BSI

Análisis de la brecha de registro NIS2

El BSI estimó unas 30.000 entidades sujetas a NIS2 en Alemania. El plazo de registro venció el 6 de marzo de 2026. Una parte significativa de las empresas dentro del ámbito todavía no se ha registrado, lo que las deja expuestas a la ejecución en virtud del §65 BSIG.

Simon OrzelSimon Orzel·Laufend geprüft

El §33 BSIG exige a toda entidad que entre en el ámbito de NIS2, ya sea entidad esencial o importante, registrarse ante la Bundesamt für Sicherheit in der Informationstechnik (BSI). Esto no es opcional. La obligación de registro existe con independencia de que la empresa haya implementado o no medidas de ciberseguridad. Primero debes registrarte, luego cumplir.

El portal de registro del BSI (muk.bsi.bund.de) entró en funcionamiento el 6 de enero de 2026, un mes después de la entrada en vigor del BSIG. El plazo de registro en virtud del §33 BSIG fue el 6 de marzo de 2026 (3 meses después de la entrada en vigor). A pesar de una obligación legal clara y de una ventana de dos meses, una parte significativa de las 29.000-30.000 entidades estimadas dentro del ámbito no se registró antes del plazo. Una encuesta de G DATA constató que el 44% de las empresas afectadas desconocían por completo sus obligaciones NIS2.

La brecha de registro es especialmente preocupante porque el registro es una condición previa para el régimen de supervisión del BSI. Las entidades no registradas no son invisibles: son incumplidoras por defecto. Cuando el BSI inicie la ejecución sistemática (que ha señalado para 2026), las empresas no registradas se enfrentarán a sanciones no solo por la falta de medidas de ciberseguridad, sino por la propia infracción de registro, una infracción independiente en virtud del §65 BSIG.

El registro en cifras
Estado actual del registro NIS2 en Alemania según datos del BSI y encuestas del sector.

~29.000-30.000

Entidades estimadas dentro del ámbito

Estimación propia del BSI de las entidades sujetas a obligaciones NIS2 en virtud del NIS2UmsuCG, que abarca tanto a entidades esenciales como importantes.

44%

Desconocen sus obligaciones NIS2

Encuesta de G DATA (2024): el 44% de las empresas alemanas del mid-market no sabían que NIS2 les aplicaba, antes incluso de que la ley entrara en vigor.

2 meses

Ventana de registro

El portal del BSI entró en funcionamiento el 6 de enero de 2026. El plazo de registro fue el 6 de marzo de 2026, una ventana de dos meses para que se registraran unas 30.000 entidades.

§33 BSIG

Base legal del registro

El registro es obligatorio sin demora indebida (unverzüglich) tras determinar que la entidad entra en el ámbito. No hay periodo de gracia: la obligación es inmediata desde la entrada en vigor de la ley.

Por qué existe la brecha

Cuatro factores estructurales explican por qué la mayoría de las entidades NIS2 alemanas no se han registrado.

Falta de concienciación

Una encuesta de G DATA realizada en 2024 constató que el 44% de las empresas alemanas del mid-market desconocían que NIS2 les aplicaba. Los criterios de ámbito (50+ empleados o 10 millones de euros de facturación en 18 sectores cubiertos) no son evidentes para empresas que nunca han tratado con la regulación de seguridad de la información. Muchas empresas de sectores como la gestión de residuos, la producción de alimentos y la fabricación química no se consideran 'infraestructura crítica'.

Complejidad del ámbito

Determinar si una empresa entra en el ámbito de NIS2 requiere contrastar el negocio con los Anexos I y II de la Directiva NIS2 (transpuestos al §28 BSIG). Las definiciones de sector remiten a códigos NACE, umbrales de facturación y números de empleados, pero abundan los casos límite. Las empresas con líneas de negocio mixtas, cobertura sectorial parcial o estructuras de grupo se enfrentan a una incertidumbre genuina sobre si están dentro del ámbito.

Limitaciones de recursos

Las empresas del Mittelstand alemán en el rango de 50-250 empleados suelen carecer de personal dedicado a cumplimiento o a seguridad de la información. La persona responsable de 'TI' suele ser también responsable de las instalaciones, las compras y todo lo demás que implique un ordenador. El registro NIS2 requiere comprender el texto regulatorio, clasificar el sector de la empresa y navegar por un portal gubernamental, tareas que quedan fuera de las operaciones normales.

Incertidumbre legislativa

El NIS2UmsuCG pasó por múltiples borradores y se retrasó varias veces antes de su aprobación final. Muchas empresas adoptaron un enfoque de 'esperar y ver', a la espera de nuevos cambios o de plazos ampliados. Fue una apuesta racional pero incorrecta: la ley se aprobó, la obligación de registro está en vigor y el BSI no concede prórrogas.

Consecuencias de no registrarse
El registro no es solo papeleo administrativo: no registrarse es una infracción independiente con sus propias sanciones.

Multas administrativas

El §65 BSIG prevé multas de hasta 10 millones de euros o el 2% de la facturación anual mundial para las entidades esenciales, y de hasta 7 millones de euros o el 1,4% para las wichtige Einrichtungen. La falta de registro es una infracción independiente del incumplimiento de las medidas de seguridad sustantivas, lo que significa que las empresas pueden enfrentarse a sanciones por ambas.

Responsabilidad personal de la dirección

En virtud del §38 BSIG, la Geschäftsleitung es personalmente responsable de garantizar el cumplimiento de las obligaciones NIS2, incluido el registro. Un director gerente que no registra la empresa incumple personalmente sus deberes legales, lo que genera exposición a reclamaciones de responsabilidad personal por parte de la empresa o de sus socios.

Prioridad de ejecución

El BSI ha indicado que priorizará la ejecución frente a las entidades que no se han registrado, porque la falta de registro señala un incumplimiento total. Una empresa que se ha registrado pero está trabajando en las medidas demuestra buena fe. Una empresa que ni siquiera se ha registrado no tiene la defensa de unos esfuerzos de implementación en curso.

Impacto reputacional y comercial

Los requisitos de cadena de suministro de NIS2 (§30(2)(4) BSIG) implican que las empresas dentro del ámbito deben evaluar la postura de ciberseguridad de sus proveedores. Una empresa no registrada no puede demostrar el cumplimiento de NIS2 a sus clientes, lo que potencialmente le hace perder contratos o ser señalada en auditorías de la cadena de suministro. Esta presión comercial se acelerará a medida que más empresas implementen la diligencia debida en la cadena de suministro.

Fuentes
  • BSI - Estadísticas de registro NIS2, declaraciones públicas (2025)
  • G DATA CyberDefense - Encuesta de concienciación NIS2: el 44% de las empresas del mid-market desconocen sus obligaciones (2024)
  • G DATA CyberDefense - Encuesta de concienciación NIS2 entre empresas alemanas del mid-market (2024)
  • BSIG - §33 (obligación de registro), §65 (multas administrativas), §38 (responsabilidad de la dirección)
  • NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie (Ley de transposición de NIS2)
  • BMI - Referentenentwürfe y documentación parlamentaria del NIS2UmsuCG
Regístrate y cumple, antes de que el BSI llame a tu puerta
La plataforma te guía a través de los requisitos de registro ante el BSI y empieza de inmediato a construir tu traza de evidencia de cumplimiento, para que pases de no registrado a listo para auditoría en un proceso estructurado.
Inicia tu proceso de cumplimiento NIS2