§33 BSIG

Se te pasó el plazo de registro ante el BSI. ¿Y ahora qué?

Alrededor de 18.000 empresas alemanas no cumplieron el plazo de registro del §33 BSIG. El portal del BSI sigue abierto. Esto es lo que importa ahora, y lo que realmente ocurre si actúas con rapidez.

Simon OrzelSimon Orzel·Laufend geprüft

La respuesta breve

No te alarmes. No estás solo, y no es demasiado tarde para corregirlo. El BSI estimó que aproximadamente 30.000 entidades quedan bajo NIS2 en Alemania. El plazo de registro venció el 6 de marzo de 2026, pero un número considerable de empresas todavía no se ha registrado. Estás lejos de ser el único en esta situación.

El portal de registro conforme al §33 BSIG sigue abierto. Puedes registrarte hoy mismo. El BSI ha señalado que dará prioridad a la actuación coercitiva contra las empresas que ignoran por completo sus obligaciones, no contra quienes se registran tarde pero actúan de buena fe. Tarde es mejor que nunca, y "nunca" es la única opción verdaderamente peligrosa.

La clave está en actuar ahora, documentar que has empezado y comenzar el trabajo real de conformidad. Un registro tardío con progreso visible se presenta de forma fundamentalmente distinta ante un regulador que la ausencia total de registro.

Cinco pasos para volver al buen camino
Sigue este orden. Cada paso se apoya en el anterior y, en conjunto, crean un rastro documentado que demuestra al BSI que te tomas en serio la conformidad.
1

1. Confirma que realmente estás dentro del ámbito

Antes de registrarte, verifica que NIS2 se aplica a tu empresa. Los criterios están en el §28 BSIG: debes operar en uno de los 18 sectores listados Y cumplir el umbral de tamaño (50 empleados o más, o 10 millones de euros o más de facturación anual). Si tienes dudas, consulta las listas sectoriales del BSI en el Anexo I y el Anexo II de la Directiva NIS2. Muchas empresas dan por hecho que están fuera del ámbito cuando no lo están, y viceversa. Si tienes verdadera incertidumbre, obtén un dictamen jurídico antes de registrarte, pero no uses la incertidumbre como excusa para demorarte.

2

2. Regístrate de inmediato a través del portal del BSI

Accede al portal de registro NIS2 del BSI y completa tu registro conforme al §33 BSIG. Necesitarás: los datos de tu empresa, la clasificación sectorial, la persona de contacto para cuestiones de ciberseguridad y los rangos de direcciones IP de tus sistemas críticos. El registro en sí lleva unos 30 minutos si tienes la información preparada. Hazlo hoy: cada día que esperas amplía la brecha entre el plazo y la fecha de tu registro.

3

3. Documenta que has empezado

Crea un registro escrito, aunque sea una simple nota interna, que documente cuándo tuviste conocimiento de tus obligaciones NIS2, cuándo te registraste y qué pasos estás dando. Esto crea un rastro documental que demuestra buena fe. Si el BSI alguna vez pregunta por qué te retrasaste, "identificamos la obligación, nos registramos de inmediato y comenzamos el trabajo de conformidad el [fecha]" es una respuesta sólida.

4

4. Empieza el trabajo real de conformidad

El registro es solo el primer paso: el §30 BSIG exige que implementes medidas de gestión de riesgos de ciberseguridad. Empieza por los cimientos: inventario de activos, metodología de evaluación de riesgos y procedimientos de notificación de incidentes. No necesitas ser plenamente conforme de un día para otro, pero sí necesitas estar trabajando hacia ello de forma visible. El BSI atenderá a la trayectoria, no solo al estado actual.

5

5. Considera asesoramiento jurídico si el ámbito no está claro

Si tu empresa se sitúa cerca del umbral (próxima a 50 empleados o a 10 millones de euros de facturación), opera en un sector que puede interpretarse de varias maneras o tiene una estructura societaria compleja, consulta a un abogado especializado en regulación de TI. El coste de un dictamen jurídico (2.000-5.000 €) es insignificante frente al coste de la falta de conformidad o de una conformidad innecesaria. Algunas asociaciones sectoriales (como Bitkom o BDI) también ofrecen orientación a sus miembros sobre el ámbito de NIS2.

¿Cuáles son los riesgos reales de un registro tardío?

Ser honesto sobre los riesgos te ayuda a tomar decisiones proporcionadas. Las consecuencias son reales pero no catastróficas, si actúas ahora.

Multas administrativas

El §65 BSIG prevé multas de hasta 500.000 € específicamente por infracciones de registro. En la práctica, el BSI tiene capacidad de actuación limitada y se centra en incorporar empresas al sistema, no en sancionar a los rezagados. Una empresa que se registra tarde y demuestra esfuerzos activos de conformidad difícilmente se enfrentará a la sanción máxima. Una empresa que nunca se registra es otra historia.

Requerimientos de conformidad

El BSI puede dictar requerimientos vinculantes de conformidad que te obliguen a registrarte e implementar medidas concretas dentro de un plazo determinado. El incumplimiento de tal requerimiento agrava considerablemente la situación jurídica. Registrarse de forma proactiva, aunque sea tarde, evita por completo esta vía de escalada.

Responsabilidad personal de la dirección

El §38 BSIG hace que la Geschäftsführung responda personalmente de garantizar la conformidad con NIS2. Si tu empresa está dentro del ámbito y tú, como dirección, demoraste el registro a sabiendas, esto genera una exposición personal. La responsabilidad no puede excluirse mediante acuerdo de los socios. Documentar que actuaste en cuanto tuviste conocimiento es una protección importante.

Mayor escrutinio en auditorías futuras

Para las entidades esenciales, el BSI realiza auditorías periódicas. Un registro tardío será visible en tu cronología de conformidad. No obstante, un proceso de puesta al día bien documentado que muestre una mejora sistemática se valora de forma muy distinta a un patrón de dejadez. Los auditores evalúan la trayectoria, no solo el punto de partida.

Por qué tantas empresas no cumplieron el plazo

La brecha de registro de NIS2 no se debe principalmente a la negligencia. El proceso legislativo alemán se retrasó repetidamente: la NIS2UmsuCG se aprobó meses después del plazo original de transposición de la UE. Muchas empresas esperaron razonablemente a que la ley alemana quedara finalizada antes de actuar. Otras desconocían que estaban dentro del ámbito porque las definiciones sectoriales se ampliaron de forma drástica respecto al antiguo régimen KRITIS.

El propio BSI reconoció públicamente la magnitud de la brecha de registro. La agencia ha adoptado una postura pragmática: la prioridad es registrar a las 30.000 entidades e incorporarlas al sistema de conformidad, no sancionar a la primera oleada de registros tardíos. Este pragmatismo tiene límites: se aplica a las empresas que trabajan activamente hacia la conformidad, no a quienes usan la paciencia del BSI como excusa para no hacer nada.

Preguntas frecuentes

¿Sigue abierto el portal de registro del BSI?

Sí. El portal de registro del §33 BSIG permanece abierto. No existe ningún plazo a partir del cual ya no puedas registrarte: la obligación es continua. El plazo era cuándo debías haberte registrado, no cuándo podías. Regístrate ahora.

¿Cuál es la multa por registro tardío?

El §65 BSIG prevé multas de hasta 500.000 € por infracciones de registro. No obstante, las multas se valoran caso por caso, considerando la gravedad, la duración y si la empresa actuó de buena fe. Una empresa que se registra unos meses tarde y muestra esfuerzos activos de conformidad afronta un perfil de riesgo muy distinto al de una que ignora la obligación por completo.

¿El registro tardío afecta a mis demás obligaciones NIS2?

No. Tus obligaciones conforme al §30 BSIG (medidas de ciberseguridad), §32 (notificación de incidentes) y §38 (responsabilidad de la dirección) existen con independencia de que te hayas registrado. El registro no crea las obligaciones: cumple una de ellas. Las demás obligaciones se aplican desde el momento en que cumples los criterios del ámbito, con independencia del estado de registro.

¿Puedo registrarme si no estoy seguro de que estemos dentro del ámbito?

Sí, y el BSI recomienda inclinarse por el registro si tienes dudas. Registrarse cuando resulta que estás fuera del ámbito no tiene consecuencias negativas: el registro puede corregirse. No registrarse cuando estás dentro del ámbito conlleva un riesgo jurídico real. En caso de duda, regístrate.

¿Y si nos registramos pero no hemos empezado el trabajo de conformidad?

El registro sin trabajo de conformidad es como presentar una declaración de impuestos pero no pagar el impuesto: cumpliste una obligación, pero no las sustantivas. Empieza ahora con las medidas del §30 BSIG: inventario de activos, evaluación de riesgos, procedimientos de notificación de incidentes. El BSI espera que las entidades registradas trabajen activamente hacia la conformidad, no que se queden sentadas sobre un número de registro.

Fuentes
  • BSI - Estadísticas de registro NIS2 y declaraciones públicas sobre el enfoque de actuación coercitiva (2025)
  • G DATA CyberDefense - Encuesta de concienciación sobre NIS2: el 44 % de las empresas del segmento medio desconoce sus obligaciones (2024)
  • BSIG - §33 (obligación de registro), §65 (multas administrativas), §38 (responsabilidad de la dirección)
  • NIS2UmsuCG - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
  • BMI - Documentación parlamentaria y orientación sobre la implementación de la NIS2UmsuCG
Regístrate y luego construye tu rastro de conformidad
La plataforma te guía desde el registro hasta la conformidad plena con el §30 BSIG, creando el rastro de evidencias documentado que demuestra al BSI que te lo tomas en serio.
Inicia tu proceso de conformidad NIS2