NIS2 en Alemania: qué significa para las empresas el retraso en la aplicación nacional y por qué es clave prepararse

La directiva actualizada sobre ciberseguridad de la Unión Europea, NIS2, entró oficialmente en vigor en octubre de 2024. Su objetivo es sencillo en principio, pero de gran alcance en la práctica: elevar el nivel básico de ciberresiliencia en todos los sectores críticos, ampliar el número de empresas cubiertas y hacerla cumplir con firmeza. 

Pero en Alemania, la incorporación efectiva a la legislación nacional sigue pendiente. Las transiciones políticas y los retrasos legislativos han dejado a las empresas en el limbo. En septiembre de 2025, aún no había una ley definitiva, ni un registro de entidades "esenciales" o "importantes", ni plazos de aplicación publicados. 

Esto ha provocado un estado de confusión entre las empresas. Muchos responsables de la toma de decisiones simplemente no saben qué tienen que hacer en respuesta a la NIS2, cuándo tienen que hacerlo y, lo que es más importante, si la NIS2 se aplica a ellos en absoluto.  

Un estudio de Bitkom sobre 2024 reveló que el 66% de las empresas alemanas dicen no sentirse preparadas para el NIS2. Y aunque resulte tentador esperar a que Berlín se aclare, es una estrategia arriesgada. Porque una vez que Alemania se ponga al día (y debe hacerlo), el cumplimiento será obligatorio y las sanciones, importantes. 

Ahora es el momento de actuar. Las bases del NIS2 son conocidas. Sus competidores de otros países ya se están adaptando. Retrasarse no beneficia a nadie, pero quedarse quieto supone un riesgo real y creíble. 

Qué requiere NIS2 y a quién se aplica 

La Directiva NIS original (2016) se centraba en las infraestructuras críticas y las empresas que las sustentan, como los grandes actores de la energía, el transporte, la banca y la sanidad. Pero la NIS2 amplía drásticamente su ámbito de aplicación.  

Esta vez, no son sólo las grandes empresas las que tienen que dar un paso adelante. Es cualquier organización que preste servicios esenciales para la economía o la sociedad, y eso incluye a muchas pequeñas y medianas empresas. 

En última instancia, el NIS2 se aplica a dos niveles de empresas: 

• Entidades esenciales, como grandes empresas de sectores críticos como la energía, la sanidad, el transporte y las infraestructuras digitales. Estas empresas suelen tener más de 250 empleados o más de 50 millones de euros de facturación.  

• Entidades importantes, como empresas medianas de sectores como la fabricación de productos críticos, la producción alimentaria, los servicios postales, los productos químicos y los servicios digitales. Por lo general, estas empresas tienen más de 50 empleados o facturan más de 10 millones de euros.  

Es importante señalar que los umbrales anteriores son orientativos. Los umbrales específicos pueden variar según el sector y deben determinarse en función del tamaño de la organización y el sector en el que opera. Una entidad puede seguir considerándose "esencial" o "importante" aunque no cumpla los criterios de tamaño, en casos concretos, como cuando es el único proveedor de un servicio crítico para la actividad social o económica.  

¿Cuáles son las expectativas? 

NIS2 exige a las empresas cubiertas que apliquen prácticas de seguridad basadas en el riesgo en todas sus operaciones. Esto incluye: 

• Gestión de riesgos: Debes realizar evaluaciones periódicas y aplicar los controles de seguridad correspondientes. 
• Gestión de incidentes: Incluida la notificación en 24 horas de incidentes significativos a los reguladores, y la notificación completa en 72 horas. 
• Continuidad de negocio y respuesta a las crisis: Planificación de la resiliencia, recuperación de desastres, copias de seguridad y procesos de comunicación de crisis. 
• Seguridad de la cadena de suministro: Eres responsable no sólo de tus propias defensas, sino también de gestionar el riesgo cibernético entre tus vendedores y proveedores de servicios. 
• Gobernanza y rendición de cuentas: NIS2 introduce la rendición de cuentas de arriba abajo. Los altos directivos deben aprobar las ciberestrategias y pueden ser considerados personalmente responsables de los fallos. 

El incumplimiento conlleva sanciones: hasta 10 millones de euros o el 2% de la facturación global, la cantidad que sea mayor. A diferencia de los regímenes anteriores, el NIS2 también permite sancionar personalmente a los ejecutivos. Para muchas empresas alemanas, sobre todo de la Mittelstand, es la primera vez que se ven arrastradas a una normativa cibernética de ámbito europeo. 

La situación actual en Alemania 

A pesar de que la NIS2 está en vigor en toda la UE, Alemania aún no ha aprobado su ley nacional de aplicación. 

El plan original era transponer la NIS2 a la legislación nacional a través de la "Ley de Implementación de la NIS2 y Refuerzo de la Ciberseguridad" a principios de 2025. El Gobierno anterior había aprobado un proyecto de ley. Pero la disolución del Bundestag a finales de 2024, seguida de nuevas elecciones, puso en pausa el proceso legislativo. 

Ahora, con la nueva coalición, todo el proceso debe empezar de nuevo. El Consejo de Ministros aprobó el 30 de julio la Ley de Aplicación del NIS 2 alemán, pero, según el procedimiento parlamentario, el proyecto de ley tiene que volver a presentarse, revisarse y debatirse de nuevo. En el mejor de los casos, la nueva ley nacional estaría lista a finales de 2025, pero podría no entrar en vigor hasta 2026.  

Este retraso ha sido muy criticado, y la Comisión Europea ha llegado a formular advertencias formales a Alemania y otros países por incumplir el plazo de aplicación. Lo más preocupante es que no hay indicios de un periodo de gracia. Una vez aprobada la ley, las empresas deberán cumplirla inmediatamente. No habrá comienzo suave ni introducción progresiva, como ocurrió en otros Estados miembros de la UE.  

En la práctica, esto significa que las empresas alemanas deben actuar ahora, antes de que llegue la ley. Porque una vez que llegue, el reloj de la cuenta atrás para el cumplimiento y las multas ya estará en marcha. 

Qué hacen otros países y por qué Alemania debería tomar nota 

Mientras Alemania va a la zaga, varios países vecinos de la UE ya han publicado planes de implantación del NIS2 y han empezado a trabajar con la industria para prepararse. Sus avances son un buen ejemplo de lo que está por venir y demuestran por qué las empresas alemanas no deben esperar.  

Austria: Retrasos, pero transparencia 

Austria también sufrió un parón legislativo debido a las remodelaciones políticas. Pero el nuevo gobierno austriaco ya ha dado prioridad a la aplicación de la NIS2 y ha publicado un nuevo proyecto de ley para consulta pública. Las autoridades estiman que unas 30.000 empresas austriacas se verán afectadas, y han empezado a publicar orientaciones sectoriales y preguntas frecuentes para facilitar su cumplimiento.  

Países Bajos: Plazos claros y comienzo temprano 

El enfoque neerlandés se considera un modelo. La Ley de Ciberseguridad neerlandesa, que transpone la NIS2, se sometió a consulta a mediados de 2024. La versión final se presentó al Parlamento a principios de 2025, con un claro objetivo de entrada en vigor a finales de año. 

Los organismos reguladores neerlandeses han publicado orientaciones tempranas para ayudar a las empresas a evaluar sus riesgos, alinear su gobernanza y probar protocolos de respuesta a incidentes mucho antes de que la ley entre en vigor. 

Francia: Más lejos, más rápido 

Francia optó por un planteamiento más amplio y ambicioso al integrar la NIS2 en una "ley nacional de resiliencia" global que también incluye la directiva CER (sobre entidades críticas) y la DORA para el sector financiero. 

En la primavera de 2025, el Parlamento ya estaba ultimando la ley. El modelo francés hace especial hincapié en las infraestructuras críticas, la planificación de la continuidad y la coordinación nacional. Es importante destacar que Francia también está ampliando las obligaciones al estilo NIS2 más allá del mínimo de la UE, incluyendo algunos municipios e instituciones de investigación. 

Cómo pueden actuar ahora las empresas alemanas 

Aunque la legislación nacional alemana llega con retraso, la directiva de la UE ya está en vigor, y esperar a que se apruebe la legislación definitiva puede exponerle a posibles multas. Esto es lo que las empresas alemanas (especialmente las que operan en sectores regulados) deben hacer ahora: 

1. Evalúa si estás dentro del ámbito de aplicación 

Empieza por lo básico: Si tienes más de 50 empleados y operas en un sector incluido en la lista NIS2 (anexos I y II), probablemente la respuesta sea sí. Incluso si eres proveedor de una entidad incluida en el ámbito de aplicación, puedes verte afectado indirectamente. Empieza ya a trazar un mapa de tus funciones empresariales, dependencias y clasificaciones sectoriales. Los reguladores de Austria y los Países Bajos están trabajando con empresas basándose en borradores. Tú también puedes hacerlo. 

2. Realizar un análisis de carencias 

NIS2 exige un enfoque documentado y basado en los riesgos para la ciberdefensa. Es decir, planes de respuesta a incidentes, políticas de seguridad, gestión de vulnerabilidades, controles de acceso, supervisión por terceros, etc. Realiza un análisis estructurado de las deficiencias comparando tu postura actual con los requisitos conocidos de NIS2. Identifica lo que falta y da prioridad a los riesgos y obligaciones legales más urgentes. 

3. Reforzar la sensibilización del personal 

NIS2 hace de la ciberseguridad una responsabilidad descendente. La dirección debe comprender sus obligaciones y asumir la estrategia cibernética. Ahora es el momento de informar a los consejos de administración, formar a los jefes de departamento y organizar talleres de concienciación en toda la empresa. La formación debe adaptarse a cada función, ya que cada una está expuesta a riesgos diferentes. La notificación de incidentes, la identificación del phishing y el tratamiento seguro de los datos sensibles son tarea de todos. 

4. En caso necesario, recurre a ayuda externa 

No todas las empresas disponen de los recursos internos necesarios para satisfacer las exigencias de NIS2. Ahí es donde los socios externos pueden ayudar. Ya se trate de un proveedor de servicios de seguridad gestionados (MSSP) que vigile las amenazas y responda a los incidentes, o de una consultoría que guíe la preparación para el cumplimiento, no hay necesidad de reinventar la rueda. 

Herramientas como el Navegador NIS2 - desarrollado por Deutschland sicher im Netz e.V. y financiado por el Ministerio de Economía alemán, pueden ayudar a las empresas a determinar si les afecta la directiva, evaluar su situación actual y determinar los pasos siguientes. 

Además, las Cámaras de Comercio regionales (IHK), las asociaciones sectoriales y la Oficina Federal de Seguridad de la Información (BSI ) ofrecen cada vez más orientaciones, plantillas y listas de comprobación para ayudar a las PYMEs a navegar por la NIS2. 

En Getronics, nuestro papel es ayudar a traducir esos marcos en acciones. Ayudamos a las empresas a crear procesos conformes, reforzar la resiliencia e integrar la ciberseguridad en las operaciones cotidianas, paso a paso. 

Actúa ahora para evitar multas 

NIS2 es un importante texto legislativo que reconoce que en nuestro mundo digital de alto riesgo, la resiliencia es esencial (y si tú estás en el ámbito de aplicación, obligatoria).  

Sí, Alemania se retrasa en la aplicación, pero eso no significa que puedas permitirte retrasar los preparativos. La Directiva de la UE es vinculante. Otros países se están moviendo. Y, lo que es más importante, los actores de las amenazas no están esperando, ni tampoco tus competidores. 

Getronics apoya a las empresas de toda Alemania con las herramientas y la orientación que necesitan para avanzar con confianza. Con nuestros servicios gestionados y nuestro asesoramiento estratégico, ayudamos a las empresas a convertir la incertidumbre en claridad. Solicita una devolución de llamada para iniciar una conversación con nosotros y descubrir cómo podemos ayudarte.