3. mayo 2026 | Imprimir artículo |

Aplicación de NIS2 2026: fase de auditoría del BSI y lista de verificación DACH

6 Min. de lectura

El 18 de abril de 2026 expiró en Bélgica el primer plazo de aplicación de la NIS2 para instalaciones especialmente importantes. En Alemania, el plazo de registro del BSI ha caducado desde el 6 de marzo de 2026. Quien no se haya registrado hasta esa fecha, ahora está en el foco de un sistema de supervisión que impone multas de hasta 10 millones de EUR o el 2% de la facturación anual y puede hacer personalmente responsables a los directores. La ola de aplicación ya no es una amenaza.

Lo más importante en resumen

  • 29.500 instalaciones reguladas en Alemania. La NIS2UmsuCG ha ampliado el ámbito alemán de 4.500 a 29.500 instalaciones. Muchas aún no saben que están afectadas.
  • Fase de aplicación activa desde mayo de 2026. La primera fecha límite de Bélgica fue el 18 de abril de 2026. El BSI está en fase de comprobación operativa desde mayo de 2026. Austria seguirá con su entrada en vigor el 1 de octubre de 2026.
  • Marco de multas: 10 millones de EUR o el 2%. Para instalaciones especialmente importantes. Además, en Alemania hay responsabilidad personal de los directivos de hasta 500.000 EUR – no la persona jurídica, sino el individuo.
  • 84 por ciento no preparado. Según CyberSmart (abril de 2026), el 84 por ciento de las organizaciones expuestas a la aplicación no están listas para el cumplimiento. La distancia entre la exigencia regulatoria y la realidad operativa no ha disminuido.

RelacionadoActa de IA de la UE: Sistemas de alto riesgo a partir del 2 de agosto de 2026  /  Qué exige NIS2 a las entidades reguladas

¿Qué es NIS2? La directiva de la UE sobre ciberseguridad de redes y sistemas de información (NIS2, directiva 2022/2555) establece obligaciones vinculantes de ciberseguridad para sectores críticos. Reemplaza la directiva NIS de 2016, amplía considerablemente su ámbito de aplicación e introduce un régimen sancionador uniforme con responsabilidad personal de los directivos.

El NIS2UmsuCG está en vigor desde el 6 de diciembre de 2025. La a menudo citada «seguridad adecuada» ha sido concretizada por las Guías Técnicas de Implementación de ENISA (junio de 2025) – esta es la diferencia con marcos de cumplimiento anteriores que dejaban más espacio para la interpretación. Quien argumente que no tenía claridad sobre qué hacer específicamente, tiene un problema de investigación, no un problema normativo.

El art. 21 de NIS2 define diez categorías de medidas que una entidad regulada debe implementar y documentar. ENISA ha aclarado adicionalmente en el primer trimestre de 2026: la autenticación multifactor (MFA) para accesos privilegiados, cuentas de acceso remoto y cuentas de proveedores es «prácticamente siempre apropiada» – ya casi no existe margen de maniobra por la expresión «cuando sea apropiado».

Lo que muchas ya tienen

  • Firewall y protección de endpoints
  • Rutina de copias de seguridad (generalmente sin prueba de recuperación)
  • Gestión de parches – de alguna manera
  • Antivirus en endpoints
  • Política básica de contraseñas

Lo que típicamente falta

  • Plan de respuesta a incidentes documentado
  • SGSI con registro de riesgos
  • Proceso de notificación al BSI de 24h (punto de contacto, cadena de escalado)
  • MFA en todas las cuentas privilegiadas
  • Análisis de riesgos de la cadena de suministro para proveedores de TI

Cuál es el estado de implementación en DACH

Alemania ha implementado NIS2 como uno de los últimos miembros de la UE. El NIS2UmsuCG entró en vigor el 6 de diciembre de 2025, casi 15 meses después del plazo de implementación europeo. Entre la aprobación y la aplicación operativa por parte del BSI, las empresas afectadas tuvieron aproximadamente 13 semanas – es decir, menos de un trimestre para establecer la gestión de riesgos, la documentación y el registro.

Austria aprobó el NISG 2026 el 12 de diciembre de 2025. Entrada en vigor: 1 de octubre de 2026. Las empresas austriacas afectadas tienen así un breve plazo para establecer sus bases de cumplimiento antes de que la nueva autoridad de supervisión – la Oficina Federal de Ciberseguridad – pase a la fase operativa. Ámbito: unos 4.000 empresas de 18 sectores.

Polonia ha completado con la Ley KSC el 3 de abril de 2026 una de las implementaciones más extensas de la UE: 42.000 entidades reguladas, ampliadas desde las aproximadamente 400 anteriores. No es un error de tipeo. Para las cadenas de suministro germano-polacas y los partners de nearshoring, esto significa una presión inmediata de cumplimiento en ambos lados.

Suiza: No es miembro de la UE, por lo que no tiene obligaciones directas de NIS2. Para las empresas suizas que actúan como proveedores de TI para entidades reguladas de la UE según NIS2, surge una presión indirecta a través de los requisitos de cadena de suministro del lado del cliente.

Qué deben revisar ahora los equipos de TI

Cinco pasos de trabajo cubren las lagunas de cumplimiento más comunes. Ninguno de estos puntos exige ISO 27001, pero todos requieren pruebas documentadas.

1
Verificar el ámbito de aplicación. ¿Pertenece la empresa a uno de los 18 sectores NIS2 según el Anexo 1 o 2 de la BSIG? Umbral: a partir de 50 empleados O 10 millones de EUR de facturación anual, combinado con la pertenencia al sector. La clasificación como «importante» o «especialmente importante» establece el marco de sanciones.
2
Realizar el registro en el BSI. El plazo venció el 6 de marzo de 2026. El BSI ha mostrado tolerancia hasta ahora, pero el margen de maniobra se está reduciendo. El registro en el portal del BSI es el primer paso antes de que cualquier otra prueba de cumplimiento sea relevante.
3
Documentar las medidas de gestión de riesgos. Las diez categorías del art. 21 NIS2 deben estar implementadas de manera demostrable. Sin registro de riesgos, en el contexto de una auditoría, significa: sin prueba. No se necesita una certificación completa ISO 27001, pero el documento debe existir.
4
Activar el proceso de notificación. ¿Quién es el interlocutor del BSI en la empresa? ¿Existe una cadena de escalado escrito para la obligación de notificación en 24 horas en caso de incidentes significativos? Conocer el portal de notificación del BSI, comunicarlo internamente y nombrar responsables.
5
Evaluar proveedores. ¿Qué proveedores de TI tienen acceso directo a sistemas críticos? La seguridad de la cadena de suministro no es un componente opcional, sino parte del análisis de riesgos. Obtener pruebas de seguridad escritas de los proveedores clave.

Preguntas frecuentes

¿Qué se considera «entidad especialmente importante» según NIS2?

Las entidades especialmente importantes (essential entities) son empresas en sectores de alta criticidad (Anexo 1 BSIG) con al menos 250 empleados o 50 millones de EUR de facturación anual y 43 millones de EUR de volumen de balance. Para ellas se aplica el marco de sanciones más alto de hasta 10 millones de EUR o el 2% de la facturación mundial anual, dependiendo de cuál sea el importe mayor. Las entidades importantes (important entities) del Anexo 2 o con umbrales más bajos tienen un marco de 7 millones de EUR o el 1,4%.

¿Cuál es el coste concreto de perder el plazo de registro en el BSI?

El NIS2UmsuCG prevé una sanción fija de hasta 100.000 EUR por no realizar el registro en el BSI, independientemente de la facturación anual. No es un porcentaje de facturación, sino un hecho en sí mismo. Además, el BSI puede solicitar información e iniciar medidas adicionales en caso de falta de cooperación.

¿Se aplica NIS2 también a empresas suizas?

No directamente. Suiza no es miembro de la UE. Sin embargo, las empresas suizas que actúan como proveedores de TI para entidades de la UE reguladas por NIS2 se ven sometidas a presión a través de los requisitos de cadena de suministro de los clientes. Quien opera sistemas para un hospital alemán, un proveedor de energía o una administración pública debe contar con que el cliente exigirá pruebas de seguridad.

¿Qué es la obligación de notificación en 24 horas en detalle?

En caso de un incidente de seguridad significativo – definido como un incidente con importantes repercusiones en el servicio – debe realizarse una notificación inicial al BSI dentro de las 24 horas. Dentro de las 72 horas sigue una evaluación más detallada, y después de un mes un informe final. La notificación se realiza a través del portal de notificación del BSI. Un «incidente significativo» es un término que el BSI aún concretará más – en caso de duda: notificar, no esperar.

¿Deben los proveedores ser ellos mismos conformes con NIS2?

No necesariamente en el sentido de que los proveedores deban estar registrados ellos mismos. Pero las entidades reguladas están obligadas a evaluar y gestionar los riesgos de seguridad en su cadena de suministro. Esto significa: pruebas documentales sobre las prácticas de seguridad de los proveedores de TI con acceso crítico, requisitos contractuales mínimos y derechos de auditoría. Quien no lo hace asume el riesgo de responsabilidad personalmente.

Más de la red de medios MBF

Foto: Pexels / cottonbro studio

Fuente imagen de portada: Wikimedia Commons / Wolkenkratzer (CC BY-SA 3.0)

Imprimir artículo
SecurityToday Redaktionsteam

Sobre el autor: SecurityToday Redaktionsteam

Más artículos de

También disponible en

FrançaisEnglishDeutsch
Una revista de Evernine Media GmbH