BRIEFING DE SEGURIDAD · 15.07.2026 DEENFRES

Glosario de seguridad

¿Qué es NIS2? Definición, obligaciones y responsabilidad

Por Alec Chizhik · 5 de julio de 2026 · 8 min de lectura

¿Qué es NIS2? La directiva (UE) 2022/2555 sobre seguridad de redes e información, conocida como NIS2, es una norma de la UE que amplía el marco de ciberseguridad para infraestructuras críticas y servicios esenciales en la Unión Europea. Obliga a las organizaciones afectadas a aplicar gestión de riesgos, notificar incidentes de seguridad y asumir responsabilidad personal de la alta dirección.

Lo más importante en resumen

  • Implementación: En Alemania, NIS2 se aplica a través de la NIS2-Umsetzungsgesetz (NIS2UmsuCG), que incorpora las obligaciones en la BSI-Gesetz (BSIG).
  • Marco normativo: Las disposiciones son de aplicación inmediata en Alemania desde diciembre de 2025. No existe período de transición.
  • Responsabilidad: La dirección corporativa responde personalmente en caso de grave incumplimiento de las obligaciones. Las sanciones pueden alcanzar hasta 10 millones Euro o dos por ciento del volumen de negocios mundial.

¿Qué significa concretamente NIS2?

NIS2 desplaza notablemente el marco regulatorio de la ciberseguridad. El enfoque anterior se centraba en un grupo limitado de infraestructuras críticas. NIS2, en cambio, abarca un amplio abanico de sectores económicos esenciales. La aplicación alemana se realiza a través de la ley de aplicación de NIS2 (NIS2UmsuCG), que incorpora las obligaciones directamente en la ley BSI (BSIG).

Un rasgo central es la ausencia de período de transición. Las disposiciones aplican en Alemania desde diciembre 2025. Las entidades afectadas están plenamente obligadas a implementar los requisitos a partir de ese momento. No existe un período en el que el cumplimiento solo se recomiende.

Las obligaciones se basan en tres pilares, definidos en el art. 21 NIS2 y el § 30 BSIG. Primero, existe una obligación de registro ante la agencia alemana de seguridad de la información (BSI). Segundo, los incidentes de seguridad significativos deben notificarse al BSI de manera inmediata. Tercero, se deben implementar y documentar medidas de gestión de riesgos. Esto incluye el tratamiento de riesgos de seguridad, la gestión de crisis y la seguridad de la cadena de suministro.

Las disposiciones también se hacen cumplir mediante sanciones financieras. Para las entidades clasificadas como «especialmente importantes» se pueden imponer multas de hasta 10 millones Euro o hasta dos por ciento del volumen de negocios mundial del ejercicio anterior. Se aplica el mayor de los dos importes.

Quién está afectado

El número de organizaciones afectadas crece significativamente. En la normativa anterior en Alemania se incluían alrededor de 4.500 entidades. Con NIS2 esta cifra aumenta a aproximadamente 29.500. El motivo es la división en dos categorías: «entidades «especialmente importantes»» y «importantes». La clasificación depende del tamaño y la importancia estratégica de la organización en su sector.

50

Empleados a partir del umbral

10 Mio €

Facturación anual a partir del umbral

18

sectores regulados

Para las empresas medianas, que antes a menudo estaban fuera del estricto marco, NIS2 introduce nuevos umbrales. Una empresa queda sujeta a obligaciones si emplea al menos 50 empleados o genera una facturación anual de 10 millones de euros. Además, debe operar en uno de los 18 sectores definidos, desde energía y transporte hasta salud, agua, infraestructuras digitales y administración pública.

La distinción entre «entidades «especialmente importantes»» y «importantes» determina el nivel de supervisión y la magnitud de las sanciones. Las entidades «especialmente importantes» están sujetas a requisitos más estrictos y multas mayores. Pero también las «importantes» están plenamente obligadas a aplicar las medidas técnicas y organizativas según el artículo 21 de NIS2. No hay exención de estas obligaciones básicas para ninguno de los dos grupos mientras se alcancen los umbrales de tamaño o facturación.

Se añade una responsabilidad personal más estricta para la alta dirección. Según el § 38 BSIG, los órganos directivos, es decir, directores generales o consejeros, deben aprobar las medidas de seguridad y supervisar su aplicación. Además, deben asistir a formaciones sobre ciberseguridad. En caso de una grave infracción de la obligación, los ejecutivos pueden ser heldos personalmente responsables. Así, la seguridad informática pasa de la Abteilung de TI al nivel del consejo de administración y se convierte en un asunto de gobernanza.

Qué deben verificar ahora las empresas

Las empresas deben analizar primero su propia situación y determinar si pertenecen a las «importantes» o a las «especialmente importantes» entidades. El primer paso es comparar el número de empleados y el volumen de negocios anual con los umbrales de 50 empleados o 10 millones Euro. Si se cumplen, sigue la verificación de la pertenencia a uno de los 18 sectores regulados.

VERIFICAR AHORA

  • Comprobar el número de empleados y el volumen de negocios frente a los umbrales (50 empleados, 10 millones Euro)
  • Determinar la pertenencia a uno de los 18 sectores regulados
  • Realizar el registro en el BSI
  • Documentar los procesos de seguridad según el artículo 21 NIS2
  • Definir el procedimiento de notificación para incidentes significativos

Si se ha determinado la afectación, debe realizarse el registro en el BSI. El portal del BSI para este efecto está disponible desde enero de 2026. Una inscripción temprana es recomendable, ya que el registro constituye la base para la comunicación con las autoridades competentes. Paralelamente, se deben revisar los procesos de seguridad existentes en cumplimiento de los requisitos del artículo 21 NIS2, incluida la documentación de todas las medidas de gestión de riesgos.

Otro punto es el procedimiento de notificación para incidentes de seguridad. Las empresas deben garantizar que los incidentes significativos se detecten, evalúen y comuniquen oportunamente al BSI. Esto requiere definir rutas claras de escalamiento interno y una interfaz definida con la autoridad. Finalmente, la alta dirección debe formalizar la aprobación y el seguimiento de las medidas. Dado que existe la posibilidad de responsabilidad personal, las decisiones y la participación en la formación de la alta dirección deben documentarse cuidadosamente.

Diferenciación con conceptos relacionados

NIS2 se confunde a menudo con el Digital Operational Resilience Act (DORA). La naturaleza jurídica y el ámbito de aplicación de ambos marcos normativos, sin embargo, difieren claramente. DORA es una Verordnung, NIS2 una Richtlinie. Como Verordnung, DORA se aplica directamente en todos los Estados miembros sin reserva de transposición nacional, mientras que NIS2 se transpone a través de leyes nacionales como la NIS2UmsuCG.

La diferencia clave está en el sector. DORA se dirige exclusivamente al Finanzsektor y regula la resiliencia operativa de bancos, seguros y otros participantes del mercado financiero. NIS2 abarca, además del Finanzsektor, energía, salud, transporte, infraestructura digital y otros ámbitos.

En el sector financiero se aplica el principio de especialidad. Como DORA es la normativa más específica para el Finanzsektor, prevalece sobre NIS2. Las empresas financieras cumplen, por tanto, principalmente los requisitos de DORA. Mientras DORA no establezca una disposición, pueden seguir aplicándose NIS2-Pflichten. Para las empresas fuera del Finanzsektor, NIS2 sigue siendo el instrumento principal para garantizar la seguridad de la red y la Informationssicherheit.

Preguntas frecuentes

Cada pregunta está bloqueada. Un toque desbloquea la respuesta.

¿Existe una fase de transición para la implementación de NIS2?

No. Las directrices se aplican en Alemania desde diciembre 2025 de inmediato. No hay período de transición, las obligaciones son vinculantes a partir de este momento.

¿Cuál es la cuantía máxima de las multas para instalaciones especialmente importantes?

Hasta 10 millones de Euro o hasta dos por ciento del volumen de negocios mundial del ejercicio anterior. Se aplica el mayor de los dos importes.

¿Cuándo comienza el registro en el BSI?

El portal BSI para el registro está disponible desde enero de 2026. Las instituciones afectadas deben registrarse allí tan pronto como entren en vigor sus obligaciones.

¿Qué tamaño de empresa obliga a una empresa a ser NIS2?

A partir de 50 empleados o 10 millones Euro de facturación anual, siempre que la empresa opere en uno de los 18 sectores regulados. Para servicios críticos específicos, también pueden ser incluidos establecimientos más pequeños.

¿En qué se diferencia NIS2 de DORA?

DORA es una regulación de aplicación inmediata solo para el sector financiero, mientras que NIS2 es una directiva para 18 sectores que se transpone al derecho nacional. En el ámbito financiero, DORA se impone como una norma más específica.

Selección de la redacción

RecomendadoCinco partidas que necesitan presupuesto antes del SIEMRecomendadoLo que la dirección debe documentar según NIS2

Más de la red MBF Media

Digital ChiefsLa inteligencia artificial escribe el código. ¿Quién responde por ello?

Lectura adicional

Una revista de Evernine Media GmbH