Lo que la dirección debe documentar según NIS2
Un escenario de una auditoría del BSI: La dirección ha hecho muchas cosas correctamente. Ha aprobado presupuesto, ha nombrado a un CISO, ha priorizado medidas y ha seguido el progreso. Solo que nada de ello consta por escrito. Cuando el auditor pregunta cómo la dirección cumple con su obligación de supervisión, solo hay promesas verbales y ninguna acta. El trabajo se realizó, pero falta la prueba. Es precisamente aquí donde se decide si una buena organización de seguridad también supera la auditoría como tal. No hace falta una resolución formal para ello, pero sí un rastro de control trazable.
Lo más importante en resumen
- No se prescribe una resolución formal: El artículo 38 de la BSIG exige implementar las medidas y supervisar su implementación. El término «aprobar» de la directiva NIS2 no aparece en la ley alemana.
- La documentación es obligatoria de forma expresa: El artículo 30, apartado 1, frase 3 exige documentar el cumplimiento de las medidas. Una infracción se sanciona con multa conforme al artículo 65.
- Seis elementos deben constar en el acta: desde la documentación de las medidas, pasando por las evidencias de supervisión y las decisiones de gestión, hasta la evaluación de la eficacia, los justificantes de formación y la cadena de notificación.
- La multa afecta a la entidad, la responsabilidad a la dirección: Los marcos de hasta 10 millones de euros afectan a la empresa. La responsabilidad personal de la dirección se rige civilmente por el artículo 38, apartado 2.
Relacionado:Cinco indicadores que el consejo de supervisión realmente entiende / Qué derechos de decisión del CISO deben estar regulados por escrito
¿Qué debe documentar la dirección según NIS2?
¿Qué exige la BSIG en materia de documentación a la dirección? La BSIG 2025 obliga a la entidad a documentar el cumplimiento de sus medidas de gestión de riesgos. La dirección debe supervisar su implementación. De ambas se deriva la práctica de registrar las decisiones de seguridad adoptadas, su supervisión y la participación en las formaciones de forma que sean verificables en una auditoría del BSI o en una comprobación de responsabilidad.
El error más frecuente consiste en pensar que la ley exige una resolución formal de la dirección sobre las medidas de seguridad. Esa es la formulación europea, no la alemana. Quien construye su gobernanza sobre este malentendido, documenta fuera de la ley. La obligación real está definida de manera más estricta y resulta más manejable en la práctica si se conoce el texto literal.
Implementar y supervisar, no aprobar
El texto de la ley merece la pena. El artículo 38, apartado 1, de la BSIG obliga a los órganos de dirección de las entidades particularmente importantes e importantes a implementar las medidas de gestión de riesgos exigidas conforme al artículo 30 y a supervisar su implementación. En él no se menciona aprobación ni resolución alguna.
La confusión proviene de la directiva NIS2 superior. Su artículo 20 exige que los órganos de dirección aprueben las medidas, supervisen su implementación y puedan ser considerados responsables de las infracciones. El legislador alemán sustituyó en la transposición el término «aprobar» por «implementar», mantuvo «supervisar» y ancló la responsabilidad de la dirección en el artículo 38, apartado 2. Para la práctica significa: Del BSIG no se puede derivar una obligación legal de resolución formal. Esto no exime a la dirección, porque supervisar sin un rastro documentado es difícil de acreditar en la auditoría.
Aquí comienza la verdadera obligación de documentación. El artículo 30, apartado 1, frase 3, de la BSIG exige expresamente que la entidad documente el cumplimiento de la obligación de adoptar las medidas. Esta obligación recae sobre la entidad y es directamente sancionable con multa. El artículo 65 menciona la documentación inexistente, incorrecta o incompleta como un supuesto propio de infracción administrativa. Junto a ello está la obligación de la dirección del artículo 38, apartado 1, de supervisar de forma demostrable la implementación. Esta no constituye por sí misma un supuesto sancionable con multa, pero exige prácticamente el mismo rastro documentado. Ambas normas juntas son el ancla legal para cada lista de verificación de actas.
Seis elementos que deben constar en el acta
El siguiente resumen traduce los anclajes legales en documentos concretos. La ley no prescribe ningún formato. Lo decisivo son por tanto rastros trazables en los lugares correctos, verificables y mantenidos actualizados.
| Objeto de la documentación | Qué se registra | Fundamento jurídico |
|---|---|---|
| Documentación de las medidas | Todas las medidas conforme al artículo 30, incluida la ponderación de proporcionalidad según tamaño, riesgo y costes | Artículo 30, ap. 1, frase 3 (única obligación de documentación directamente sancionable con multa) |
| Evidencias de supervisión | Informes de estado periódicos a la dirección, deficiencias pendientes, progreso, riesgo cibernético como punto del orden del día | Artículo 38, ap. 1 (supervisar la implementación) |
| Rastro de control de la dirección | Objetivos, presupuesto, funciones, riesgos residuales aceptados, priorización de los paquetes de medidas, registrado como rastro de gestión sin obligación de resolución | Artículo 38, ap. 1 y artículo 30, ap. 1, frase 1 |
| Evaluación de la eficacia | Conceptos y procedimientos más los resultados periódicos de auditorías, pruebas y ejercicios | Artículo 30, ap. 2, núm. 6 |
| Justificantes de formación | Comprobantes de participación, contenidos, fecha y miembros de la dirección participantes | Artículo 38, ap. 3 |
| Documentación de notificaciones y crisis | Acreditación de la cadena de notificación en incidentes significativos, información y control de la dirección en la crisis | Artículo 32 y artículo 30, ap. 2, núms. 2 y 3 |
Dos de estos elementos tienen el mayor peso. La documentación de las medidas conforme al artículo 30, apartado 1, frase 3 es el único punto cuyo incumplimiento cumple directamente un supuesto sancionable con multa. Las evidencias de supervisión conforme al artículo 38, apartado 1 son la prueba de que la dirección ha dirigido ella misma y no ha delegado toda la responsabilidad hacia abajo. Precisamente esta prueba decide en caso de responsabilidad.
Para los seis elementos rige el mismo mínimo práctico: un lugar de archivo claro, una persona responsable designada, un estado de versión y un ritmo de actualización fijo. Sin esta gestión documental, incluso una colección de buena calidad pierde valor en la auditoría, porque no se puede acreditar la actualidad ni la responsabilidad.
Qué quiere ver el BSI y a quién afecta la sanción
La ley otorga al BSI amplias facultades de supervisión. El artículo 61 permite, en el caso de entidades particularmente importantes, ordenar auditorías y exámenes, solicitar evidencias y exigir la presentación de registros, documentos y demás documentación. En el caso de entidades importantes, esta supervisión conforme al artículo 62 solo se activa ante una sospecha fundada. También es expresamente verificable la obligación de formación de la dirección conforme al artículo 38, apartado 3. La ley no menciona un esquema de examen fijo ni un formato de acta prescrito. Se examina el cumplimiento material de las obligaciones de los artículos 30 y 32 junto con la obligación de implementación y supervisión de la dirección de los apartados 1 y 3 del artículo 38.
En las sanciones conviene una distinción clara que en muchas representaciones se difumina. Los marcos de multas a menudo citados del artículo 65 afectan a la entidad, no personalmente a la dirección. Para entidades particularmente importantes el marco es de hasta 10 millones de euros o, si el volumen de negocios total supera los 500 millones de euros, de hasta el 2 % del volumen de negocios anual mundial. Para entidades importantes son hasta 7 millones de euros o hasta el 1,4 %. Estas cantidades son marcos máximos para el caso individual, sujetos al principio de proporcionalidad, no importes estándar. Se vinculan a infracciones de las obligaciones de medidas y notificación, por ejemplo contra la obligación de documentación del artículo 30, apartado 1, frase 3.
La responsabilidad personal de la dirección sigue otra vía. El artículo 38, apartado 2, vincula una vulneración culpable de la obligación a una responsabilidad interna de la dirección frente a la propia entidad según las normas del derecho de sociedades. En casos graves, en entidades particularmente importantes la autoridad de supervisión competente puede, previa comunicación del BSI conforme al artículo 61, apartado 9, ordenar la prohibición temporal del ejercicio de la actividad de dirección si una orden no se cumple pese al plazo. Para la práctica significa: Quien como dirección documenta cómo se ha supervisado y gestionado, hace que su propia organización sea apta para la auditoría. Las actas son el instrumento con el que se puede acreditar posteriormente la percepción activa de la obligación, tanto en la auditoría del BSI como en una revisión de responsabilidad.
Preguntas frecuentes
Cada pregunta está cerrada. Al tocar se desbloquea la respuesta.
¿Debe la dirección aprobar formalmente las medidas de NIS2?
No. El artículo 38 de la BSIG exige implementar las medidas y supervisar su implementación, no aprobarlas ni resolver sobre ellas. Del texto de la ley no se deriva una obligación de resolución formal. Las actas son un instrumento de gobernanza para la acreditación, no un acto de aprobación designado legalmente.
¿Qué documentación es expresamente obligatoria según la BSIG?
El artículo 30, apartado 1, frase 3 exige documentar el cumplimiento de las medidas de gestión de riesgos. Esa es la única obligación de documentación expresa con un supuesto propio de multa conforme al artículo 65. De forma complementaria, la evaluación de la eficacia del artículo 30, apartado 2, número 6 y la supervisión del artículo 38, apartado 1 presuponen rastros escritos.
¿Qué importe tienen las multas según la BSIG?
Conforme al artículo 65, los marcos para entidades particularmente importantes son de hasta 10 millones de euros o hasta el 2 % del volumen de negocios anual mundial, y para entidades importantes de hasta 7 millones de euros o hasta el 1,4 %. El umbral de volumen de negocios se aplica a partir de un volumen de negocios total superior a 500 millones de euros. Las multas afectan a la entidad. La responsabilidad personal de la dirección se rige por la responsabilidad interna según el derecho de sociedades del artículo 38, apartado 2.
¿Debe la dirección participar personalmente en las formaciones?
El texto de la ley exige en el artículo 38, apartado 3, que la dirección participe regularmente en formaciones. Las palabras «personalmente» o «no delegable» no figuran ahí. La obligación se dirige a los miembros de la dirección como personas físicas. Para la auditoría deben poder acreditarse la participación, los contenidos y la regularidad.
Selección de la redacción
RecomendadoCISO a tiempo parcial: Qué puede externalizarse y qué debe permanecer internoRecomendadoNIS2 después del plazo: Comienza la supervisión del BSI
Más de la red MBF Media
Digital ChiefsGeopol?tica y datacenters: lo que los CIO deben asegurarMyBusinessFutureReglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahoracloudmagazinXFS4IoT se encuentra con la nube: El cajero automático se convierte en plataforma
Fuente de la imagen: generado por IA (julio 2026)




