La nueva obligación de seguridad de TI para las empresas alemanas
Si has buscado 'IT Sicherheitspflicht', lo que buscas es NIS2. Desde diciembre de 2025, el BSIG revisado convierte la ciberseguridad en una obligación legal para unas 29.500 empresas alemanas.
NIS2 es la obligación de seguridad de TI de la que has oído hablar
No existe una 'ley autónoma de obligación de seguridad de TI' en Alemania. Lo que existe es la Directiva NIS2 (UE 2022/2555), transpuesta a la legislación alemana a través del NIS2UmsuCG, que reformó por completo la Ley federal de ciberseguridad (BSIG). Esta es la ley que crea obligaciones vinculantes de seguridad de TI para las empresas de 18 sectores críticos.
El BSIG entró en vigor el 6 de diciembre de 2025. Exige a las empresas afectadas implementar 10 medidas específicas de gestión de riesgos de ciberseguridad (Sección 30 BSIG), registrarse ante el BSI, notificar los incidentes significativos dentro de plazos estrictos y asegurar sus cadenas de suministro. La dirección es personalmente responsable en virtud de la Sección 38 BSIG de garantizar el cumplimiento.
Si tu empresa tiene 50 o más empleados o supera los 10 millones de euros de facturación anual y opera en uno de los 18 sectores NIS2, estas obligaciones te aplican ahora mismo. El plazo de registro fue el 6 de marzo de 2026. La implementación de todas las medidas es obligatoria a más tardar el 17 de octubre de 2026.
Sector
Tu empresa opera en uno de los 18 sectores: energía, transporte, banca, salud, agua, infraestructura digital, servicios TIC, administración pública, espacio, servicios postales, gestión de residuos, productos químicos, producción de alimentos, fabricación o proveedores digitales.
Número de empleados
Tienes 50 o más empleados. Esto sigue la definición de PYME de la UE e incluye a todos los empleados del grupo, no solo a la entidad alemana. Los empleados a tiempo parcial cuentan proporcionalmente.
Facturación anual
Tu facturación anual supera los 10 millones de euros Y tu balance total supera los 10 millones de euros. Si superas o bien el umbral de empleados O BIEN el umbral financiero, estás dentro del ámbito.
Servicios críticos
Algunos tipos de entidad están dentro del ámbito con independencia del tamaño: proveedores de DNS, registros de nombres de dominio de primer nivel (TLD), prestadores cualificados de servicios de confianza, operadores KRITIS y proveedores únicos de servicios esenciales en una región.
Registrarse ante el BSI
Completa tu registro a través del portal del BSI (muk.bsi.bund.de). Es una obligación legal en virtud de la Sección 33 BSIG con su propia sanción de hasta 500.000 euros. El portal está activo desde enero de 2026, y el plazo fue el 6 de marzo de 2026. Si lo incumpliste, regístrate de inmediato.
Realizar una evaluación de riesgos
Identifica tus activos de TI críticos, evalúa los riesgos de cada uno y documenta las decisiones de tratamiento. La Sección 30 BSIG exige medidas de gestión de riesgos proporcionadas a la exposición al riesgo. Necesitas un inventario de activos y una evaluación de riesgos estructurada antes de poder implementar las medidas.
Implementar 10 medidas de seguridad
La Sección 30 BSIG define 10 ámbitos obligatorios: políticas de gestión de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, seguridad de redes, gestión de vulnerabilidades, higiene de ciberseguridad, criptografía, control de acceso y autenticación multifactor. Cada ámbito requiere políticas documentadas y evidencia de implementación.
Configurar la notificación de incidentes
Los incidentes de ciberseguridad significativos deben notificarse al BSI dentro de las 24 horas (alerta temprana inicial), 72 horas (notificación completa) y 1 mes (informe final). Define qué significa un incidente significativo para tu empresa y establece una cadena de notificación clara antes de que ocurra algo.
Mantener el cumplimiento continuo
NIS2 no es un proyecto puntual. Necesitas revisiones anuales de la evaluación de riesgos, formación periódica para la dirección (la Sección 38 BSIG exige participación personal), reevaluaciones de proveedores y monitorización continua de incidentes. La plataforma realiza el seguimiento de todos los plazos y los escala automáticamente.
El marco sancionador está inspirado en el GDPR. Las entidades esenciales se enfrentan a multas de hasta 10 millones de euros o el 2% de la facturación anual mundial. Las entidades importantes se enfrentan a hasta 7 millones de euros o el 1,4%. Las infracciones de registro por sí solas conllevan multas de hasta 500.000 euros. El BSI tiene poderes de ejecución y puede ordenar el cumplimiento o restringir las operaciones.
Más allá de las multas, la Sección 38 BSIG crea responsabilidad personal para la dirección. Los directivos deben aprobar las medidas de ciberseguridad, supervisar su implementación y completar la formación. Responden ante su propia empresa por las infracciones culpables. Esta responsabilidad no puede excluirse por contrato. Alegar que no se entendía de ciberseguridad no es explícitamente una defensa.
Preguntas frecuentes
¿Es NIS2 lo mismo que la obligación de seguridad de TI de la que oigo hablar?
Sí. No existe una ley separada de 'IT Sicherheitspflicht'. NIS2 es la directiva de la UE que se transpuso a la legislación alemana como el BSIG revisado a través del NIS2UmsuCG. Cuando se habla de nuevas obligaciones de seguridad de TI para las empresas alemanas, se refieren a esta ley. Está en vigor desde el 6 de diciembre de 2025.
Somos una empresa de fabricación de 60 personas. ¿Esto realmente nos aplica?
Muy probablemente sí. La fabricación figura en el Anexo II de NIS2 (que abarca la fabricación de productos sanitarios, electrónica, equipos eléctricos, maquinaria, vehículos de motor y otros equipos de transporte). Con 60 empleados, superas el umbral de 50 empleados. Te clasificarías como 'entidad importante' en virtud de la Sección 28(2) BSIG, y te aplican todas las obligaciones de NIS2.
El plazo de registro ya ha pasado. ¿Qué debemos hacer?
Registraos de inmediato. El portal del BSI en muk.bsi.bund.de sigue aceptando registros. Un registro tardío es mejor que ningún registro. La multa por no registrarse es de hasta 500.000 euros, pero el BSI valora la buena fe. Una empresa que se registra unas semanas tarde y puede demostrar que estaba trabajando activamente en el cumplimiento está en una posición muchísimo mejor que una que no hizo nada.
¿Puede nuestro proveedor externo de TI encargarse del cumplimiento de NIS2 por nosotros?
Pueden ayudar a implementar las medidas técnicas, pero la obligación legal sigue siendo de tu empresa. La Sección 30 BSIG establece explícitamente que puedes externalizar las operaciones pero no la responsabilidad. Tu dirección sigue siendo personalmente responsable en virtud de la Sección 38 BSIG. Tienes que documentar lo que hace tu proveedor de TI, verificar sus medidas de seguridad e incluirlo en tu proceso de gestión de proveedores.
¿Cuánto cuesta el cumplimiento de NIS2 para una empresa del mid-market?
Para una empresa de 50 a 250 empleados, espera gastar entre 20.000 y 80.000 euros el primer año, dependiendo de tu madurez de seguridad actual. Esto incluye la evaluación de riesgos, la documentación de políticas, las mejoras técnicas y la formación. Las empresas que ya tienen implantadas medidas básicas de seguridad de TI están en el extremo inferior. El coste anual continuo disminuye significativamente después del primer año porque la mayor parte del trabajo es de configuración, no de mantenimiento.