NIS2 después del plazo: Comienza la supervisión del BSI

6 Min. de lectura

El 6 de marzo de 2026 expiró el plazo de registro para NIS2, y con ello finaliza la fase de implementación. Unas 29.000 instalaciones en Alemania están sujetas a la ley de transposición de NIS2, siendo el BSI la autoridad supervisora central. Por ello, 2026 será el año en el que ya no cuente la pregunta de si uno está registrado, sino si las medidas notificadas resisten una auditoría. Quien lo implemente correctamente no tendrá desventaja alguna en comparación con la UE, sino una ventaja en cuanto a nivel de madurez.

Lo más importante en resumen

La fase cambia. Con la expiración del plazo de registro el 6 de marzo de 2026, el foco se desplaza del registro a la supervisión. A partir de ahora, el BSI puede auditar, ordenar y sancionar.
La responsabilidad es personal. Para las instalaciones especialmente importantes, las multas pueden alcanzar los 10 millones de euros o el 2 % de la facturación anual mundial, dependiendo de cuál de los dos valores sea mayor. A ello se suma la responsabilidad personal de la dirección.
Un nivel de madurez temprano compensa. Quien cumpla correctamente las obligaciones ahora estará preparado para la próxima oleada de supervisión y, de todos modos, cubrirá el estándar mínimo de la UE.

Relacionado:NIS2 se ejecuta: primeros procedimientos, responsabilidad personal / La aplicación de NIS2 afecta a 29.500 empresas alemanas

Expira el plazo, comienza la supervisión

La ley de transposición de NIS2 se promulgó el 6 de diciembre de 2025 y ha estado vigente desde entonces sin período de transición. La obligación de registro ante el BSI expiró el 6 de marzo de 2026. Los registros tardíos siguen siendo posibles, pero no cambian el punto esencial: las obligaciones ya son de aplicación y la autoridad supervisora está operativa.

¿Qué es la fase de supervisión de NIS2? La fase de supervisión es el periodo posterior a la expiración del plazo de registro, durante el cual el BSI controla activamente la aplicación de las medidas de seguridad legales. Puede solicitar pruebas, ordenar auditorías, dictar resoluciones e imponer multas en caso de incumplimiento. El enfoque se desplaza del registro formal a la verificación sustantiva.

Para los responsables de seguridad, esto cambia las prioridades. Durante la fase de implementación, se trataba de la exhaustividad de la notificación. Ahora se trata de solidez: si las medidas notificadas pueden demostrarse, si las vías de comunicación están probadas y si la responsabilidad está documentada.

unas 29.000

Instalaciones en Alemania están sujetas a NIS2, repartidas en 18 sectores y dos categorías.

Fuente: BSI / Ley de transposición de NIS2

Por qué la implementación alemana va más allá del estándar mínimo

La directiva NIS2 establece un marco europeo que cada estado miembro convierte en derecho nacional. Los 18 sectores afectados y las dos categorías de instalaciones ya están definidos por la directiva de la UE. Alemania, sin embargo, ha formulado con mayor claridad en un punto decisivo: en la responsabilidad personal de la dirección, que en casos extremos puede llegar al retiro de la supervisión. Esto se puede interpretar como una carga adicional. Sin embargo, hay otra lectura más útil.

Quien cumple con los requisitos alemanes, cumple con el estándar mínimo de la UE, y generalmente lo hace con holgura. Para empresas que operan en varios países de la UE, esto representa una ventaja práctica: un nivel de seguridad que existe en Alemania suele ser aceptable ante la supervisión en países vecinos. El supuesto esfuerzo adicional se convierte así en un denominador común.

Esto no es motivo para la autosatisfacción, pero sí un argumento contra la narrativa puramente basada en cargas. El grado de madurez que se construye ahora tiene efectos que trascienden la supervisión alemana.

¿Qué significa en la práctica la fase de supervisión?

En concreto, la supervisión significa que el BSI no tiene que esperar a un incidente para actuar activamente. Puede solicitar pruebas tanto según circunstancias específicas como de forma proactiva, dependiendo de la clasificación de la instalación. Por eso, tres cosas deben estar preparadas por los responsables de seguridad.

En primer lugar, la capacidad de demostrar: el análisis de riesgos, las medidas técnicas y organizativas y su eficacia deben documentarse y ser accesibles, no solo implementarse. En segundo lugar, la cadena de notificación: los plazos para informar sobre incidentes al BSI son muy ajustados, por lo que el procedimiento debe probarse antes de que sea relevante en una situación real. En tercer lugar, la gobernanza: la dirección es personalmente responsable, por lo que la situación de seguridad debe alcanzar a la capa de gestión, no solo a la IT.

Ninguno de estos puntos es nuevo. Lo nuevo es que su ausencia puede tener consecuencias inmediatas desde ahora.

Plan de implementación NIS2 en Alemania

06.12.2025

Se publica la ley de implementación de NIS2 y entra en vigor sin período de transición.

06.03.2026

Finaliza el plazo de registro ante el BSI, aunque aún es posible registrarse con retraso.

a partir de 2026

Fase de supervisión: el BSI revisará las medidas, exigirá pruebas y podrá sancionar.

Quienes han perdido el plazo

El registro tardío ante el BSI sigue siendo posible, pero no crea un espacio de protección. Las obligaciones legales ya están vigentes desde la publicación en diciembre de 2025, independientemente de si la instalación se registró a tiempo o no. Quienes lo hacen ahora solo cumplen formalidades, mientras que la responsabilidad sustancial ya está en marcha.

Para quienes llegan tarde, esto significa en la práctica: primero registrar, luego establecer rápidamente la capacidad de demostración. Si ocurre un incidente notificable antes de que las medidas puedan ser comprobadas, una inscripción retrasada o omitida dificultará la situación. Por tanto, el orden no es una reducción de obligaciones, sino una gestión de riesgos.

Preguntas frecuentes

¿Qué significa el final del plazo de registro para NIS2?

Con el 6 de marzo de 2026 finalizó el plazo para registrarse ante el BSI como instalación afectada. Sin embargo, las obligaciones mismas ya estaban vigentes desde la publicación de la ley el 6 de diciembre de 2025. A partir de ahora, el enfoque se centra en la supervisión: el BSI revisará si las medidas declaradas se han implementado.

¿Quiénes están afectados por NIS2 en Alemania?

Cerca de 29.000 instalaciones en más de 18 sectores quedan sujetas a la ley, divididas en instalaciones esenciales e importantes. Incluyen nuevas empresas, operadores de instalaciones críticas y ciertas instalaciones federales.

¿Qué sanciones se enfrentan en caso de incumplimiento?

Para instalaciones especialmente importantes, las multas pueden llegar hasta 10 millones de euros o el 2 por ciento del volumen anual mundial de ventas, según cuál de los dos valores sea mayor; para instalaciones importantes, el límite superior es menor. Además, existe la responsabilidad personal de la dirección, que puede ser retirada en casos extremos.

¿Por qué la implementación alemana se considera estricta?

Alemania ha concretado la directiva NIS2 principalmente en cuanto a la responsabilidad personal de la nivel directivo, superando el estándar mínimo de la UE, incluso hasta el posible retiro de la supervisión en casos extremos. Quien cumpla estas exigencias, generalmente cubre el estándar mínimo europeo.

¿Qué deben priorizar las empresas ahora?

Tres puntos: la capacidad de demostrar las medidas de seguridad, una cadena de alerta probada para incidentes y la implantación de la responsabilidad de seguridad en el nivel directivo. Esta preparación decide si una inspección por parte del BSI transcurre sin observaciones.