El Plazo NIS2 de Alemania Venció — Y 18.000 Empresas No Cumplieron

Una carta llega del BSI — la autoridad federal de ciberseguridad alemana. Su empresa debía registrarse antes del 6 de marzo de 2026. No lo hizo. El BSI tiene ahora la autoridad legal para auditar su organización, emitir órdenes vinculantes e imponer multas de hasta 10 millones de euros o el 2% de su facturación anual global. Y en virtud del §38 de la nueva BSIG, sus directivos pueden ser considerados personalmente responsables por el incumplimiento.

Este no es un escenario hipotético. Está ocurriendo ahora mismo en Alemania, y es un anticipo de lo que se avecina en el resto de la Unión Europea.

Qué Ocurrió el 6 de Marzo de 2026

La ley alemana de implementación de NIS2 — la NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — entró en vigor el 6 de diciembre de 2025. Otorgó a las organizaciones en su ámbito de aplicación exactamente tres meses para registrarse ante el BSI a través de su portal dedicado.

Ese plazo fue el 6 de marzo de 2026.

De las aproximadamente 29.500 empresas que el BSI estima que están sujetas a la ley, solo unas 11.500 completaron su registro a tiempo. Esto deja a unas 18.000 organizaciones incumpliendo una obligación legal antes incluso de haber comenzado a trabajar en sus medidas reales de ciberseguridad.

Estado de Implementación NIS2 por País (2025–2026)
✅
Plenamente en vigor
🇧🇪Bélgica
🇭🇷Croacia
🇭🇺Hungría
🇱🇹Lituania
🇱🇻Letonia
🇮🇹Italia
6 países
📋
Adoptada — finales 2025
🇩🇪Alemania
🇨🇿República Checa
🇫🇮Finlandia
3 países
⏳
En proceso — previsto 2026
🇳🇱Países Bajos
🇫🇷Francia
🇪🇸España
🇵🇱Polonia
🇦🇹Austria
🇸🇪Suecia
🇮🇪Irlanda
7 países

El BSI ha declarado públicamente que identificará sistemáticamente las entidades no registradas. Alemania es el primer gran Estado miembro de la UE en alcanzar este hito de aplicación — y las cifras son llamativas.

Por Qué Tantas Empresas No Cumplieron el Plazo

Tres patrones explican la brecha.

Muchas organizaciones aún no saben que están en el ámbito de aplicación. La Directiva NIS2 se aplica a empresas con más de 50 empleados o más de 10 millones de euros de facturación anual que operen en 18 sectores designados. El Mittelstand alemán — la columna vertebral de su economía industrial — incluye miles de fabricantes medianos, proveedores logísticos y empresas de servicios informáticos que nunca antes habían tenido que hacer frente a la regulación de ciberseguridad.

El calendario fue comprimido. Tres meses desde la ley hasta el plazo de registro dejaron poco margen a las empresas que aún estaban evaluando si NIS2 les era aplicable. Muchas esperaban una clarificación definitiva sobre las clasificaciones sectoriales y los umbrales.

Las empresas de la cadena de suministro fueron sorprendidas. En virtud del Artículo 21(2)(d), las entidades NIS2 deben gestionar los riesgos de ciberseguridad en sus cadenas de suministro. Esto significa que los proveedores que no están directamente en el ámbito de aplicación están recibiendo exigencias de cumplimiento de sus clientes — pero la obligación de registro recae sobre la entidad NIS2, no sobre el proveedor. La confusión entre obligaciones directas y presión indirecta de la cadena de suministro ralentizó la toma de decisiones.

Qué Puede Hacer el BSI Ahora

Las competencias de ejecución del BSI bajo la nueva BSIG son sustanciales:

Auditorías proactivas. Para las entidades esenciales — energía, transporte, sanidad, infraestructura digital, banca — el BSI puede realizar auditorías sin esperar a que se produzca un incidente. Puede solicitar documentación, inspeccionar medidas de seguridad y exigir pruebas del cumplimiento del Artículo 21.

Órdenes vinculantes. Si el BSI identifica deficiencias, puede emitir instrucciones legalmente vinculantes para subsanarlas en un plazo determinado. El incumplimiento de una orden vinculante aumenta la gravedad de las medidas de ejecución.

Multas. Las entidades esenciales se enfrentan a multas de hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. Las entidades importantes se enfrentan a hasta 7 millones de euros o el 1,4%. No son máximos teóricos — son el marco que las autoridades nacionales de toda la UE están ahora facultadas para aplicar.

Responsabilidad personal de los directivos. El §38 de la BSIG hace a los directivos personalmente responsables de aprobar y supervisar las medidas de gestión del riesgo de ciberseguridad. Esto refleja el Artículo 20 de la Directiva NIS2, que establece la responsabilidad de los órganos de dirección en todos los Estados miembros.

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
▼
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
▼
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal

Prohibiciones temporales de gestión. En casos graves de incumplimiento continuado, el BSI puede solicitar la suspensión temporal de los directivos en sus funciones. Esta es la herramienta de ejecución más contundente del arsenal NIS2, y Alemania la ha implementado expresamente.

Qué Significa Esto para el Resto de Europa

Alemania no es un caso aislado. Es el indicador anticipado.

Bélgica lleva aplicando su transposición NIS2 desde finales de 2024 — el primer país de la UE en hacerlo. Italia (ACN) y Croacia tienen sus marcos regulatorios en marcha. Francia (ANSSI) lanzó su marco de referencia ReCyF en marzo de 2026 y está construyendo su infraestructura de aplicación. Los Países Bajos esperan su Cyberbeveiligingswet (Cbw) en el segundo trimestre de 2026, con la RDI como supervisora.

El patrón es claro: cada Estado miembro de la UE está pasando de la legislación a la ejecución. El calendario de implementación varía según el país, pero la dirección es uniforme.

En España, el CCN-CERT y el INCIBE coordinan la respuesta nacional a NIS2. España cuenta con el Esquema Nacional de Seguridad (ENS) como marco de referencia existente, que comparte elementos con los requisitos del Artículo 21 — pero el ENS por sí solo no satisface todas las obligaciones de NIS2. Las empresas españolas que ya cumplen con el ENS tienen una base sólida, pero deben verificar los requisitos adicionales de la directiva.

Si la experiencia de Alemania enseña algo, es lo siguiente: la brecha entre "la ley existe" y "las empresas están preparadas" es enorme. Y los reguladores no esperan a que esa brecha se cierre antes de comenzar a aplicar la normativa.

¿Se aplica la NIS2 a su organización?
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼
No▼
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗
La NIS2 no se aplica directamente a su organización.
Sí▼
No▼
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →
✗
La NIS2 no se aplica directamente a su organización.
✓
La NIS2 se aplica a su organización como entidad esencial o importante.
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplica
Posiblemente aplica
No se aplica

Qué Debe Hacer Esta Semana

Independientemente de si su organización está en Alemania o en otro Estado miembro de la UE, el plazo del BSI es una señal para actuar.

1. Determine si NIS2 le es aplicable. Compruebe el número de empleados, la facturación y la clasificación sectorial de su empresa. Los criterios son coherentes en toda la UE — si tiene más de 50 empleados o 10 millones de euros de facturación y opera en un sector cubierto, casi con toda certeza está en el ámbito de aplicación.

2. Regístrese ante su autoridad nacional. El plazo de Alemania ha vencido, pero otros países aún están abriendo sus portales de registro. En España, el CCN-CERT y el INCIBE coordinan el proceso de notificación para las entidades obligadas.

3. Inicie con el Artículo 21. El registro es solo el punto de entrada. La obligación real es implementar las diez medidas de ciberseguridad prescritas por el Artículo 21: análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, seguridad de redes, gestión de vulnerabilidades y más.

4. Informe a su consejo de administración. NIS2 es una obligación de gobernanza, no un proyecto de TI. El Artículo 20 exige que los órganos de dirección aprueben las medidas de ciberseguridad y reciban formación. Si su consejo no ha debatido sobre NIS2, esa conversación está pendiente desde hace tiempo.

5. Evalúe su situación actual. No necesita un consultor para empezar. Un análisis de preparación estructurado puede indicarle en minutos dónde se encuentra respecto a los requisitos de NIS2 — y mostrarle exactamente dónde están las brechas. Inicie el análisis de preparación NIS2 gratuito para saber hoy mismo en qué punto se encuentra su organización.

La Ventana Se Está Cerrando

Las 18.000 empresas no registradas de Alemania están aprendiendo ahora en qué consiste la aplicación de la normativa en la práctica. Todos los demás Estados miembros de la UE están siguiendo el mismo camino — la única variable es el momento.

Las organizaciones que actúen ahora, antes de que llegue su plazo nacional, tendrán la ventaja de la preparación en lugar de la presión de la ejecución. Las que esperen se encontrarán en la misma situación que el Mittelstand alemán hoy: un regulador con la autoridad para auditar, multar y responsabilizar personalmente a los directivos — y un programa de cumplimiento que debería haber comenzado meses atrás.