{"id":20924,"date":"2026-06-30T11:00:00","date_gmt":"2026-06-30T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20924"},"modified":"2026-07-09T16:22:42","modified_gmt":"2026-07-09T16:22:42","slug":"lo-que-la-gestion-empresarial-debe-documentar-bajo-nis2","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/06\/30\/lo-que-la-gestion-empresarial-debe-documentar-bajo-nis2\/","title":{"rendered":"Lo que la direcci\u00f3n debe documentar seg\u00fan NIS2"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 min de lectura<\/p>\n<p><strong>Un escenario de una auditor\u00eda del BSI: La direcci\u00f3n ha hecho muchas cosas correctamente. Ha aprobado presupuesto, ha nombrado a un CISO, ha priorizado medidas y ha seguido el progreso. Solo que nada de ello consta por escrito. Cuando el auditor pregunta c\u00f3mo la direcci\u00f3n cumple con su obligaci\u00f3n de supervisi\u00f3n, solo hay promesas verbales y ninguna acta. El trabajo se realiz\u00f3, pero falta la prueba. Es precisamente aqu\u00ed donde se decide si una buena organizaci\u00f3n de seguridad tambi\u00e9n supera la auditor\u00eda como tal. No hace falta una resoluci\u00f3n formal para ello, pero s\u00ed un rastro de control trazable.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li><strong style=\"color:#69d8ed;\">No se prescribe una resoluci\u00f3n formal:<\/strong> El art\u00edculo 38 de la BSIG exige implementar las medidas y supervisar su implementaci\u00f3n. El t\u00e9rmino \u00abaprobar\u00bb de la directiva NIS2 no aparece en la ley alemana.<\/li>\n<li><strong style=\"color:#69d8ed;\">La documentaci\u00f3n es obligatoria de forma expresa:<\/strong> El art\u00edculo 30, apartado 1, frase 3 exige documentar el cumplimiento de las medidas. Una infracci\u00f3n se sanciona con multa conforme al art\u00edculo 65.<\/li>\n<li><strong style=\"color:#69d8ed;\">Seis elementos deben constar en el acta:<\/strong> desde la documentaci\u00f3n de las medidas, pasando por las evidencias de supervisi\u00f3n y las decisiones de gesti\u00f3n, hasta la evaluaci\u00f3n de la eficacia, los justificantes de formaci\u00f3n y la cadena de notificaci\u00f3n.<\/li>\n<li><strong style=\"color:#69d8ed;\">La multa afecta a la entidad, la responsabilidad a la direcci\u00f3n:<\/strong> Los marcos de hasta 10 millones de euros afectan a la empresa. La responsabilidad personal de la direcci\u00f3n se rige civilmente por el art\u00edculo 38, apartado 2.<\/li>\n<\/ul>\n<\/div>\n<p style=\"font-size:0.88em;color:#b8c5ce;margin:20px 0 32px 0;border-top:1px solid rgba(230,227,218,0.12);border-bottom:1px solid rgba(230,227,218,0.12);padding:10px 0;\"><span style=\"color:#69d8ed;font-weight:700;text-transform:uppercase;font-size:0.72em;letter-spacing:0.14em;margin-right:14px;\">Relacionado:<\/span>Cinco indicadores que el consejo de supervisi\u00f3n realmente entiende&nbsp;&nbsp;<span style=\"color:#ccc;\">\/<\/span>&nbsp;&nbsp;<a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/23\/cuales-derechos-de-decision-del-ciso-deben-estar-regulados-por-escrito\/\" style=\"color:#333;text-decoration:underline;\">Qu\u00e9 derechos de decisi\u00f3n del CISO deben estar regulados por escrito<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">\u00bfQu\u00e9 debe documentar la direcci\u00f3n seg\u00fan NIS2?<\/h2>\n<p><strong>\u00bfQu\u00e9 exige la BSIG en materia de documentaci\u00f3n a la direcci\u00f3n?<\/strong> La BSIG 2025 obliga a la entidad a documentar el cumplimiento de sus medidas de gesti\u00f3n de riesgos. La direcci\u00f3n debe supervisar su implementaci\u00f3n. De ambas se deriva la pr\u00e1ctica de registrar las decisiones de seguridad adoptadas, su supervisi\u00f3n y la participaci\u00f3n en las formaciones de forma que sean verificables en una auditor\u00eda del BSI o en una comprobaci\u00f3n de responsabilidad.<\/p>\n<p>El error m\u00e1s frecuente consiste en pensar que la ley exige una resoluci\u00f3n formal de la direcci\u00f3n sobre las medidas de seguridad. Esa es la formulaci\u00f3n europea, no la alemana. Quien construye su gobernanza sobre este malentendido, documenta fuera de la ley. La obligaci\u00f3n real est\u00e1 definida de manera m\u00e1s estricta y resulta m\u00e1s manejable en la pr\u00e1ctica si se conoce el texto literal.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Implementar y supervisar, no aprobar<\/h2>\n<p>El texto de la ley merece la pena. El art\u00edculo 38, apartado 1, de la BSIG obliga a los \u00f3rganos de direcci\u00f3n de las entidades particularmente importantes e importantes a implementar las medidas de gesti\u00f3n de riesgos exigidas conforme al art\u00edculo 30 y a supervisar su implementaci\u00f3n. En \u00e9l no se menciona aprobaci\u00f3n ni resoluci\u00f3n alguna.<\/p>\n<p>La confusi\u00f3n proviene de la directiva NIS2 superior. Su art\u00edculo 20 exige que los \u00f3rganos de direcci\u00f3n aprueben las medidas, supervisen su implementaci\u00f3n y puedan ser considerados responsables de las infracciones. El legislador alem\u00e1n sustituy\u00f3 en la transposici\u00f3n el t\u00e9rmino \u00abaprobar\u00bb por \u00abimplementar\u00bb, mantuvo \u00absupervisar\u00bb y ancl\u00f3 la responsabilidad de la direcci\u00f3n en el art\u00edculo 38, apartado 2. Para la pr\u00e1ctica significa: Del BSIG no se puede derivar una obligaci\u00f3n legal de resoluci\u00f3n formal. Esto no exime a la direcci\u00f3n, porque supervisar sin un rastro documentado es dif\u00edcil de acreditar en la auditor\u00eda.<\/p>\n<p>Aqu\u00ed comienza la verdadera obligaci\u00f3n de documentaci\u00f3n. El art\u00edculo 30, apartado 1, frase 3, de la BSIG exige expresamente que la entidad documente el cumplimiento de la obligaci\u00f3n de adoptar las medidas. Esta obligaci\u00f3n recae sobre la entidad y es directamente sancionable con multa. El art\u00edculo 65 menciona la documentaci\u00f3n inexistente, incorrecta o incompleta como un supuesto propio de infracci\u00f3n administrativa. Junto a ello est\u00e1 la obligaci\u00f3n de la direcci\u00f3n del art\u00edculo 38, apartado 1, de supervisar de forma demostrable la implementaci\u00f3n. Esta no constituye por s\u00ed misma un supuesto sancionable con multa, pero exige pr\u00e1cticamente el mismo rastro documentado. Ambas normas juntas son el ancla legal para cada lista de verificaci\u00f3n de actas.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Seis elementos que deben constar en el acta<\/h2>\n<p>El siguiente resumen traduce los anclajes legales en documentos concretos. La ley no prescribe ning\u00fan formato. Lo decisivo son por tanto rastros trazables en los lugares correctos, verificables y mantenidos actualizados.<\/p>\n<div style=\"overflow-x:auto;-webkit-overflow-scrolling:touch;margin:16px 0 32px 0;\">\n<table style=\"width:100%;min-width:660px;border-collapse:collapse;margin:0;font-size:0.95em;\">\n<thead>\n<tr style=\"border-bottom:2px solid #69d8ed;\">\n<th style=\"text-align:left;padding:10px 12px;\">Objeto de la documentaci\u00f3n<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Qu\u00e9 se registra<\/th>\n<th style=\"text-align:left;padding:10px 12px;\">Fundamento jur\u00eddico<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Documentaci\u00f3n de las medidas<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Todas las medidas conforme al art\u00edculo 30, incluida la ponderaci\u00f3n de proporcionalidad seg\u00fan tama\u00f1o, riesgo y costes<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Art\u00edculo 30, ap. 1, frase 3 (\u00fanica obligaci\u00f3n de documentaci\u00f3n directamente sancionable con multa)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Evidencias de supervisi\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Informes de estado peri\u00f3dicos a la direcci\u00f3n, deficiencias pendientes, progreso, riesgo cibern\u00e9tico como punto del orden del d\u00eda<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Art\u00edculo 38, ap. 1 (supervisar la implementaci\u00f3n)<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Rastro de control de la direcci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Objetivos, presupuesto, funciones, riesgos residuales aceptados, priorizaci\u00f3n de los paquetes de medidas, registrado como rastro de gesti\u00f3n sin obligaci\u00f3n de resoluci\u00f3n<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Art\u00edculo 38, ap. 1 y art\u00edculo 30, ap. 1, frase 1<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Evaluaci\u00f3n de la eficacia<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Conceptos y procedimientos m\u00e1s los resultados peri\u00f3dicos de auditor\u00edas, pruebas y ejercicios<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Art\u00edculo 30, ap. 2, n\u00fam. 6<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Justificantes de formaci\u00f3n<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Comprobantes de participaci\u00f3n, contenidos, fecha y miembros de la direcci\u00f3n participantes<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Art\u00edculo 38, ap. 3<\/td>\n<\/tr>\n<tr style=\"border-bottom:1px solid rgba(230,227,218,0.12);\">\n<td style=\"text-align:left;padding:10px 12px;\"><strong>Documentaci\u00f3n de notificaciones y crisis<\/strong><\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Acreditaci\u00f3n de la cadena de notificaci\u00f3n en incidentes significativos, informaci\u00f3n y control de la direcci\u00f3n en la crisis<\/td>\n<td style=\"text-align:left;padding:10px 12px;\">Art\u00edculo 32 y art\u00edculo 30, ap. 2, n\u00fams. 2 y 3<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<p>Dos de estos elementos tienen el mayor peso. La documentaci\u00f3n de las medidas conforme al art\u00edculo 30, apartado 1, frase 3 es el \u00fanico punto cuyo incumplimiento cumple directamente un supuesto sancionable con multa. Las evidencias de supervisi\u00f3n conforme al art\u00edculo 38, apartado 1 son la prueba de que la direcci\u00f3n ha dirigido ella misma y no ha delegado toda la responsabilidad hacia abajo. Precisamente esta prueba decide en caso de responsabilidad.<\/p>\n<p>Para los seis elementos rige el mismo m\u00ednimo pr\u00e1ctico: un lugar de archivo claro, una persona responsable designada, un estado de versi\u00f3n y un ritmo de actualizaci\u00f3n fijo. Sin esta gesti\u00f3n documental, incluso una colecci\u00f3n de buena calidad pierde valor en la auditor\u00eda, porque no se puede acreditar la actualidad ni la responsabilidad.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:18px;\">Qu\u00e9 quiere ver el BSI y a qui\u00e9n afecta la sanci\u00f3n<\/h2>\n<p>La ley otorga al BSI amplias facultades de supervisi\u00f3n. El art\u00edculo 61 permite, en el caso de entidades particularmente importantes, ordenar auditor\u00edas y ex\u00e1menes, solicitar evidencias y exigir la presentaci\u00f3n de registros, documentos y dem\u00e1s documentaci\u00f3n. En el caso de entidades importantes, esta supervisi\u00f3n conforme al art\u00edculo 62 solo se activa ante una sospecha fundada. Tambi\u00e9n es expresamente verificable la obligaci\u00f3n de formaci\u00f3n de la direcci\u00f3n conforme al art\u00edculo 38, apartado 3. La ley no menciona un esquema de examen fijo ni un formato de acta prescrito. Se examina el cumplimiento material de las obligaciones de los art\u00edculos 30 y 32 junto con la obligaci\u00f3n de implementaci\u00f3n y supervisi\u00f3n de la direcci\u00f3n de los apartados 1 y 3 del art\u00edculo 38.<\/p>\n<p>En las sanciones conviene una distinci\u00f3n clara que en muchas representaciones se difumina. Los marcos de multas a menudo citados del art\u00edculo 65 afectan a la entidad, no personalmente a la direcci\u00f3n. Para entidades particularmente importantes el marco es de hasta 10 millones de euros o, si el volumen de negocios total supera los 500 millones de euros, de hasta el 2 % del volumen de negocios anual mundial. Para entidades importantes son hasta 7 millones de euros o hasta el 1,4 %. Estas cantidades son marcos m\u00e1ximos para el caso individual, sujetos al principio de proporcionalidad, no importes est\u00e1ndar. Se vinculan a infracciones de las obligaciones de medidas y notificaci\u00f3n, por ejemplo contra la obligaci\u00f3n de documentaci\u00f3n del art\u00edculo 30, apartado 1, frase 3.<\/p>\n<p>La responsabilidad personal de la direcci\u00f3n sigue otra v\u00eda. El art\u00edculo 38, apartado 2, vincula una vulneraci\u00f3n culpable de la obligaci\u00f3n a una responsabilidad interna de la direcci\u00f3n frente a la propia entidad seg\u00fan las normas del derecho de sociedades. En casos graves, en entidades particularmente importantes la autoridad de supervisi\u00f3n competente puede, previa comunicaci\u00f3n del BSI conforme al art\u00edculo 61, apartado 9, ordenar la prohibici\u00f3n temporal del ejercicio de la actividad de direcci\u00f3n si una orden no se cumple pese al plazo. Para la pr\u00e1ctica significa: Quien como direcci\u00f3n documenta c\u00f3mo se ha supervisado y gestionado, hace que su propia organizaci\u00f3n sea apta para la auditor\u00eda. Las actas son el instrumento con el que se puede acreditar posteriormente la percepci\u00f3n activa de la obligaci\u00f3n, tanto en la auditor\u00eda del BSI como en una revisi\u00f3n de responsabilidad.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 cerrada. Al tocar se desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfDebe la direcci\u00f3n aprobar formalmente las medidas de NIS2?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. El art\u00edculo 38 de la BSIG exige implementar las medidas y supervisar su implementaci\u00f3n, no aprobarlas ni resolver sobre ellas. Del texto de la ley no se deriva una obligaci\u00f3n de resoluci\u00f3n formal. Las actas son un instrumento de gobernanza para la acreditaci\u00f3n, no un acto de aprobaci\u00f3n designado legalmente.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 documentaci\u00f3n es expresamente obligatoria seg\u00fan la BSIG?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">El art\u00edculo 30, apartado 1, frase 3 exige documentar el cumplimiento de las medidas de gesti\u00f3n de riesgos. Esa es la \u00fanica obligaci\u00f3n de documentaci\u00f3n expresa con un supuesto propio de multa conforme al art\u00edculo 65. De forma complementaria, la evaluaci\u00f3n de la eficacia del art\u00edculo 30, apartado 2, n\u00famero 6 y la supervisi\u00f3n del art\u00edculo 38, apartado 1 presuponen rastros escritos.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfQu\u00e9 importe tienen las multas seg\u00fan la BSIG?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Conforme al art\u00edculo 65, los marcos para entidades particularmente importantes son de hasta 10 millones de euros o hasta el 2 % del volumen de negocios anual mundial, y para entidades importantes de hasta 7 millones de euros o hasta el 1,4 %. El umbral de volumen de negocios se aplica a partir de un volumen de negocios total superior a 500 millones de euros. Las multas afectan a la entidad. La responsabilidad personal de la direcci\u00f3n se rige por la responsabilidad interna seg\u00fan el derecho de sociedades del art\u00edculo 38, apartado 2.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfDebe la direcci\u00f3n participar personalmente en las formaciones?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">El texto de la ley exige en el art\u00edculo 38, apartado 3, que la direcci\u00f3n participe regularmente en formaciones. Las palabras \u00abpersonalmente\u00bb o \u00abno delegable\u00bb no figuran ah\u00ed. La obligaci\u00f3n se dirige a los miembros de la direcci\u00f3n como personas f\u00edsicas. Para la auditor\u00eda deben poder acreditarse la participaci\u00f3n, los contenidos y la regularidad.<\/p>\n<\/details>\n<p>\n<!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/24\/ciso-a-tiempo-parcial-que-puede-estar-fuera-y-que-debe-permanecer-dentro\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/teilzeit-ciso-vciso-delegierbar-bsig-cover-hero-1-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">CISO a tiempo parcial: Qu\u00e9 puede externalizarse y qu\u00e9 debe permanecer interno<\/span><\/span><\/a><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/06\/16\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/06\/nis2-despues-del-plazo-comienza-la-supervision-del-bsi-cover-es-hero-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">NIS2 despu\u00e9s del plazo: Comienza la supervisi\u00f3n del BSI<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/es\/geopolitica-datacenters-cio-asegurar\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-geopolitik-datacenter-roadmap-lieferkett-8054517-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Geopol?tica y datacenters: lo que los CIO deben asegurar<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/acto-de-la-ue-sobre-ia-a-partir-de-agosto-de-2026-lo-que-las-pymes-deben\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-eu-ai-act-2026-kennzeichnungspflichten-m-35346140-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Reglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahora<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/06\/16\/xfs4iot-se-encuentra-con-la-nube-el-cajero-automatico-se-convierte-en-plataforma\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-xfs4iot-cloud-geldautomat-plattform-syna-61345494.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">XFS4IoT se encuentra con la nube: El cajero autom\u00e1tico se convierte en plataforma<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n<p>Fuente de la imagen: generado por IA (julio 2026)<\/p>\n","protected":false},"excerpt":{"rendered":"El BSIG no requiere una resoluci\u00f3n formal, sino una implementaci\u00f3n verificable. Seis documentos que deciden sobre la documentaci\u00f3n en la auditor\u00eda del BSI.","protected":false},"author":50,"featured_media":18205,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Obligaci\u00f3n de documentaci\u00f3n NIS2","_yoast_wpseo_title":"Lo que la gesti\u00f3n empresarial debe documentar bajo NIS2","_yoast_wpseo_metadesc":"La BSIG no requiere una resoluci\u00f3n formal, sino una implementaci\u00f3n verificable. Seis documentos que deciden sobre la documentaci\u00f3n en la auditor\u00eda del BSI.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/geschaeftsfuehrung-nis2-dokumentationspflicht-bsig-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/geschaeftsfuehrung-nis2-dokumentationspflicht-bsig-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[258],"tags":[],"class_list":["post-20924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance"],"evm_reading_time_minutes":11,"wpml_language":"es","wpml_translation_of":18204,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=20924"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20924\/revisions"}],"predecessor-version":[{"id":21120,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/20924\/revisions\/21120"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/18205"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=20924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=20924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=20924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}