Lista de comprobación NIS2 2026: Qué deben implementar ya las empresas

1 min de lectura

La ley de transposición de la directiva NIS2 entrará en vigor en 2025 y afectará, según estimaciones, a unos 30.000 empreses en Alemania. Muchas aún no saben si están afectadas ni qué medidas concretas deben adoptar. Esta lista de comprobación resume las obligaciones y plazos más importantes.

En resumen

30.000 empresas afectadas: significativamente más que bajo la antigua Directiva NIS; también numerosas pymes.
Responsabilidad personal de los administradores: multas de hasta 10 millones de euros o el 2 % del volumen de facturación anual.
Obligación de notificación en 24 horas: los incidentes de seguridad graves deben notificarse por primera vez dentro de un día.
Seguridad de la cadena de suministro obligatoria: las empresas deben evaluar la seguridad de sus proveedores.
Empezar ya: la implementación lleva entre 6 y 18 meses; quien espere corre el riesgo de incumplimientos desde el primer día.

¿Quiénes están afectados?

NIS2 distingue entre instalaciones «esenciales» e «importantes» en 18 sectores. Umbrales: al menos 50 empleados o un volumen de facturación anual de 10 millones de euros. Algunos sectores están afectados independientemente de su tamaño.

Instalaciones esenciales: energía, transporte, banca, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública, espacio.

Instalaciones importantes: correo, gestión de residuos, química, alimentos, industria manufacturera, servicios digitales, investigación.

La lista de comprobación NIS2: 10 obligaciones

1. Verificar si se está afectado: comparar el sector, el tamaño y el volumen de facturación con los criterios de NIS2. En caso de duda, consultar asesoramiento jurídico.

2. Gestión de riesgos: establecer, documentar y actualizar periódicamente una gestión sistemática de los riesgos de ciberseguridad.

3. Respuesta a incidentes: notificación inicial en 24 horas, informe detallado en 72 horas y informe final en 1 mes ante el BSI. Definir y ejercitar este proceso.

4. Involucrar a la dirección: aprobar y supervisar las medidas, así como participar en formaciones. Responsabilidad personal.

5. Seguridad de la cadena de suministro: identificar proveedores críticos, verificar sus medidas de seguridad y asegurarlas contractualmente.

6. Continuidad del negocio: probar periódicamente los planes de copias de seguridad, recuperación ante desastres y gestión de crisis.

7. Cifrado y control de accesos: cifrar los datos, aplicar autenticación multifactor (MFA) en sistemas críticos y seguir el principio del mínimo privilegio.

8. Gestión de vulnerabilidades: realizar análisis de vulnerabilidades, pruebas de penetración y gestión de parches con acuerdos de nivel de servicio (SLA) definidos.

9. Formación: capacitar periódicamente a todo el personal; la dirección debe recibir formaciones específicas en ciberseguridad.

10. Registro ante el BSI: registrarse ante el BSI y designar un interlocutor para ciberseguridad.

Plazos y sanciones

La ley de transposición de la directiva NIS2 entrará probablemente en vigor a mediados de 2025. Sanciones: hasta 10 millones de euros o el 2 % del volumen de facturación anual mundial. En el caso de instalaciones esenciales, se aplican umbrales de sanción más elevados y una supervisión proactiva.

Datos clave de un vistazo

Empresas afectadas en Alemania: ~30.000 (antes ~4.500)

Sectores: 18 (11 esenciales, 7 importantes)

Obligación de notificación: 24 h → 72 h → 1 mes

Sanciones: Hasta 10 millones de euros o el 2 % del volumen de facturación anual

Duración de la implementación: 6-18 meses, según la situación inicial

Dato: Según el Informe sobre la situación de ciberseguridad 2025 del BSI, aproximadamente 30.000 empresas en Alemania quedan por primera vez sujetas a obligaciones regulatorias derivadas de NIS2, es decir, seis veces más que bajo la antigua ordenanza sobre infraestructuras críticas (KRITIS).

Dato: La obligación de notificación NIS2 exige una notificación inicial dentro de las 24 horas; según ENISA, en escenarios de prueba lo consiguen actualmente menos del 40 % de las organizaciones afectadas.

Preguntas frecuentes

¿Se aplica NIS2 a empresas con menos de 50 empleados?

En principio, no. Excepciones: infraestructura digital, servicios DNS y prestadores de servicios de confianza cualificados están afectados independientemente de su tamaño.

¿Es suficiente la norma ISO/IEC 27001 para cumplir con NIS2?

La ISO/IEC 27001 cubre muchos aspectos, pero no todos. Además, son necesarias: obligaciones específicas de notificación, formación de la dirección, evaluación de la cadena de suministro y registro ante el BSI.

¿Qué ocurre en caso de infracciones?

Multas de hasta 10 millones de euros y responsabilidad personal de los administradores. En el caso de instalaciones esenciales, se realizan inspecciones proactivas de supervisión.

¿Cómo inicio la implementación?

Verificar si se está afectado, realizar un análisis de brechas, elaborar un plan de medidas, asegurar el presupuesto y, si es necesario, recurrir a asesoramiento externo. Aprovechar las guías orientativas del BSI y las directrices de Bitkom.

¿Cuál es la diferencia respecto a DORA?

DORA es sectorial y se aplica específicamente al sector financiero, y en muchos aspectos va más allá de NIS2. Para las entidades financieras, DORA tiene prioridad.