La auditoría NIS2: Así se preparan las empresas para la primera inspección
8 Min. Tiempo de lectura
El 48 por ciento de las empresas afectadas ni siquiera saben con certeza si están sujetas a NIS2. Solo el 12,1 por ciento había cumplido plenamente los requisitos en el momento de su entrada en vigor en diciembre de 2025. La ley es aplicable de todos modos – sin período de transición. Y la responsabilidad personal de la dirección con su patrimonio privado no es negociable: ninguna resolución de la junta de socios puede excluirla. Las primeras auditorías del BSI están en marcha. Qué encuentran los auditores y qué deben hacer ahora las empresas.
Lo más importante en resumen
- Estado de preparación: Solo el 12,1 por ciento de las empresas afectadas habían implementado completamente NIS2 en el momento de su entrada en vigor, el 48 por ciento no está seguro de si se ve afectado
- 10 medidas obligatorias: El artículo 30 BSIG define diez medidas mínimas, desde el análisis de riesgos hasta la gestión de incidentes y MFA – todas deben estar documentadas y ser demostrables
- Responsabilidad personal: Los directivos responden personalmente con su patrimonio privado según el artículo 38 BSIG, la renuncia a la responsabilidad está excluida por ley
- Multas: Hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial para las instalaciones especialmente importantes
- Brecha ISO 27001: Cubre entre el 70 y el 80 por ciento de los requisitos de NIS2, permanecen tres lagunas críticas: obligaciones de notificación, responsabilidad del administrador y alcance en toda la empresa
El BSI examina: Lo que muestran las primeras auditorías
Desde enero de 2026, el BSI ha iniciado gradualmente su actividad de supervisión. El portal de registro se activó el 6 de enero de 2026 y el plazo de registro finalizó el 6 de marzo de 2026. Más de 30.000 empresas en Alemania están clasificadas como instalaciones especialmente importantes o importantes y deben cumplir con los requisitos.
El BSI identifica a las empresas afectadas a través de varios canales: registros comerciales y de empresas, asociaciones sectoriales, autodeclaraciones y colaboración con reguladores sectoriales como la Agencia Federal de Redes (Energía) y el BfArM (Salud). La escalada se produce de forma gradual: solicitud informal de registro, solicitud formal por escrito en caso de no respuesta, procedimiento administrativo y finalmente multas con publicación pública.
Las primeras experiencias prácticas de las auditorías del BSI muestran tres deficiencias críticas recurrentes. Primero: el proceso de notificación está documentado, pero no es operativo. Las empresas tienen planes de respuesta a incidentes, pero nadie puede nombrar en la práctica al interlocutor del BSI dentro de una hora. No hay un verdadero simulacro, no hay una prueba bajo presión temporal. Segundo: Puntos ciegos en la cadena de suministro – se cambió un proveedor de interfaces ERP de ocho años de antigüedad, sin documentación sobre derechos de acceso y estado de seguridad actual. Tercero: Gestión de registros fragmentada – los registros corren durante 30 días en dispositivos locales, en lugar de ser agregados centralmente. El BSI examina la infraestructura de registro central.
Fuentes: Estudio Proliance 2025, Informe de Ciberseguridad Schwarz Digits 2026, NIS2UmsuCG §30 BSIG
Las 10 medidas obligatorias: Lo que exige el artículo 30 de la Ley de Seguridad de la Información Crítica (BSIG)
El artículo 30, apartado 2, de la BSIG define diez medidas mínimas que todas las instituciones afectadas deben implementar y demostrar obligatoriamente. Las medidas son proporcionales: el tamaño, el perfil de riesgo y los posibles impactos de la empresa se tienen en cuenta en la evaluación. Pero «proporcional» no significa «voluntario».
Medida 1: Análisis de riesgos y conceptos de seguridad informática. Una identificación sistemática documentada de riesgos con revisión anual. Este es el fundamento: sin este análisis, ningún auditor puede evaluar si las demás medidas son adecuadas.
Medida 2: Gestión de incidentes. Procesos demostrados para la detección, análisis, contención y recuperación después de incidentes de seguridad. Esto incluye la capacidad de respuesta a incidentes, que el BSI examina críticamente: alerta temprana de 24 horas al BSI, informe detallado de 72 horas.
Medida 3: Gestión de continuidad empresarial. Estrategias de respaldo, planes de recuperación ante desastres y la demostración de pruebas periódicas. Un plan que nunca se ha probado no es un plan. Los auditores verifican exactamente eso: no si existe un documento, sino si una recuperación funciona realmente. La resiliencia frente a ransomware está directamente relacionada con esta medida.
Medidas 4 y 5: Seguridad de la cadena de suministro y adquisición segura. Evaluación de proveedores con requisitos contractuales de seguridad y controles de seguridad en todo el ciclo de vida del sistema informático. El BSI no solo verifica si existen contratos, sino si contienen estándares concretos y derechos de auditoría.
Medida 6: Verificación de eficacia. Auditorías internas, pruebas de penetración y monitoreo de KPI. Las empresas deben demostrar que verifican regularmente la eficacia de sus medidas de seguridad, no solo las implementan, sino que las validan.
Medida 7: Capacitación y concienciación. Capacitación obligatoria para todos los empleados, incluida la dirección. La dirección debe participar personalmente en capacitaciones de ciberseguridad cada tres años, de manera demostrable.
Medidas 8-10: Criptografía, control de acceso y MFA. Directrices de cifrado para datos en reposo y durante la transmisión. Gestión de autorizaciones con protocolos de autenticación documentados. Y autenticación multifactor para sistemas críticos: la medida cuya ausencia permitió el ataque informático a Südwestfalen-IT.
ISO 27001: 80 por ciento de cobertura, tres lagunas críticas
Las empresas con un ISMS ISO 27001 existente tienen una ventaja inicial significativa. Según estimaciones de expertos, ISO 27001 cubre entre el 70 y el 80 por ciento de los requisitos de NIS2. Siete de las diez medidas del artículo 30 están completamente cubiertas por un ISMS ISO 27001. Tanto ISO 27001 como la protección básica de IT del BSI están reconocidos legalmente como base para la prueba de NIS2.
Quedan tres lagunas críticas. Laguna 1: Obligaciones de notificación. ISO 27001 exige procesos de gestión de incidentes, pero no obligaciones de notificación a las autoridades. NIS2 prescribe una advertencia temprana al BSI dentro de las 24 horas y un informe detallado dentro de las 72 horas. Esto requiere un proceso de notificación operativo con responsabilidades y disponibilidad claras – las 24 horas del día.
Laguna 2: Responsabilidad personal de la dirección. ISO 27001 exige «compromiso de liderazgo» como principio general. El artículo 38 de la Ley de Seguridad de la Información (BSIG) impone una obligación personal de formación para los miembros del consejo de administración y los directores generales, así como una responsabilidad personal con el patrimonio privado. Esta es una diferencia fundamental: el compromiso ISO es un principio de sistema de gestión, mientras que la responsabilidad de NIS2 es ley vigente.
Laguna 3: Ámbito de aplicación en toda la empresa. ISO 27001 permite ámbitos limitados – una empresa puede, por ejemplo, certificar solo su departamento de TI o un centro de datos individual. NIS2 se aplica en toda la empresa y en todos los lugares. Si una empresa tiene tres ubicaciones y solo una está certificada según ISO 27001, esto no cumple con los requisitos de NIS2.
La recomendación de los expertos: ampliar el ISMS ISO 27001 existente en lugar de crear estructuras de cumplimiento paralelas. El análisis de lagunas, la ampliación del ámbito y la adaptación de la gobernanza son los tres pasos. Esto ahorra costes y aprovecha al máximo la infraestructura de cumplimiento existente.
Una certificación ISO 27001 o un certificado de protección básica de IT facilita considerablemente la prueba de NIS2. Sin embargo, no existe una «certificación NIS2» oficial. La prueba se realiza a través de la implementación documentada de las diez medidas obligatorias – y la capacidad de demostrarlas en la auditoría.
Responsabilidad del director general: qué significa el artículo 38 BSIG
El artículo 38 BSIG hace que los directores generales y los miembros del consejo de administración sean personalmente responsables de los daños resultantes de infracciones de deberes. Lo especial: la responsabilidad se extiende al patrimonio privado. Una renuncia a la responsabilidad mediante resolución de los accionistas está excluida por ley. La regla del juicio empresarial – el escudo protector que preserva a los miembros del consejo de administración de la responsabilidad personal en caso de decisiones empresariales incorrectas – no se aplica aquí.
Tres deberes fundamentales afectan personalmente a la dirección. Primero: aprobar activamente las medidas de riesgo de NIS2 – no solo aprobarlas, sino ocuparse de su contenido. Segundo: supervisar activamente la implementación – no solo recibir actualizaciones de estado, sino asegurarse de que las medidas surtan efecto. Tercero: participación personal en cursos de formación en ciberseguridad, demostrable y regular (cada tres años).
En caso de disputa, el director general soporta la carga de la prueba de actuar de acuerdo con sus deberes – la carga de la prueba se invierte. No es el demandante quien debe demostrar que el director general actuó con negligencia, sino que el director general debe demostrar que hizo todo lo necesario. Y la responsabilidad también se aplica si la responsabilidad operativa se delega a un CISO. La delegación no protege contra la responsabilidad personal – es una medida organizativa, no una garantía jurídica.
Para los miembros del consejo de administración que ya han entendido el cumplimiento de NIS2 como una ventaja competitiva, la responsabilidad personal es el motivador decisivo: no se trata solo de multas a la empresa, sino del propio patrimonio.
El estado de preparación: dónde se encuentran las empresas alemanas
Las cifras son desalentadoras. Según un estudio de Proliance, en el momento de su entrada en vigor en diciembre de 2025, solo el 12,1 por ciento de las empresas afectadas habían implementado completamente NIS2. Otro 20,4 por ciento estaba en la fase final, el 31,3 por ciento estaba en medio del proceso. Alrededor de una cuarta parte ni siquiera había comenzado.
El Informe de Ciberseguridad Schwarz Digits 2026 (1.001 encuestados) muestra un problema adicional: el 48 por ciento de las empresas encuestadas evalúan incorrectamente su exposición regulatoria a NIS2 y pueden creer erróneamente que no están afectadas. Con más de 30.000 empresas reguladas, esto significa que miles están afectadas y no lo saben.
Según un estudio de G-Data/Statista/Brand-Eins, el 63 por ciento de las empresas habían comenzado o estaban en el proceso de implementar NIS2. Esto suena a progreso, pero la calidad de la implementación varía considerablemente. «En proceso» puede significar: planificado estratégicamente y abordado de manera estructurada. Pero también puede significar: el CISO ha solicitado un presupuesto que aún no ha sido aprobado.
Las multas están escalonadas: las instalaciones especialmente importantes (más de 250 empleados o más de 50 millones de euros de facturación) arriesgan hasta 10 millones de euros o el 2 por ciento de la facturación anual mundial. Las instalaciones importantes (50-249 empleados o 10-50 millones de euros de facturación) hasta 7 millones de euros o el 1,4 por ciento. A esto se suman las órdenes vinculantes del BSI, la publicación pública de infracciones (daño a la reputación) y la posibilidad de una prohibición provisional de funciones de dirección. Para los directores generales que conocen el paralelismo con el RGPD, el mensaje es claro: la actividad de enforcement será moderada en los primeros años y luego aumentará de manera exponencial. En el caso del RGPD, las multas acumuladas hasta 2024 superaron los 2.900 millones de euros en la UE.
Preparación para la auditoría: la lista de verificación práctica
Derivada de las diez medidas obligatorias y de los conocimientos adquiridos en las primeras auditorías del BSI:
1. Concepto de ISMS con análisis de riesgos. Por escrito, sistemático y con evidencia de revisión anual. Sin este documento, no puede comenzar ninguna auditoría.
2. Inventario de activos actualizado. Todos los sistemas de TI, interfaces y proveedores externos documentados. El BSI comprueba si el inventario es completo y actualizado, no solo si existe.
3. Plan operativo de respuesta a incidentes. Con interlocutores concretos, disponibilidades y vías de escalada. El plan debe funcionar bajo presión temporal, no solo existir en papel. Recomendación: realizar al menos una vez al año un simulacro en el que se pruebe la cadena de notificación de 24 horas.
4. Pruebas de penetración y evidencia de eficacia. Pruebas de penetración regulares y auditorías internas con resultados documentados y actas de medidas.
5. Evidencia de capacitación para todos los empleados. Incluida la dirección. Sin excepciones. El BSI comprueba específicamente si la dirección ha sido capacitada personalmente.
6. Directrices de cifrado y documentación de MFA. Qué sistemas están cifrados, qué algoritmos se utilizan y dónde se ha implementado MFA. La migración a criptografía post-cuántica será relevante en los próximos años.
7. Contratos con proveedores que incluyan requisitos de seguridad. Cada proveedor externo con acceso a sistemas necesita un contrato que contenga estándares de seguridad concretos y derechos de auditoría.
8. Gestión de registros centralizada. No registros locales con retención de 30 días, sino centralizados y evaluables. Esta es la medida que se objetó con más frecuencia en las primeras auditorías del BSI.
Quién audita: Proveedores de auditorías externas en Alemania
No existe una «certificación NIS2» uniforme; las empresas realizan auditorías y pruebas de penetración y utilizan certificados (ISO 27001 con mapeo NIS2, BSI IT-Grundschutz) como prueba ante el BSI. Para instalaciones especialmente importantes y operadores de instalaciones críticas, se prescribe un ciclo de prueba de tres años.
Los proveedores de pruebas establecidos en Alemania: TÜV Rheinland ofrece evaluaciones y asesoramiento de preparación para NIS2. TÜV NORD ha desarrollado un programa de certificación «Experto en NIS-2 (TÜV)» para auditores. TÜVIT se especializa en pruebas KRITIS y NIS2. DEKRA ofrece certificación y asesoramiento según las directrices NIS2. Además, las grandes consultoras (PwC, Deloitte, EY, KPMG) han establecido servicios de auditoría específicos para NIS2.
La recomendación: comenzar con un análisis de brechas que compare el estado actual con las diez medidas obligatorias. Las empresas con ISO 27001 suelen necesitar entre tres y seis meses para la ampliación a NIS2. Las empresas sin un SGSI existente deberían planificar entre 12 y 18 meses. Cuanto más tarde una empresa, más caro será, y más probable es que el primer contacto con el BSI no sea una carta amistosa, sino un procedimiento administrativo.
Las brechas más comunes encontradas en los análisis de brechas no son problemas técnicos: existen infraestructuras SIEM, pero no están completamente integradas. Los planes de continuidad empresarial están disponibles, pero nunca se han probado. Los contratos con proveedores contienen cláusulas generales, pero no requisitos de seguridad concretos. Y el mayor punto ciego: el alcance de ISO 27001 solo cubre una parte de la empresa, mientras que NIS2 se aplica a todo. Quien comience ahora con el análisis de brechas tiene un plan claro. Quien espera tiene un problema de cumplimiento que se vuelve más caro con cada mes de retraso.
Preguntas frecuentes
¿Qué verifica el BSI en una auditoría NIS2?
La implementación de las diez medidas obligatorias según el artículo 30 BSIG: análisis de riesgos, gestión de incidentes, continuidad empresarial, seguridad de la cadena de suministro, adquisición segura, prueba de eficacia, formación, criptografía, control de acceso y MFA. El BSI verifica especialmente el proceso de notificación operativa y la gestión de registros centralizada.
¿Existe una certificación NIS2?
No, no existe una certificación NIS2 oficial. ISO 27001 y BSI IT-Grundschutz están reconocidos como base de prueba, pero no reemplazan la documentación específica de NIS2. Las empresas demuestran el cumplimiento a través de medidas documentadas y resultados de auditorías.
¿Cuánto cubre ISO 27001 de NIS2?
Según estimaciones de expertos, entre el 70 y el 80 por ciento. Tres lagunas críticas: obligaciones de notificación al BSI (24/72 horas), responsabilidad personal del director general (artículo 38 BSIG) y el alcance a nivel de toda la empresa (ISO 27001 permite alcances limitados).
¿Es responsable personalmente el director general?
Sí, según el artículo 38 BSIG, con su patrimonio personal. La renuncia a la responsabilidad está excluida por ley, se invierte la carga de la prueba y la delegación a un CISO no protege contra la responsabilidad personal.
¿Cuánto tiempo se necesita para la preparación para NIS2?
Las empresas con ISO 27001 suelen necesitar entre 3 y 6 meses para la ampliación. Sin un SGSI existente: 12 a 18 meses. Los operadores de instalaciones críticas deben presentar pruebas al BSI cada 3 años.
Leer más
- NIS2 como ventaja competitiva: Por qué la regulación de ciberseguridad fortalece el emplazamiento económico
- Seguridad de la cadena de suministro: De la obligación de cumplimiento a la ventaja competitiva
- Reboot Germany: 735 mil millones, tres empresas medianas y la pregunta de si la crisis es realmente tan grave
Fuente imagen de título: Pexels / Sora Shimazaki (px:5668858)
