Mittelstand / PYME

Implementación de NIS2 para empresas del mid-market

Una hoja de ruta práctica de implementación de 12 semanas para empresas alemanas de 50 a 250 empleados, sin necesidad de un equipo de seguridad.

Simon OrzelSimon Orzel·Laufend geprüft

Estás afectado. ¿Y ahora qué?

Se estima que 29.500 empresas en Alemania entran en el ámbito de NIS2. Si tienes más de 50 empleados y operas en un sector cubierto (gestión de residuos, producción de alimentos, fabricación, energía, transporte, salud, infraestructura digital) eres casi con toda seguridad una de ellas. El BSIG entró en vigor el 6 de diciembre de 2025, y el plazo de registro ante el BSI fue el 6 de marzo de 2026.

Esto es lo que la mayoría de los consultores no te dirán: para una empresa del mid-market con TI básica, el cumplimiento de NIS2 es manejable. No es un proyecto de 6 meses y seis cifras. La mayoría de los 49 requisitos del BSIG son documentación que se escribe una sola vez: políticas, evaluaciones de riesgos, procedimientos. Solo un puñado requieren procesos operativos continuos. La ley exige medidas 'apropiadas' proporcionales a tu riesgo, no la infraestructura de seguridad de una Fortune 500.

Esta guía te da el plan práctico: una hoja de ruta de 12 semanas, las funciones que necesitas (todas a tiempo parcial, todas con personal existente), los errores comunes que hacen tropezar a empresas de tu tamaño, y el orden de prioridad para abordar las 10 medidas obligatorias del §30 BSIG. Sin teoría, sin alarmismo, solo los pasos.

Para quién es esta guía
Esta guía está escrita específicamente para empresas alemanas del mid-market que se enfrentan a NIS2 por primera vez.
  • Empresas de 50 a 250 empleados en sectores NIS2
  • Personal de TI limitado, quizá de 2 a 5 personas, no un equipo de seguridad
  • Sin departamento de cumplimiento dedicado ni experiencia en GRC
  • Primera vez que tratan con NIS2, el BSIG o el registro ante el BSI

Hoja de ruta de implementación

Fundamentos
Semanas 1-2
Establece la base organizativa: regístrate ante el BSI, asigna responsabilidades e informa a la dirección sobre su responsabilidad personal en virtud del §38 BSIG. Esta fase consiste en implicar a las personas adecuadas y definir el alcance.
  • Registro ante el BSI a través de Mein Unternehmenskonto + portal del BSI
  • Designar al responsable de cumplimiento (función a tiempo parcial, no una nueva contratación)
  • Sesión informativa a la dirección sobre los deberes del §38 BSIG y la responsabilidad personal
  • Configurar la plataforma de cumplimiento e invitar a los miembros del equipo
  • Alcance inicial: identificar qué categoría de entidad aplica (esencial o importante)
Evaluación de riesgos
Semanas 3-4
Elabora tu inventario de activos y realiza la evaluación de riesgos inicial. Es la base sobre la que se construye todo lo demás, medida 1 del §30(1) BSIG. Utiliza la metodología de análisis de riesgos BSI-200-3: identifica activos, identifica amenazas, evalúa probabilidad e impacto, decide el tratamiento.
  • Elaborar el inventario de activos, agrupando activos idénticos (p. ej., '45 portátiles' = 1 entrada)
  • Identificar y categorizar a los proveedores con acceso a tus sistemas
  • Realizar la evaluación de riesgos inicial: probabilidad × impacto para cada activo
  • Documentar las decisiones de tratamiento del riesgo: aceptar, mitigar, transferir o evitar
  • Asignar los riesgos a las medidas del BSIG: qué controles abordan qué riesgos
Controles y documentación
Semanas 5-8
Documenta tus controles de seguridad y procedimientos. Es la fase de mayor volumen, pero la mayoría de los requisitos son políticas que se escriben una sola vez. Céntrate en documentar lo que ya haces (la mayoría de las empresas tienen procesos informales) y en cubrir las lagunas reales.
  • Redactar o adoptar políticas de seguridad (seguridad de la información, control de acceso, respuesta a incidentes)
  • Documentar el uso de criptografía y el enfoque de gestión de claves
  • Establecer el proceso de respuesta a incidentes con la cascada de 24h/72h/1 mes
  • Revisar el control de acceso: mínimo privilegio, procedimientos de alta/baja
  • Documentar los procedimientos de continuidad de negocio y copias de seguridad
  • Implementar o documentar la MFA para los sistemas críticos
Evidencia y preparación para auditoría
Semanas 9-12
Cierra el círculo: aprobaciones de la dirección, finalización de la formación, recopilación de evidencia y una primera comprobación de eficacia. Esta fase transforma tus medidas documentadas en evidencia de cumplimiento auditable.
  • La dirección aprueba formalmente todas las medidas de ciberseguridad (deber del §38)
  • Completar la formación obligatoria en ciberseguridad de la dirección
  • Subir documentos de evidencia: capturas de pantalla, configuraciones, aprobaciones de políticas
  • Realizar la primera evaluación de eficacia: ¿funcionan realmente los controles?
  • Exportar el informe de cumplimiento para la revisión interna
Funciones que necesitas
No necesitas contratar a nadie. Son responsabilidades a tiempo parcial asignadas al personal existente.

Responsable de cumplimiento (4-8 horas/semana)

Impulsa el proceso, cumplimenta los formularios de requisitos, se coordina con TI y la dirección. Suele ser el responsable de TI, el responsable de calidad o el responsable de operaciones.

Contacto de TI (2-4 horas/semana)

Aporta la información técnica: detalles de los activos, arquitectura de red, estado del cifrado, controles de acceso. Tu administrador o responsable de TI.

Patrocinador de la dirección (1-2 horas/semana)

Revisa y aprueba las medidas, completa la formación, demuestra la supervisión. Exigido por el §38 BSIG, no puede delegarse.

Auditor externo (opcional)

Para los operadores KRITIS: obligatorio cada 3 años. Para las entidades esenciales e importantes: opcional pero recomendado para el primer ciclo de cumplimiento, con el fin de validar tu trabajo.

Errores comunes
Lo que vemos que las empresas hacen mal, y cómo evitarlo.

  • Esperar 'la orientación definitiva'

    La ley está en vigor desde diciembre de 2025. El CIR define las medidas técnicas. No va a llegar ninguna orientación adicional que cambie lo que tienes que hacer. Empieza ya.

  • Sobreingeniería de la solución

    Una empresa de gestión de residuos de 100 personas no necesita un SOC ni un SIEM. Ajusta tus controles a tu perfil de riesgo real. El BSIG exige medidas 'apropiadas', no medidas máximas.

  • Tratarlo como un proyecto de TI

    El §38 BSIG convierte esto en una responsabilidad de la dirección. Si el director gerente no está implicado, ya estás incumpliendo. Programa la sesión informativa a la dirección en la semana 1.

  • Ignorar la seguridad de la cadena de suministro

    NIS2 exige explícitamente evaluar la ciberseguridad de tus proveedores. Esto coge desprevenidas a muchas empresas. Empieza pronto a documentar las relaciones con los proveedores.

  • Cumplimiento sobre el papel sin medidas reales

    Escribir políticas que nadie lee no cuenta. El BSI puede solicitar evidencia de que las medidas están realmente implementadas y son eficaces. Construye procesos reales, no solo documentos.

Empieza hoy tu implementación
La plataforma te guía a través de los 49 requisitos del BSIG en el orden en que deben implementarse, con formularios estructurados, subidas de evidencia y flujos de aprobación de la dirección, exactamente lo que una empresa del mid-market necesita para cumplir sin contratar a un consultor.
Inicia tu proceso de cumplimiento NIS2