NIS2UmsuCG: la ley de transposición de NIS 2 de Alemania
NIS 2 es una directiva de la UE. El artículo 41 ordenó a cada Estado miembro incorporarla al Derecho nacional antes del 17 de octubre de 2024. Alemania incumplió ese plazo. La NIS2UmsuCG acabó por aprobarse e incorporó los deberes a una BSIG modificada. La directiva sigue siendo la fuente.
La versión breve
NIS 2 es una directiva, no un reglamento. Las directivas vinculan a los Estados miembros a un resultado. Cada país tiene que redactar su propia ley nacional que alcance ese resultado. NIS 2 fija un único estándar de la UE para los deberes de ciberseguridad a lo largo de 27 leyes de transposición.
La ley de transposición de Alemania se denomina NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). No existe como un texto independiente. Es una ley modificativa que reescribe la Ley del BSI (BSIG). Cuando los profesionales alemanes dicen «BSIG» hoy, se refieren a la BSIG modificada por la NIS2UmsuCG.
Alemania incumplió el plazo del 17 de octubre de 2024 que fijó el artículo 41 NIS 2. La NIS2UmsuCG se aprobó más tarde. A mediados de 2026, la ley está en vigor. Los deberes de las entidades esenciales e importantes se encuentran dentro de la BSIG modificada.
Directiva NIS 2 (UE) 2022/2555
La presente Directiva establece medidas destinadas a alcanzar un elevado nivel común de ciberseguridad en toda la Unión.
NIS 2 es una directiva. Se adoptó el 14 de diciembre de 2022 y entró en vigor el 16 de enero de 2023. Vincula a todos los Estados miembros al mismo estándar. La sustancia de cada ley nacional de NIS 2 en la UE procede de este texto.
Artículo 41(1) NIS 2
A más tardar el 17 de octubre de 2024, los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva. Informarán de ello inmediatamente a la Comisión. Aplicarán dichas medidas a partir del 18 de octubre de 2024.
El artículo 41 es la cláusula de transposición. Fijó dos fechas. Las leyes nacionales tenían que estar promulgadas a más tardar el 17 de octubre de 2024. Los deberes tenían que aplicarse a partir del 18 de octubre de 2024. Alemania incumplió ambas. La Comisión incoó procedimientos de infracción contra los Estados miembros que transpusieron tarde en noviembre de 2024.
NIS2UmsuCG → BSIG modificada (Alemania)
La NIS2UmsuCG modifica la Ley del BSI para implementar la Directiva (UE) 2022/2555.
La NIS2UmsuCG es la ley modificativa alemana. Reescribe la BSIG. La BSIG modificada es lo que un auditor o el BSI le exigirá en Alemania. La redacción sigue de cerca la directiva, en ocasiones palabra por palabra.
Ámbito de aplicación y las diez medidas
El §28 BSIG establece quién está dentro del ámbito: entidades «especialmente importantes» e «importantes», evaluadas por sector (anexos I y II de NIS 2) y tamaño (50 o más empleados o más de 10 millones EUR de facturación, con excepciones). El §30 BSIG enumera las diez medidas de ciberseguridad que toda entidad dentro del ámbito tiene que implantar. El §30 transpone el artículo 21(2) de la directiva.
Notificación de incidentes y registro
El §32 BSIG fija la cascada de notificación de incidentes: 24 horas para una alerta temprana, 72 horas para una notificación de incidente, un mes para un informe final. Transpone el artículo 23. El §33 BSIG exige el registro ante el BSI. El plazo de registro fue el 6 de marzo de 2026. El §33 transpone el artículo 27.
Órgano de dirección y sanciones
El §38 BSIG hace al órgano de dirección personalmente responsable del cumplimiento y exige formación periódica. Transpone el artículo 20. El §65 BSIG fija los niveles de las sanciones: hasta 10 millones EUR o el 2 % del volumen de negocios mundial para las entidades especialmente importantes, hasta 7 millones EUR o el 1,4 % para las entidades importantes. El §65 transpone el artículo 34.
NIS 2 es la fuente; la BSIG la copia
La sustancia de cada deber procede de la directiva. La NIS2UmsuCG copia el artículo 21 en el §30 BSIG casi palabra por palabra. Lo mismo ocurre con los artículos 20, 23, 27 y 34. Si quiere saber qué significa un deber, lea primero la directiva. Lea el artículo de la BSIG para los mecanismos específicos alemanes (qué autoridad, qué portal, qué nivel de sanción).
Cuando difieren, prevalece la directiva
Si la redacción de la BSIG diverge de la directiva y la diferencia importa, prevalece la directiva. Es un principio general del Derecho de la UE: un Estado miembro no puede infratransponer una directiva redactando un texto nacional más laxo. Los tribunales nacionales leen el Derecho nacional a la luz de la directiva. Las autoridades nacionales no pueden aplicar la ley en contra de la directiva.
NIS2UmsuCG → BSIG, supervisada por el BSI
La NIS2UmsuCG modifica la BSIG. El Bundesamt für Sicherheit in der Informationstechnik (BSI) es la autoridad nacional competente. El registro se tramita a través del portal del BSI. El BSI también publica Infopakete y señala IT-Grundschutz como la vía práctica para la implementación.
Rastreador de transposición de ENISA
ENISA, la agencia de ciberseguridad de la UE, publica un panorama del estado de transposición. Muestra qué Estados miembros han transpuesto, cuáles van con retraso y cuáles siguen en proceso legislativo. Úselo para comprobar el estado de cualquier ley nacional de NIS 2, no solo la alemana.
Leyes de transposición equivalentes
Países Bajos: Cyberbeveiligingswet. Austria: NISG. Francia: ordonnance n° 2024-1184. Bélgica: NIS2-Wet. Cada una transpone la misma directiva a su idioma y estilo jurídico nacional. Un deber del §30 BSIG tiene un equivalente exacto en cada una de estas leyes. La redacción difiere; la obligación es la misma.
La directiva no me vincula, solo la BSIG.
Los deberes operan a través de la BSIG, sí. Pero la BSIG se lee a la luz de la directiva. Si una autoridad o un tribunal nacional interpreta una cláusula ambigua de la BSIG, miran la directiva. Para cuestiones de toda la UE (contratos transfronterizos con proveedores, política de riesgos en varias jurisdicciones) la directiva es la referencia correcta. La BSIG es la implementación alemana, no un código cerrado y autónomo.
Esperamos a que la ley esté en vigor antes de cumplir.
La directiva se aplicaba desde el 18 de octubre de 2024. La transposición tardía de Alemania no retrasó su deber sustantivo. Las aseguradoras de ciberseguridad, los grandes clientes y los organismos de auditoría empezaron a pedir evidencias de NIS 2 en 2025, antes de que se aprobara la NIS2UmsuCG. Una vez modificada la BSIG, los deberes pasaron a ser directamente exigibles. La transposición tardía acortó el margen, no lo amplió.
La NIS2UmsuCG es una ley alemana única.
Cada Estado miembro tiene una transposición equivalente. Los deberes son los mismos. Solo difieren la redacción, la agencia supervisora y el nivel de sanción. Si opera en tres países de la UE, no necesita tres marcos de riesgo. Necesita un único marco que satisfaga la directiva, y tres breves apéndices nacionales para los mecanismos locales (qué portal, qué formato de plazo, qué autoridad).
La mayoría de los operadores del Mittelstand deberían leer ambos. La directiva para la sustancia. La BSIG para los aspectos procedimentales. Lea el artículo 21 de NIS 2 para saber qué significa la gestión de riesgos. Lea el §30 BSIG para ver cómo lo formula Alemania y qué orientación del BSI se aplica. Los dos juntos le dicen qué debe.
Para operaciones en varios países, la directiva es el texto de trabajo. Construya su registro de riesgos, su manual de incidentes y sus contratos con proveedores sobre la base de la directiva. Después mantenga un breve apéndice nacional por país: ante qué autoridad se registra, a través de qué portal notifica, qué nivel de sanción se aplica. Eso mantiene un único marco sustantivo con finas envolturas nacionales, en lugar de 27 marcos paralelos.
Mapeamos la directiva y la BSIG una junto a la otra. Cada requisito de la plataforma muestra el artículo de NIS 2 que transpone junto al artículo §30 / §32 / §33 / §38 BSIG que lo operativiza en Alemania. La misma obligación, dos lecturas. Usted lee el nivel que se ajusta a lo que está haciendo en ese momento.
Si opera en más de un país de la UE, la vista de la directiva se mantiene constante. La envoltura nacional (qué autoridad, qué portal, qué nivel de sanción) cambia según el país. Extendemos el mismo modelo a otros Estados miembros (NL, AT, FR) a medida que añadimos contenido nacional.
- Directiva (UE) 2022/2555 (NIS 2), artículo 41 (transposición) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), Bundestag-Drucksache y Bundesgesetzblatt
- Ley del BSI (BSIG), §§28, 30, 32, 33, 38, 65 en su versión modificada por la NIS2UmsuCG
- Paquete de infracción de la Comisión Europea de noviembre de 2024, cartas de emplazamiento por la transposición tardía de NIS 2
- Panorama del estado de transposición de NIS 2 de ENISA