Obligación de registro NIS2 incumplida: la lista de verificación práctica según el § 30 BSIG

7 min de lectura

El 6 de marzo de 2026 finalizó el plazo. Tres meses después de la entrada en vigor de la ley de transposición NIS2, aproximadamente 29.500 empresas debían registrarse ante la BSI. Resultado: solo el 38,5 por ciento lo ha conseguido. Quien aún no se haya registrado, arriesga sanciones de hasta 10 millones de euros y la responsabilidad personal de los directores generales. Este artículo explica qué exige exactamente el § 30 BSIG, dónde se encuentran con mayor frecuencia las lagunas y qué deben hacer ahora los equipos de seguridad informática.

En resumen

• 🔒 Solo 11.500 de las 29.500 empresas obligadas se han registrado a tiempo ante la BSI (Security Insider 2026).
• ⚠️ El § 30 BSIG define diez medidas mínimas de gestión de riesgos, desde la respuesta a incidentes hasta la criptografía.
• 🛡️ Responsabilidad personal de los directores generales según el § 38 BSIG: los directores deben aprobar, supervisar y formarse en medidas de seguridad.
• 📊 Sanciones: hasta 10 millones de euros o el 2 por ciento del volumen de negocio anual global para instalaciones especialmente importantes (§ 65 BSIG).
• 🔧 La BSI está apostando actualmente por la sensibilización antes que por sanciones inmediatas, pero desde enero de 2026 ya realiza inspecciones in situ.

El plazo de registro ha expirado

La ley de transposición NIS2 (NIS2UmsuCG) entró en vigor el 6 de diciembre de 2025 sin periodos de transición. A partir de ese momento, todas las obligaciones eran aplicables. Tres meses después, el 6 de marzo de 2026, finalizó el plazo para el registro ante la BSI. La BSI habilitó el portal de registro el 6 de enero de 2026.

Las cifras tras la finalización del plazo son desalentadoras: según informes del sector, de las aproximadamente 29.500 entidades obligadas, solo unas 11.500 se han registrado. Esto equivale al 38,5 por ciento. La mayoría de las empresas afectadas se encuentran, por tanto, formalmente en mora.

Para comparar: bajo la antigua ley de seguridad informática, la BSI supervisaba alrededor de 4.500 organizaciones. Con NIS2, este número se ha multiplicado por más de seis. Muchas de las nuevas empresas afectadas no han tenido hasta ahora contacto alguno con la regulación de la BSI y subestiman considerablemente el esfuerzo necesario para implementar las medidas mínimas.

Fuentes: Comunicado de prensa de la BSI, diciembre de 2025; Security Insider, marzo de 2026; § 65 BSIG

¿Quién está afectado? Verificación de afectación

NIS2 distingue dos categorías. Quien caiga en una de ellas debe registrarse.

Instalaciones especialmente importantes: A partir de 250 empleados o 50 millones de euros de facturación anual, siempre que la cifra de balance sea al menos de 43 millones de euros. Estas empresas son auditadas de forma proactiva y periódica por la BSI. Las sanciones pueden alcanzar hasta 10 millones de euros o el 2 por ciento del volumen de negocio anual global.

Instalaciones importantes: A partir de 50 empleados o 10 millones de euros de facturación anual. La BSI audita únicamente de forma reactiva, es decir, cuando existe sospecha de incumplimiento o tras un incidente de seguridad. Las sanciones pueden llegar hasta 7 millones de euros o el 1,4 por ciento del volumen de negocio anual global.

En total, NIS2 abarca 18 sectores. Once de ellos se consideran esenciales: energía, transporte, banca, infraestructura de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, servicios TIC, administración pública y espacio. Otros siete sectores se clasifican como importantes: correo, gestión de residuos, química, industria alimentaria, industria manufacturera, proveedores digitales e investigación.

El error más común es pensar: «Somos demasiado pequeños». En realidad, el umbral se sitúa en 50 empleados o 10 millones de euros de facturación. Muchas pymes que nunca se han considerado relevantes para KRITIS quedan incluidas en esta categoría. Especialmente delicado: incluso filiales y empresas vinculadas pueden superar estos umbrales por su pertenencia a un grupo empresarial.

§ 30 BSIG: Las diez medidas mínimas en detalle

El núcleo práctico de la ley de transposición NIS2 figura en el apartado 2 del § 30 BSIG. Allí, el legislador define diez ámbitos que toda entidad afectada debe cubrir. Ninguna de estas medidas es opcional.

1. Análisis de riesgos y conceptos de seguridad. Las empresas deben contar con conceptos documentados sobre análisis de riesgos y seguridad de la información. No basta con documentos teóricos: la BSI verifica si dichos conceptos están actualizados, son completos y se adaptan a la infraestructura TIC real.

2. Gestión de incidentes. Los incidentes de seguridad deben poder detectarse, clasificarse y gestionarse. La BSI espera vías de notificación definidas, procesos de escalado y una documentación exhaustiva de la fase posterior al incidente. La experiencia demuestra que muchas empresas cuentan con planes de respuesta a incidentes que, en caso real, no funcionan.

3. Continuidad del negocio. Mantenimiento operativo, gestión de copias de seguridad, recuperación tras emergencias y gestión de crisis. No solo técnicamente: también los procedimientos organizativos para emergencias deben estar definidos y someterse regularmente a simulacros. Un plan de copias de seguridad en papel no sirve de nada si nunca se ha probado la restauración.

4. Seguridad de la cadena de suministro. La seguridad de la cadena de suministro, incluidos los proveedores directos y los prestadores de servicios. Aquí radica una de las mayores lagunas: muchas empresas desconocen las prácticas de seguridad de sus proveedores de servicios TIC. NIS2 exige identificar sistemáticamente estos riesgos y controlarlos contractualmente. Esto afecta también a proveedores de nube, gestores de servicios gestionados y fabricantes de software.

5. Adquisición y desarrollo seguros. Medidas de seguridad en la adquisición, desarrollo y mantenimiento de sistemas TIC. Para empresas con desarrollo interno de software, esto implica que la seguridad por diseño pasa a ser obligatoria, no opcional. El análisis práctico de SBOM muestra cómo la lista de componentes de software facilita este proceso.

6. Evaluación de eficacia. Las empresas no solo deben implementar medidas, sino evaluar periódicamente su eficacia. Pruebas de penetración, auditorías y métricas de seguridad pasan así a ser obligatorias. Esta evaluación debe documentarse y presentarse a la dirección.

7. Formación y sensibilización. Formación básica en ciberseguridad para todo el personal. No puntual, sino continua. La dirección tiene una obligación específica de formación según el § 38 BSIG, que no puede delegarse.

«Las empresas necesitan marcos normativos fiables.»
Ralf Wintergerst, presidente de Bitkom (comunicado de prensa de Bitkom, 2025)

8. Criptografía. Conceptos y procesos para el uso de métodos criptográficos. Esto abarca la cifrado en tránsito, en reposo y en la comunicación. Las empresas deben documentar qué algoritmos utilizan y por qué. Métodos obsoletos como SHA-1 o RSA con menos de 2048 bits ya no son aceptables.

9. Control de acceso y gestión de personal. Seguridad del personal, control de acceso a los sistemas y gestión de los sistemas TIC. La gestión de identidades y accesos (IAM) se convierte así en un tema de cumplimiento normativo, no solo de seguridad. El principio del mínimo privilegio debe aplicarse rigurosamente y documentarse de forma verificable.

10. Autenticación multifactor y comunicación segura. Autenticación multifactor o autenticación continua, así como comunicación segura por voz, video y texto. Quien aún no tenga autenticación multifactor en sistemas críticos ya no cumple con la normativa. Especialmente relevante para empresas que usan Microsoft Teams u otras plataformas similares para comunicaciones confidenciales.

§ 38 BSIG: por qué los directores generales responden personalmente

Quizá la novedad más significativa de NIS2 se encuentra en el § 38 BSIG. Los directores generales y miembros del consejo de administración responden personalmente por la implementación de las medidas de gestión de riesgos. La ley establece tres obligaciones.

Obligación de aprobación: Las medidas de gestión de riesgos según el § 30 deben ser formalmente aprobadas por la dirección. La delegación al CISO o al responsable de TI no es suficiente. La dirección debe haber tomado la decisión de forma demostrable.

Obligación de supervisión: Los directores deben supervisar activamente la implementación. No basta con ser informados, deben dirigir. La BSI puede exigir pruebas de que dicha supervisión se está llevando a cabo.

Obligación de formación: Los órganos directivos deben formarse regularmente en ciberseguridad. Esta obligación no es delegable. Al menos cada tres años debe realizarse una actualización.

Particularmente relevante: la renuncia a la responsabilidad por parte de la empresa está legalmente excluida. Incluso quien haya designado un CISO sigue siendo personalmente responsable de la dirección estratégica. Quien tras un incidente no pueda demostrar haber cumplido estas tres obligaciones, responde con su patrimonio privado.

Qué hace la BSI tras el 6 de marzo

Tras finalizar el plazo de registro, la BSI ha indicado que inicialmente prioriza la sensibilización frente a sanciones inmediatas. Hasta ahora no se han hecho públicos avisos de sanción. Sin embargo, esto no significa que no ocurra nada.

Desde enero de 2026, la BSI ya realiza inspecciones in situ en instalaciones especialmente importantes. Los primeros resultados muestran tres debilidades recurrentes: procesos de notificación que no funcionan en caso de emergencia, dependencias desconocidas en la cadena de suministro y sistemas de registro (logging) insuficientes para las auditorías de la BSI.

Para las empresas que aún no se han registrado, esto significa: la moratoria no es una carta blanca. El registro en sí dura pocas horas. Pero implementar las medidas del § 30 requiere semanas o incluso meses. Quien empiece ahora debe priorizar: registrar inmediatamente, luego implementar gestión de incidentes y control de acceso como logros rápidos, y al mismo tiempo establecer el plan de cumplimiento completo.

Lista de verificación inmediata: qué deben hacer ahora los equipos de seguridad informática

Paso 1: Verificación de afectación. Compruebe: ¿Más de 50 empleados o más de 10 millones de euros de facturación? ¿Actúa en alguno de los 18 sectores? Si la respuesta es afirmativa: está afectado.

Paso 2: Registro ante la BSI. Si aún no se ha hecho: regístrese inmediatamente a través del portal de la BSI. El registro en sí es sencillo. Cada día de retraso aumenta el riesgo de sanción.

Paso 3: Análisis de brechas frente al § 30. Revise individualmente las diez medidas mínimas. ¿Dónde ya existen procesos? ¿Dónde falta documentación? ¿Dónde falta completamente la medida? Resultado: una lista priorizada con acciones necesarias.

Paso 4: Involucrar a la dirección. Obtenga una resolución del consejo de administración para aprobar las medidas de gestión de riesgos. Fije una fecha para la formación de la dirección. Defina la periodicidad de supervisión. Documente todo.

Paso 5: Mapear la cadena de suministro. ¿Qué proveedores de servicios de TI utiliza? ¿Qué estándares de seguridad rigen allí? ¿Existen acuerdos contractuales? La seguridad de la cadena de suministro es el área que la mayoría de las empresas subestima.

Paso 6: Probar los procesos de notificación. Simule un incidente de seguridad. ¿Funcionan las vías de escalado? ¿Sabe cada uno a quién y cuándo debe informar? ¿Llega la notificación a la BSI dentro del plazo establecido?

Conclusión: el registro es la parte fácil

El registro ante la BSI se completa en pocas horas. El verdadero trabajo reside en el § 30 BSIG: diez áreas de medidas que deben documentarse, implementarse y revisarse regularmente. Con el § 38 BSIG se añade la responsabilidad personal de la dirección.

Quien aún no haya comenzado, no debe confiar en la moratoria de la BSI. Las inspecciones in situ ya están en marcha. Y la pregunta no es si, sino cuándo se impondrá la primera sanción.

Preguntas frecuentes

¿Quién debe registrarse ante la BSI?

Empresas con al menos 50 empleados o con un volumen de facturación anual de al menos 10 millones de euros que operen en alguno de los 18 sectores NIS2. La obligación de registro rige desde el 6 de marzo de 2026.

¿Qué ocurre si he incumplido el plazo de registro?

La BSI actualmente prioriza la sensibilización frente a sanciones inmediatas. Sin embargo, las sanciones son posibles en cualquier momento: hasta 10 millones de euros o el 2 por ciento del volumen de negocio anual global para instalaciones especialmente importantes. Regístrese inmediatamente.

¿Responde personalmente el director general?

Sí. El § 38 BSIG obliga a los directores a aprobar, supervisar y formarse personalmente en ciberseguridad. La renuncia a la responsabilidad por parte de la empresa está legalmente excluida. Esta obligación no puede delegarse al CISO.

¿Cuáles son las diez medidas mínimas según el § 30 BSIG?

Análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición y desarrollo seguros, evaluación de eficacia, formación, criptografía, control de acceso y autenticación multifactor. Los diez ámbitos deben estar documentados e implementados.

¿Es aplicable NIS2 también a las pymes?

Sí. El umbral está en 50 empleados o 10 millones de euros de facturación. Muchas pymes que nunca se han considerado relevantes para KRITIS quedan incluidas en NIS2. Especialmente afectados: industria manufacturera, sector alimentario y proveedores digitales.

Fuente de imagen: Pexels / Tima Miroshnichenko

Sobre el autor: Alec Chizhik

Más artículos de Alec Chizhik