Cambio en el órgano de dirección — transferir la responsabilidad NIS 2 de forma segura
Cuando el CEO o Geschäftsführer se marcha, el deber de formación del §38 BSIG no se va con él. Tres cosas tienen que ocurrir en el traspaso, o la responsabilidad personal se transfiere de la peor manera.
Por qué el traspaso es el momento NIS 2 más pasado por alto
La mayoría de las entidades se preparan para el día en que NIS 2 les aplica por primera vez. Pocas se preparan para el día en que la persona dueña de la implementación la traspasa. Ese momento es donde la responsabilidad personal del §38 BSIG se transfiere silenciosamente, donde los datos de registro del BSI quedan obsoletos y donde las aceptaciones de riesgo firmadas quedan huérfanas.
En virtud del Art. 20 NIS 2 el órgano de dirección 'puede ser considerado responsable' de las infracciones. La responsabilidad recae sobre la función, no sobre la persona. El Geschäftsführer entrante hereda todo lo que aprobó el saliente, incluidos riesgos sobre los que nunca ha sido informado. El protocolo de traspaso existe para que esa información quede registrada.
No hay una regulación de traspaso NIS 2 aparte. Los deberes vienen de tres sitios: la regla de actualización de 2 semanas del §33(5) BSIG para los datos de registro, el deber de formación del §38 BSIG para el nuevo miembro del órgano de dirección, y el deber general de aprobación y supervisión del Art. 20 NIS 2 que se traslada en el momento en que la nueva persona firma el nombramiento.
Art. 20(1) NIS 2 + §38 BSIG (formación)
Member States shall ensure that the management bodies of essential and important entities can be held liable for infringements by the entities of Article 21. The members of the management bodies shall be required to follow training in order to gain sufficient knowledge.
El deber de responsabilidad y de formación se activa el día en que se registra al nuevo miembro del órgano de dirección, no en una fecha posterior conveniente. No hay periodo de gracia en la directiva.
§33(5) BSIG + Art. 27(2) NIS 2 (actualización del registro)
Wesentliche und wichtige Einrichtungen teilen dem Bundesamt Änderungen der für die Registrierung erforderlichen Angaben innerhalb von zwei Wochen mit.
Plazo de dos semanas. La persona de contacto registrada ante el BSI es el canal por el que llegan las solicitudes de incidentes, los avisos y las notificaciones de supervisión. Una persona de contacto obsoleta significa que las consultas del BSI fallan silenciosamente.
Art. 20(1) NIS 2 (continuidad de la aprobación)
The management bodies of essential and important entities shall approve the cybersecurity risk-management measures taken by those entities and shall oversee its implementation.
'Aprobar' es un deber continuo. Las aprobaciones firmadas por el CEO saliente vinculan a la entidad, pero el CEO entrante se convierte en responsable de su supervisión desde el primer día. No puede desentenderse de aquello sobre lo que no ha sido informado, así que la información tiene que producirse en el traspaso.
Registros de formación del §38 BSIG (saliente)
Prueba de finalización para el miembro saliente del órgano de dirección. La propia formación del §38 del nuevo miembro tiene que organizarse por separado y sin demora.
Aceptaciones de riesgo firmadas
Cada entrada del registro de riesgos que el CEO saliente aceptó (en lugar de mitigar) es ahora una obligación que hereda el CEO entrante. Revísalas en el traspaso, no las descubras en la auditoría.
Mapa de dependencia de proveedores
Qué proveedores conllevan riesgo NIS 2 en virtud del Art. 21(2)(d). El CEO entrante necesita saber a quién no puede rescindir rápidamente, quién ostenta la responsabilidad contractual, quién tiene la revisión pendiente.
Titularidad de la respuesta a incidentes
Quién tiene acceso al portal, quién aprueba las notificaciones, quién es el responsable de notificación designado. Nombres, datos de contacto, cadena de escalada. Este es el documento que se saca a las 03:00 durante un incidente.
Paso 1 — Actualizar el registro del BSI
A través del portal del BSI en virtud del §33(5) BSIG: nueva persona de contacto, función, datos de contacto. Dos semanas desde la fecha de nombramiento. Usa el certificado de organización ELSTER existente, que no cambia cuando cambia el órgano de dirección.
Paso 2 — Programar la formación del §38 BSIG
El nuevo miembro está obligado a recibir formación en gestión de riesgos de ciberseguridad. No hay plazo fijo en el BSIG, pero sí 'unverzüglich' (sin demora indebida) en virtud del §38(2). Prográmala dentro del primer trimestre del nuevo cargo.
Paso 3 — Reconfirmar o sustituir las aprobaciones salientes
Repasa con el nuevo miembro el registro de riesgos y el mapa de proveedores. Su propia firma en lo que quiera conservar, una decisión aparte sobre lo que quiera reconsiderar. Documenta la fecha de la sesión informativa.
El contacto del BSI nunca se actualiza
El reloj de dos semanas del §33(5) corre en segundo plano de una transición ajetreada. Una actualización omitida significa que el contacto de incidentes del BSI es una persona que ya no trabaja en la entidad. Exposición a multa en virtud del §65 BSIG más, en el peor de los casos, un fallo de notificación de incidentes.
Aceptaciones de riesgo heredadas a ciegas
El CEO entrante firma el nombramiento y, por ministerio de la ley, se convierte en responsable de los riesgos aceptados por el predecesor. Sin una sesión informativa no puede defender la posición en una auditoría. La sesión informativa del traspaso es el puente.
Formación del §38 programada 'para más adelante'
No hay un plazo específico, así que se va dejando. Pasan los años. En la siguiente supervisión el BSI pide la prueba y no hay ninguna. Prográmala dentro del primer trimestre, no 'cuando haya tiempo'.
Tres modos de fallo se acumulan. Primero, el registro del BSI está obsoleto, de modo que la notificación de incidentes no llega a nadie. Segundo, el CEO entrante no tiene información sobre los riesgos que ha heredado, de modo que la defensa en auditoría se desmorona. Tercero, falta la formación del §38, lo que es una infracción independiente en virtud del §38(3) BSIG.
Cada uno de los tres desencadena la misma vía de ejecución: notificación de supervisión en virtud del Art. 32 NIS 2, posible multa en virtud del §65 BSIG, exposición personal del miembro del órgano de dirección que firmó sin comprobar. Nada de ello es reversible mediante una sesión informativa retroactiva.
- Directiva (UE) 2022/2555 (NIS 2), Art. 20, Art. 27, Art. 32, www.eur-lex.europa.eu
- Ley sobre la Oficina Federal de Seguridad de la Información (BSIG), §33(5), §38, §65, www.gesetze-im-internet.de
- BSI handreichung zu §38 BSIG (abril de 2026, versión 1.0), www.bsi.bund.de
- Ley de transposición de NIS-2 y de refuerzo de la ciberseguridad (NIS2UmsuCG)
Esta página proporciona orientación estructurada basada en fuentes de acceso público (Directiva NIS 2, BSIG, BSI Handreichung §38). No constituye asesoramiento jurídico en el sentido del §2 RDG. La exposición a la responsabilidad personal de los miembros del órgano de dirección es una cuestión jurídica para un abogado colegiado. A fecha de 2026-06-04.