Sanciones NIS2: lo que realmente arriesga
Cuatro tramos de sanción, ejemplos concretos de cálculo para tres tamaños de empresa, escenarios realistas de aplicación y la responsabilidad personal de la dirección que el seguro D&O probablemente no cubra.
El marco sancionador es real, pero proporcionado
Las sanciones de NIS2 están modeladas sobre la estructura sancionadora del GDPR, diseñadas para ser lo bastante elevadas como para que las empresas no puedan tratar las multas como un coste más de hacer negocios. Los importes máximos (hasta 10 M EUR o el 2 % del volumen de negocios mundial) acaparan titulares, pero la realidad para la mayoría de las empresas del mercado medio es más matizada. Las multas se valoran en función de la gravedad de la infracción, el tamaño de la empresa, si esta actuó de buena fe y qué medidas correctoras se adoptaron.
Dicho esto, el marco sancionador no es teórico. El BSI tiene potestades de ejecución, las multas están codificadas en el §65 BSIG y la responsabilidad personal de la dirección conforme al §38 es un mecanismo jurídico independiente. Ignorar NIS2 no es una estrategia viable de gestión de riesgos. Comprender la estructura sancionadora real le ayuda a tomar decisiones proporcionadas sobre la inversión en cumplimiento, ni cundir el pánico ni desestimar los riesgos.
Hasta 10.000.000 EUR o el 2 % del volumen de negocios anual mundial
Entidades esenciales - infracciones de las medidas de ciberseguridad
Se aplica a las entidades esenciales (sectores del Anexo I) que no implementen medidas de ciberseguridad adecuadas conforme al §30 BSIG, no notifiquen incidentes significativos conforme al §32, o de otro modo infrinjan obligaciones sustantivas de NIS2. La multa es la MAYOR de entre 10 M EUR o el 2 % del volumen de negocios mundial del ejercicio anterior.
Hasta 7.000.000 EUR o el 1,4 % del volumen de negocios anual mundial
Entidades importantes - infracciones de las medidas de ciberseguridad
Se aplica a las wichtige Einrichtungen (entidades importantes, sectores del Anexo II) por las mismas infracciones sustantivas. El techo inferior refleja el principio de proporcionalidad de la Directiva NIS2: las entidades importantes operan en sectores de menor criticidad. La multa es la MAYOR de entre 7 M EUR o el 1,4 % del volumen de negocios mundial del ejercicio anterior.
Hasta 500.000 EUR
Infracciones de registro
Sanción específica por no registrarse ante el BSI conforme al §33 BSIG o por facilitar información de registro incorrecta. Se trata de una infracción autónoma: puede ser multado por no registrarse incluso si sus medidas de ciberseguridad reales son adecuadas. La sanción por registro se aplica tanto a entidades esenciales como importantes.
Hasta 500.000 EUR
Infracciones de notificación
Sanción específica por no notificar incidentes significativos dentro de los plazos exigidos (alerta temprana de 24 h, notificación de 72 h, informe final de 1 mes) o por no facilitar la información requerida durante las investigaciones del BSI. Cada fallo de notificación es una posible infracción independiente.
| Tipo de empresa | Volumen de negocios anual | Multa máx. (esencial) | Multa máx. (importante) |
|---|---|---|---|
| Mercado medio pequeño | 15.000.000 EUR | 10.000.000 EUR (se aplica el techo fijo: el 2 % serían solo 300.000 EUR) | 7.000.000 EUR (se aplica el techo fijo: el 1,4 % serían solo 210.000 EUR) |
| Mercado medio mediano | 50.000.000 EUR | 10.000.000 EUR (se aplica el techo fijo: el 2 % serían solo 1.000.000 EUR) | 7.000.000 EUR (se aplica el techo fijo: el 1,4 % serían solo 700.000 EUR) |
| Gran empresa | 200.000.000 EUR | 10.000.000 EUR (se aplica el techo fijo: el 2 % serían 4.000.000 EUR) | 7.000.000 EUR (se aplica el techo fijo: el 1,4 % serían 2.800.000 EUR) |
Cuatro escenarios realistas de aplicación
Qué desencadena realmente la actuación del BSI y qué aspecto tienen las consecuencias en la práctica.
Registro ante el BSI tardío o ausente
Su empresa cumple los criterios del ámbito de NIS2 pero no se ha registrado ante el BSI conforme al §33 BSIG. El BSI le identifica a través de bases de datos sectoriales, listas de miembros de asociaciones del sector o registros mercantiles.
El BSI dicta una orden de cumplimiento que exige el registro dentro de un plazo determinado. Si cumple, el asunto puede terminar ahí, sobre todo si puede demostrar que realmente lo desconocía. Si ignora la orden, pueden imponerse multas de hasta 500.000 EUR. La omisión del registro también genera documentación de que incumplía desde el principio, lo que debilita su posición ante cualquier otra infracción de NIS2.
No notificar un incidente significativo
Su empresa sufre un ataque de ransomware que interrumpe los servicios durante 48 horas. Gestiona la respuesta técnica pero no lo notifica al BSI. El incidente se hace público a través de la cobertura mediática o de reclamaciones de clientes.
No presentar la alerta temprana inicial dentro de las 24 horas es una infracción distinta de no presentar la notificación de las 72 horas y el informe final: cada una es un motivo de sanción independiente. El BSI investiga y constata que no se presentó ningún informe. Más allá de la multa (hasta 500.000 EUR por cada fallo de notificación), la falta de notificación plantea dudas sobre toda su postura de cumplimiento y puede desencadenar una auditoría más amplia.
Ningún proceso de gestión de riesgos implantado
Durante una auditoría del BSI (para entidades esenciales) o tras un incidente (para entidades importantes), el BSI constata que su empresa no tiene una evaluación de riesgos documentada, ni un inventario de activos, ni medidas de ciberseguridad más allá de la operación básica de TI.
Esta es la infracción sustantiva más grave: una ausencia total de cumplimiento del §30 BSIG. Se aplican las sanciones máximas (10 M EUR/2 % para esenciales, 7 M EUR/1,4 % para importantes). En la práctica, el BSI probablemente dictaría primero instrucciones vinculantes e impondría sanciones por el incumplimiento de esas instrucciones. Pero la falta de cualquier proceso de gestión de riesgos no deja margen para la defensa de 'lo intentamos de buena fe'.
Brechas en la seguridad de la cadena de suministro
Su empresa externaliza la operación de TI a un proveedor de servicios gestionados. El proveedor sufre una violación de datos que expone los datos de sus clientes. El BSI investiga y constata que no hay evaluación de seguridad del proveedor, ni requisitos contractuales de ciberseguridad, ni seguimiento de la postura de seguridad del proveedor.
Usted es responsable de la seguridad de su cadena de suministro conforme al §30(2)(4) BSIG, con independencia de dónde se produjera la violación. La ausencia de diligencia debida sobre el proveedor significa que no implementó las medidas exigidas. Esto puede desencadenar sanciones en el marco de las medidas de ciberseguridad (hasta 10 M EUR/7 M EUR según el tipo de entidad), además de que el propio incidente activa obligaciones de notificación. Si tampoco notifica, las sanciones se acumulan.
El §38 BSIG crea un mecanismo de responsabilidad personal para la dirección de la empresa que es independiente de las multas administrativas contra la empresa. La Geschäftsführung debe aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y completar la formación en ciberseguridad. Si se desatienden estos deberes y la empresa sufre daños como consecuencia de ello, la dirección puede responder personalmente de esos daños. Se trata de una responsabilidad civil: la reclamación de daños procede de la empresa (o de su administrador concursal) contra los directivos individuales.
De forma crítica, el §38 BSIG establece que esta responsabilidad no puede ser objeto de renuncia mediante acuerdo de los socios. Incluso en una GmbH gestionada por su propietario, en la que el Geschäftsführer es también el socio único, la responsabilidad existe. Las pólizas de seguro D&O suelen excluir las multas y sanciones regulatorias, y la cobertura para la responsabilidad específica de NIS2 es un ámbito en evolución: revise su póliza concreta en lugar de presuponer la cobertura. La implicación práctica: el cumplimiento de NIS2 es ahora una cuestión de gestión de riesgos personal para cada Geschäftsführer, no una mera casilla de gobierno corporativo.
Preguntas frecuentes
¿Cuál es la multa máxima para mi empresa?
Depende de la clasificación de su entidad. Entidades esenciales (sectores del Anexo I): la mayor de entre 10 M EUR o el 2 % del volumen de negocios anual mundial. Entidades importantes (sectores del Anexo II): la mayor de entre 7 M EUR o el 1,4 % del volumen de negocios anual mundial. Para la mayoría de las empresas del mercado medio (menos de 500 M EUR de volumen de negocios), se aplica el importe fijo porque el 2 % del volumen de negocios es inferior a 10 M EUR. Se aplican sanciones independientes de hasta 500.000 EUR por infracciones de registro y de notificación.
¿Pueden multarme personalmente como Geschäftsführer?
Las multas administrativas conforme al §65 BSIG se imponen a la empresa, no a la persona física. Sin embargo, el §38 BSIG crea una responsabilidad civil personal por los daños derivados de no aprobar y supervisar las medidas de ciberseguridad. Esto significa que se enfrenta a una responsabilidad personal por las pérdidas de la empresa: no una multa estatal, sino potencialmente una reclamación de daños. En un escenario de insolvencia, el administrador concursal puede ejercitar esta reclamación contra usted personalmente.
¿Cubre el seguro D&O las sanciones de NIS2?
La mayoría de las pólizas D&O excluyen las multas regulatorias y las sanciones administrativas: estas suelen ser inasegurables conforme al Derecho alemán. La responsabilidad civil conforme al §38 BSIG (reclamaciones de daños) puede estar cubierta por el seguro D&O, según los términos de su póliza. Revise su póliza concreta y comente la exposición a NIS2 con su corredor. No presuponga que existe cobertura: pida confirmación por escrito de qué está cubierto y qué no.
¿Qué desencadena la actuación del BSI?
Para las entidades esenciales: el BSI puede realizar auditorías e inspecciones proactivas sin un desencadenante específico. Para las entidades importantes: la actuación suele ser reactiva, desencadenada por un incidente notificado, la reclamación de un tercero, la cobertura mediática de una violación o la falta de registro. El BSI también coteja el registro mercantil y las bases de datos sectoriales para identificar entidades que deberían estar registradas y no lo están.
¿Son las sanciones proporcionales al tamaño de la empresa?
Sí, por diseño. El cálculo del porcentaje del volumen de negocios garantiza que las sanciones escalen con el tamaño de la empresa. Para una empresa con 15 M EUR de volumen de negocios, la multa máxima como entidad esencial es de 10 M EUR (el techo fijo, ya que el 2 % son solo 300.000 EUR). Para una empresa de 600 M EUR, el máximo es de 12 M EUR (el 2 % del volumen de negocios supera el suelo de 10 M EUR). Además, el BSI está obligado a considerar la proporcionalidad al valorar las sanciones: el tamaño de la empresa, la gravedad de la infracción, la duración y los esfuerzos de buena fe influyen todos en el importe real de la sanción.
- BSIG - §38 (responsabilidad de la dirección), §65 (multas administrativas y marco sancionador)
- Directiva NIS2 (UE) 2022/2555 - Artículo 34 (medidas de supervisión para entidades esenciales), Artículo 35 (medidas de supervisión para entidades importantes), Artículo 36 (sanciones)
- NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
- BMI - Documentación parlamentaria sobre el diseño del marco sancionador y las consideraciones de proporcionalidad
- GDV (Gesamtverband der Deutschen Versicherungswirtschaft) - Análisis de cobertura del seguro D&O para la responsabilidad regulatoria (2025)