Directiva NIS2: Lo que las empresas alemanas deben saber ahora
La Directiva NIS2 amplía de forma masiva el número de empresas reguladas: en lugar de unas 4.000 hasta ahora, estarán afectadas más de 30.000 organizaciones en Alemania. Quien no actúe ahora corre el riesgo de una responsabilidad personal.
En resumen
La Directiva sobre seguridad de redes e información 2 (NIS2) amplía de forma masiva el número de empresas reguladas en la UE: en lugar de unas 4.000 hasta ahora, estarán afectadas más de 30.000 organizaciones en Alemania. La transposición nacional está en marcha. Quien no actúe ahora corre el riesgo de una responsabilidad personal de la dirección ejecutiva.
La Directiva sobre seguridad de redes e información 2 (NIS2) está en vigor a nivel de la UE desde enero de 2023. Los Estados miembros deben transponer la directiva al derecho nacional. En Alemania, esto se lleva a cabo mediante la Ley de transposición de la NIS2 (NIS2UmsuCG), elaborada por el Ministerio Federal del Interior.
¿Quiénes están afectados?
La NIS2 distingue entre «infraestructuras esenciales» y «infraestructuras importantes». Los criterios son los siguientes:
- Infraestructuras esenciales: energía, transporte, sanidad, agua potable, infraestructura digital, sector bancario, administración pública
- Infraestructuras importantes: servicios postales, gestión de residuos, industria química, alimentaria, manufacturera, servicios digitales, investigación
- Criterio de tamaño: en general, a partir de 50 empleados o un volumen de facturación anual de 10 millones de euros
Las obligaciones más importantes
Gestión de riesgos: Las empresas deben implementar medidas técnicas y organizativas acordes con el estado de la técnica. Entre ellas se incluyen la respuesta a incidentes, la continuidad del negocio, la seguridad de la cadena de suministro y el cifrado.
Obligación de notificación: Los incidentes de seguridad significativos deben notificarse a la autoridad competente dentro de las 24 horas (advertencia temprana) o, respectivamente, dentro de las 72 horas (notificación completa).
Responsabilidad de la dirección ejecutiva: La cúpula directiva debe aprobar las medidas de ciberseguridad y supervisar su implementación. En caso de infracciones, se prevé una responsabilidad personal.
NIS2 frente a NIS1: ¿Qué cambia?
- Un número claramente mayor de sectores y empresas afectados
- Obligaciones de notificación más estrictas (24 horas en lugar de «de inmediato»)
- Responsabilidad personal de la dirección ejecutiva
- Armonización de las sanciones: hasta 10 millones de euros o el 2 % de la facturación mundial
- Evaluación obligatoria de los riesgos de la cadena de suministro
Datos clave
Más de 30.000 empresas en Alemania están afectadas (frente a aproximadamente 4.000 bajo la NIS1)
Obligación de notificación: advertencia temprana en 24 horas, notificación completa en 72 horas
Sanciones: hasta 10 millones de euros o el 2 % de la facturación anual mundial
Responsabilidad personal de la dirección ejecutiva en materia de ciberseguridad
La seguridad de la cadena de suministro se convierte en una obligación legal
Dato: Según Bitkom, en 2025 solo el 14 % de las empresas afectadas habían cumplido íntegramente los requisitos de la NIS2.
Dato: Según Bitkom, solo el 43 % de las pymes alemanas dispone de un plan de emergencia informático.
Preguntas frecuentes
¿También se aplica la NIS2 a las pequeñas empresas?
En principio, sí, a partir de 50 empleados o un volumen de facturación de 10 millones de euros. Excepción: los proveedores de servicios DNS, los registros de dominios de nivel superior (TLD) y determinadas infraestructuras digitales están sujetos a la normativa independientemente de su tamaño.
¿Qué ocurre si se incumple el plazo?
La autoridad de supervisión puede imponer multas y establecer obligaciones complementarias. Para las infraestructuras esenciales también están previstos auditorías proactivas. La responsabilidad personal de la dirección ejecutiva entra en vigor con la entrada en vigor de la ley de transposición.
Artículos relacionados
NIS2-Richtlinie: Was Unternehmen wissen müssen
Zero Trust: Die 7 häufigsten Fehler
¿En qué se diferencia la NIS2 del Reglamento General de Protección de Datos (RGPD)?
El RGPD protege los datos personales, mientras que la NIS2 garantiza la ciberseguridad de las redes y los sistemas de información. La NIS2 exige medidas técnicas y organizativas, obligaciones de notificación dentro de las 24 horas y evaluaciones periódicas de riesgos – con plazos claramente más cortos que los del RGPD.
Artículos relacionados
- Tendencias de ciberseguridad 2026: Las 7 evoluciones que los responsables de seguridad deben conocer
- Lista de comprobación NIS2 2026: Qué deben implementar ya las empresas
- NIS2 y responsabilidad de la dirección ejecutiva: Por qué la ciberseguridad es ahora asunto de la alta dirección
Más contenido de la red MBF Media
- Más tendencias de seguridad informática en mybusinessfuture.com
- Estrategias informáticas para responsables de decisión en digital-chiefs.de
Fuente de imagen: Pexels / Jan van der Wolf
