BSIG / NIS2UmsuCG

NIS2 en Alemania

Alemania transpuso la Directiva NIS2 al Derecho nacional mediante la NIS2UmsuCG, reformando a fondo la Ley federal de ciberseguridad (BSIG). Todas las obligaciones se aplican desde el 6 de diciembre de 2025.

Simon OrzelSimon Orzel·Laufend geprüft
Cronología alemana
FechaEvento
27 dic 2022La Directiva NIS2 se publica en el Diario Oficial de la UE L 333 (adoptada el 14 dic 2022)
16 ene 2023La NIS2 entra en vigor a nivel de la UE
17 oct 2024Plazo de transposición de la UE (Alemania lo incumplió)
13 nov 2025El Bundestag aprueba la NIS2UmsuCG
21 nov 2025El Bundesrat da su conformidad
5 dic 2025Publicada en el Bundesgesetzblatt
6 dic 2025El nuevo BSIG entra en vigor, todas las obligaciones se aplican de inmediato
6 ene 2026El portal de registro del BSI entra en funcionamiento
6 mar 2026Plazo para el registro ante el BSI
~2028Operadores KRITIS: primera prueba de cumplimiento exigible

No hay periodo transitorio. Las medidas de gestión de riesgos, la notificación de incidentes y la responsabilidad de la dirección se aplican desde el mismo día en que la ley entró en vigor.

Ver la cronología completa de NIS2
Categorías de entidades
Alemania emplea una terminología distinta de la de la Directiva de la UE. Aproximadamente 29.500 empresas en Alemania están afectadas.
Término de la UETérmino alemánAbreviatura
Entidad esencialBesonders wichtige EinrichtungbwE
Entidad importanteWichtige EinrichtungwE
Operador de infraestructura críticaBetreiber kritischer AnlagenKRITIS

La jerarquía: KRITIS ⊂ entidades esenciales ⊂ todas las entidades NIS2. Los operadores KRITIS se clasifican automáticamente como entidades esenciales.

Sanciones

Por categoría de entidad
CategoríaMulta máximaAlternativa basada en el volumen de negocios
Entidades esenciales10.000.000 EUR2 % del volumen de negocios anual mundial del grupo
Entidades importantes7.000.000 EUR1,4 % del volumen de negocios anual mundial del grupo
Por tipo de infracción
InfracciónMulta máxima
No implementar medidas de ciberseguridad (§30)10 M EUR / 7 M EUR
No notificar incidentes (§32)10 M EUR / 7 M EUR
Incumplimiento de las instrucciones del BSI10 M EUR / 7 M EUR
KRITIS: fallo en la notificación de componentes críticos5.000.000 EUR
KRITIS: fallo en los procedimientos de prueba de auditoría2.000.000 EUR
Infracciones de registro, no notificar al BSI500.000 EUR
Obstrucción de las inspecciones del BSI500.000 EUR
Fallos en la accesibilidad del punto de contacto100.000 EUR
Responsabilidad de la dirección (§38 BSIG)
Una de las disposiciones de mayor impacto de la transposición alemana. Los órganos de dirección responden personalmente del cumplimiento en materia de ciberseguridad.

Tres deberes esenciales

Aprobación (Billigung)

La dirección debe aprobar formalmente las medidas de gestión de riesgos de ciberseguridad conforme al §30 BSIG.

Supervisión (Überwachung)

Seguimiento activo de la implementación, no conocimiento pasivo. La dirección debe verificar que las medidas se están implementando realmente.

Formación (Schulung)

Participación personal obligatoria en formación de ciberseguridad como mínimo cada 3 años. Este deber no puede delegarse.

Los directivos responden personalmente frente a su propia empresa cuando incumplen culpablemente estos deberes. Se permite la delegación de tareas operativas, pero la responsabilidad estratégica y la supervisión permanecen en la dirección. La dirección no puede alegar falta de conocimientos técnicos como defensa.

El §38 BSIG prohíbe expresamente las renuncias contractuales de responsabilidad por parte de los socios que sean desproporcionadas respecto de la incertidumbre existente sobre los derechos.

Registro ante el BSI
Todas las entidades clasificadas como entidades esenciales o importantes deben registrarse ante el BSI.

Plazo: 6 de marzo de 2026 (3 meses después de la entrada en vigor del BSIG).

El registro sigue un proceso de dos pasos: primero crear una cuenta a través de Mein Unternehmenskonto (MUK/ELSTER) y, después, registrarse a través del portal del BSI (en funcionamiento desde el 6 de enero de 2026).

El registro es una obligación de autoidentificación, sin notificación por parte del BSI. Las empresas deben determinar por sí mismas si están dentro del ámbito. El BSI también puede ordenar a una empresa que se registre si determina que entra en el ámbito de aplicación.

Modelo de supervisión
AspectoEsencialImportante
SupervisiónProactiva (ex ante), el BSI puede auditar en cualquier momentoReactiva (ex post), solo ante indicios de incumplimiento
Multa máxima10 M EUR o 2 % del volumen de negocios mundial7 M EUR o 1,4 % del volumen de negocios mundial
Requisitos de auditoríaComprobaciones aleatorias basadas en el riesgo por el BSISolo ante sospecha justificada
Ciclo de auditoría KRITISCada 3 años (si es operador KRITIS)No aplicable