAI identifica vulnerabilidades conocidas y las correlaciona con los requisitos de NIS2. Cada hallazgo se prioriza por puntuación CVSS, relevancia NIS2 y urgencia de remediación basada en inteligencia de amenazas.

Análisis de brechas de cumplimiento NIS2

La IA mapea tu postura de seguridad contra todos los requisitos del Artículo 21: puntuación de cumplimiento, informe de brechas, remediación priorizada y documentación de evidencias adecuada para reguladores y auditores.

Visibilidad del riesgo en la cadena de suministro

Escanea la infraestructura externa de proveedores para identificar servicios expuestos, vulnerabilidades, problemas de certificados, configuraciones DNS incorrectas e historial de brechas de datos — la visibilidad de la cadena de suministro que NIS2 exige.

Precios para el cumplimiento NIS2

Starter: €990/mes — Medianas empresas que entran en el ámbito NIS2. Professional: €1.490/mes — Infraestructura compleja y cadenas de suministro. Enterprise: €2.490/mes — Automatización de cumplimiento completo con soporte dedicado.


Preguntas frecuentes: Cumplimiento NIS2

¿Qué es la Directiva NIS2?

La regulación de ciberseguridad actualizada de la UE (Directiva (UE) 2022/2555) que reemplaza la Directiva NIS original. Establece medidas obligatorias de gestión de riesgos, notificación de incidentes y requisitos de seguridad de la cadena de suministro en 18 sectores críticos.

¿Quién debe cumplir?

Organizaciones en 18 sectores designados que cumplan los umbrales de mediana empresa (50+ empleados o facturación de €10M+) o gran empresa (250+ empleados o facturación de €50M+). Ciertas entidades como proveedores DNS y telecomunicaciones están cubiertas independientemente de su tamaño.

¿Cuáles son las sanciones?

Entidades esenciales: hasta €10M o 2% de la facturación global. Entidades importantes: hasta €7M o 1,4% de la facturación global. Además de instrucciones vinculantes, divulgación pública, suspensión de certificaciones y responsabilidad personal de la dirección.

¿Cuáles son los requisitos de notificación de incidentes?

Tres etapas: alerta temprana en 24 horas, notificación del incidente en 72 horas, informe final en 1 mes.

¿Cómo afecta NIS2 a los miembros del consejo?

El Artículo 20 exige que los consejos aprueben medidas de ciberseguridad, reciban formación y asuman responsabilidad personal. Bajo la ley alemana, los ejecutivos enfrentan multas personales y posible suspensión temporal.

¿Se aplica NIS2 a pequeñas empresas?

Generalmente no (las de menos de 50 empleados / €10M de facturación están excluidas). Existen excepciones para proveedores de servicios de confianza, registros TLD, proveedores DNS y telecomunicaciones.

¿Cómo se relaciona NIS2 con ISO 27001?

Hay una superposición significativa, pero NIS2 añade plazos obligatorios de notificación de incidentes, responsabilidad personal de la dirección y requisitos detallados de cadena de suministro. La certificación ISO 27001 por sí sola no garantiza el cumplimiento de NIS2.

¿Cómo interactúa NIS2 con el RGPD y DORA?

NIS2 se centra en la seguridad de redes/sistemas; el RGPD en la protección de datos personales — ambos pueden aplicarse a un incidente cibernético. DORA tiene prioridad para entidades financieras bajo el principio de lex specialis.


Esta guía tiene fines informativos y no constituye asesoramiento legal. Consulta a profesionales cualificados en derecho y ciberseguridad para tus obligaciones específicas de NIS2.

Comienza tu camino hacia el cumplimiento NIS2

Descubre tus brechas de cumplimiento en minutos. Escaneo potenciado por IA con mapeo NIS2, RGPD y DORA integrado.

Iniciar Escaneo Gratuito →

La seguridad no es opcional.

🗡️ El Equipo KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home