La ley de transposición NIS2 de Alemania entró en vigor el 5 de diciembre de 2025. Los plazos de registro en el BSI llegan en marzo de 2026. Esta guía cubre todo lo que CISOs, directores de TI y responsables de cumplimiento necesitan saber: quién debe cumplir, cuáles son las obligaciones, cómo son las sanciones y cómo construir una hoja de ruta práctica de cumplimiento.
La Directiva NIS2 (Directiva (UE) 2022/2555) reemplaza la Directiva NIS original de 2016, que fue ampliamente considerada como insuficiente en alcance y aplicación. Amplía drásticamente la cobertura de ~10.000 entidades bajo NIS1 a un estimado de más de 160.000 entidades en toda la UE.
NIS2 fue diseñada para abordar tres debilidades fundamentales: transposición inconsistente entre los Estados miembros, alcance limitado que cubría solo sectores reducidos, y aplicación débil con sanciones demasiado bajas para impulsar el cambio.
En Alemania, la NIS2UmsuCG (Ley de Implementación de NIS2 y Fortalecimiento de la Ciberseguridad) entró en vigor el 5 de diciembre de 2025. El BSI es la autoridad supervisora designada, y los plazos de registro comienzan el 6 de marzo de 2026.
NIS2 pasó de un enfoque basado en designación a un mecanismo de umbral por tamaño. Las organizaciones quedan automáticamente dentro del ámbito si cumplen los criterios de sector y tamaño.
| Sector | Ejemplos |
|---|---|
| Energía | Electricidad, petróleo, gas, hidrógeno, calefacción urbana |
| Transporte | Aéreo, ferroviario, marítimo, por carretera |
| Banca | Entidades de crédito |
| Infraestructura de mercados financieros | Centros de negociación, contrapartes centrales |
| Salud | Hospitales, laboratorios, farmacéuticas, dispositivos médicos |
| Agua potable | Suministro y distribución |
| Aguas residuales | Recogida, eliminación, tratamiento |
| Infraestructura digital | IXPs, DNS, registros TLD, cloud, centros de datos, CDNs |
| Gestión de servicios TIC (B2B) | MSPs, MSSPs |
| Administración pública | Entidades de la administración central |
| Espacio | Operadores de infraestructura terrestre |
| Sector | Ejemplos |
|---|---|
| Servicios postales y de mensajería | Proveedores de servicios postales |
| Gestión de residuos | Recogida, transporte, tratamiento |
| Fabricación de productos químicos | Producción, distribución |
| Producción alimentaria | Procesamiento, distribución (a gran escala) |
| Fabricación | Dispositivos médicos, electrónica, maquinaria, vehículos |
| Proveedores digitales | Marketplaces, motores de búsqueda, redes sociales |
| Investigación | Organizaciones de investigación con impacto significativo |
Ciertas entidades están incluidas independientemente de su tamaño: proveedores cualificados de servicios de confianza, registros TLD, proveedores DNS, proveedores de telecomunicaciones, administración pública y proveedores únicos de servicios esenciales.
| Aspecto | Entidades Esenciales | Entidades Importantes |
|---|---|---|
| Supervisión | Proactiva (ex-ante) | Reactiva (ex-post) |
| Multa máxima | €10M o 2% de la facturación global | €7M o 1,4% de la facturación global |
| Auditorías | Regulares, obligatorias | Ante evidencia de incumplimiento |
| Requisitos de seguridad | Idénticos | Idénticos |
Las obligaciones de seguridad son las mismas para ambos niveles. La diferencia radica únicamente en la intensidad de la supervisión y los topes de sanciones.
| Plazo | Requisito | Propósito |
|---|---|---|
| 24 horas | Alerta temprana al CSIRT | Señalar que ocurrió un incidente significativo |
| 72 horas | Notificación del incidente con evaluación | Gravedad, impacto, indicadores de compromiso |
| 1 mes | Informe final | Análisis de causa raíz, impacto, medidas de mitigación |
El Artículo 20 exige que los órganos de dirección aprueben las medidas de ciberseguridad, reciban formación y asuman responsabilidad personal. Bajo la NIS2UmsuCG de Alemania, los ejecutivos enfrentan multas personales y posible suspensión temporal de funciones directivas. Esta responsabilidad no puede delegarse completamente.
Además de las multas, las autoridades pueden emitir instrucciones vinculantes, ordenar el cese de actividades, exigir la divulgación pública del incumplimiento, suspender certificaciones y — para entidades esenciales — prohibir temporalmente las funciones directivas de las personas responsables.
Para una empresa con €1.000 millones de facturación, la multa máxima para entidades esenciales es de €20 millones. Las pólizas de seguro D&O deben revisarse para detectar lagunas de cobertura — la responsabilidad personal no puede asegurarse completamente.
| Fecha | Hito |
|---|---|
| 27 dic 2022 | NIS2 publicada en el Diario Oficial de la UE |
| 16 ene 2023 | NIS2 entra en vigor |
| 17 oct 2024 | Fecha límite de transposición para todos los Estados miembros |
| 5 dic 2025 | Alemania: NIS2UmsuCG entra en vigor |
| 6 mar 2026 | Alemania: Fecha límite de registro en el BSI |
| 17 oct 2027 | La Comisión Europea revisa el funcionamiento de NIS2 |
El registro de marzo de 2026 está a semanas. Identifica las brechas de cumplimiento antes de registrarte.
Iniciar Escaneo NIS2 Gratuito →ISO 27001 proporciona una base sólida, pero NIS2 añade requisitos específicos: plazos obligatorios de notificación de incidentes (24h/72h/1 mes), responsabilidad personal de la dirección y obligaciones detalladas de seguridad de la cadena de suministro. La certificación por sí sola no garantiza el cumplimiento.
KENSAI escanea continuamente tu superficie de ataque externa — dominios, subdominios, IPs, servicios cloud, APIs expuestas — y mapea activos contra tu ámbito NIS2. Inventario en tiempo real de lo que necesitas proteger.
Con más de 332.000 CVEs, KENSAI identifica vulnerabilidades conocidas y las correlaciona con los requisitos de NIS2. Cada hallazgo se prioriza por puntuación CVSS, relevancia NIS2 y urgencia de remediación basada en inteligencia de amenazas.
La IA mapea tu postura de seguridad contra todos los requisitos del Artículo 21: puntuación de cumplimiento, informe de brechas, remediación priorizada y documentación de evidencias adecuada para reguladores y auditores.
Escanea la infraestructura externa de proveedores para identificar servicios expuestos, vulnerabilidades, problemas de certificados, configuraciones DNS incorrectas e historial de brechas de datos — la visibilidad de la cadena de suministro que NIS2 exige.
Starter: €990/mes — Medianas empresas que entran en el ámbito NIS2. Professional: €1.490/mes — Infraestructura compleja y cadenas de suministro. Enterprise: €2.490/mes — Automatización de cumplimiento completo con soporte dedicado.
La regulación de ciberseguridad actualizada de la UE (Directiva (UE) 2022/2555) que reemplaza la Directiva NIS original. Establece medidas obligatorias de gestión de riesgos, notificación de incidentes y requisitos de seguridad de la cadena de suministro en 18 sectores críticos.
Organizaciones en 18 sectores designados que cumplan los umbrales de mediana empresa (50+ empleados o facturación de €10M+) o gran empresa (250+ empleados o facturación de €50M+). Ciertas entidades como proveedores DNS y telecomunicaciones están cubiertas independientemente de su tamaño.
Entidades esenciales: hasta €10M o 2% de la facturación global. Entidades importantes: hasta €7M o 1,4% de la facturación global. Además de instrucciones vinculantes, divulgación pública, suspensión de certificaciones y responsabilidad personal de la dirección.
Tres etapas: alerta temprana en 24 horas, notificación del incidente en 72 horas, informe final en 1 mes.
El Artículo 20 exige que los consejos aprueben medidas de ciberseguridad, reciban formación y asuman responsabilidad personal. Bajo la ley alemana, los ejecutivos enfrentan multas personales y posible suspensión temporal.
Generalmente no (las de menos de 50 empleados / €10M de facturación están excluidas). Existen excepciones para proveedores de servicios de confianza, registros TLD, proveedores DNS y telecomunicaciones.
Hay una superposición significativa, pero NIS2 añade plazos obligatorios de notificación de incidentes, responsabilidad personal de la dirección y requisitos detallados de cadena de suministro. La certificación ISO 27001 por sí sola no garantiza el cumplimiento de NIS2.
NIS2 se centra en la seguridad de redes/sistemas; el RGPD en la protección de datos personales — ambos pueden aplicarse a un incidente cibernético. DORA tiene prioridad para entidades financieras bajo el principio de lex specialis.
Esta guía tiene fines informativos y no constituye asesoramiento legal. Consulta a profesionales cualificados en derecho y ciberseguridad para tus obligaciones específicas de NIS2.
Descubre tus brechas de cumplimiento en minutos. Escaneo potenciado por IA con mapeo NIS2, RGPD y DORA integrado.
Iniciar Escaneo Gratuito →La seguridad no es opcional.
🗡️ El Equipo KENSAI
Get a free security scan of your website in 60 seconds
Free Security Scan →