NIS2 en Alemania: qué significa para las empresas el retraso en la aplicación nacional y por qué es clave prepararse

La directiva revisada de la Unión Europea sobre ciberseguridad, NIS2, entró en vigor en octubre de 2024. Su objetivo es claro: reforzar la ciberresiliencia en sectores críticos y de importancia económica, ampliar el ámbito de aplicación de las entidades cubiertas e introducir mecanismos de aplicación y rendición de cuentas más estrictos.

En Alemania, sin embargo, la transposición nacional a la legislación sigue siendo incompleta. Las transiciones políticas y los retrasos legislativos han creado incertidumbre para las organizaciones que pueden entrar en el ámbito de aplicación. Aunque los plazos de aplicación aún no se han concretado a nivel nacional, ya se conocen las obligaciones definidas a nivel de la UE.

Para las empresas alemanas, la cuestión estratégica no es si se aplicará la NIS2, sino cómo estarán preparadas cuando la implementación nacional sea vinculante. Esperar a que haya total claridad legislativa puede parecer conveniente, pero la preparación basada en los requisitos fundamentales de la directiva puede y debe comenzar ahora.

Qué requiere NIS2 y a quién se aplica 

La Directiva NIS original (2016) se centraba en las infraestructuras críticas y las empresas que las sustentan, como los grandes actores de la energía, el transporte, la banca y la sanidad. Pero la NIS2 amplía drásticamente su ámbito de aplicación.  

Esta vez, no son sólo las grandes empresas las que tienen que dar un paso adelante. Es cualquier organización que preste servicios esenciales para la economía o la sociedad, y eso incluye a muchas pequeñas y medianas empresas. 

En última instancia, el NIS2 se aplica a dos niveles de empresas: 

• Entidades esenciales, como grandes empresas de sectores críticos como la energía, la sanidad, el transporte y las infraestructuras digitales. Estas empresas suelen tener más de 250 empleados o más de 50 millones de euros de facturación.  

• Entidades importantes, como empresas medianas de sectores como la fabricación de productos críticos, la producción alimentaria, los servicios postales, los productos químicos y los servicios digitales. Por lo general, estas empresas tienen más de 50 empleados o facturan más de 10 millones de euros.  

Los umbrales de tamaño anteriores solo proporcionan una orientación general. La clasificación final depende de criterios específicos del sector, la estructura organizativa y, en determinados casos, la relevancia estratégica. Una entidad puede ser designada como esencial o importante incluso por debajo de los umbrales de tamaño si presta un servicio único y crítico. Los umbrales específicos pueden variar según el sector y deben determinarse en función del tamaño de la organización y del sector en el que opera. Una entidad puede seguir considerándose «esencial» o «importante» aunque no cumpla los criterios de tamaño, en casos específicos, como cuando es el único proveedor de un servicio crítico para la actividad social o económica.  

¿Cuáles son las expectativas? 

NIS2 exige a las empresas cubiertas que apliquen prácticas de seguridad basadas en el riesgo en todas sus operaciones. Esto incluye: 

• Gestión de riesgos: Debes realizar evaluaciones periódicas y aplicar los controles de seguridad correspondientes. 
• Gestión de incidentes: Incluida la notificación en 24 horas de incidentes significativos a los reguladores, y la notificación completa en 72 horas. 
• Continuidad de negocio y respuesta a las crisis: Planificación de la resiliencia, recuperación de desastres, copias de seguridad y procesos de comunicación de crisis. 
• Seguridad de la cadena de suministro: Eres responsable no sólo de tus propias defensas, sino también de gestionar el riesgo cibernético entre tus vendedores y proveedores de servicios. 
• Gobernanza y rendición de cuentas: NIS2 introduce la rendición de cuentas de arriba abajo. Los altos directivos deben aprobar las ciberestrategias y pueden ser considerados personalmente responsables de los fallos. 

Las multas administrativas pueden alcanzar hasta 10 millones de euros o el 2 % de la facturación anual global, lo que sea mayor. A diferencia de los regímenes anteriores, la NIS2 también permite sancionar personalmente a los ejecutivos. Para muchas empresas alemanas, especialmente las medianas, es la primera vez que se ven afectadas por la normativa cibernética de la UE. 

La situación actual en Alemania 

A pesar de que la NIS2 está en vigor en toda la UE, Alemania aún no ha aprobado su ley nacional de aplicación. 

El plan original era transponer la NIS2 a la legislación nacional a través de la "Ley de Implementación de la NIS2 y Refuerzo de la Ciberseguridad" a principios de 2025. El Gobierno anterior había aprobado un proyecto de ley. Pero la disolución del Bundestag a finales de 2024, seguida de nuevas elecciones, puso en pausa el proceso legislativo. 

Ahora, con la nueva coalición, todo el proceso debe empezar de nuevo. El Consejo de Ministros aprobó el 30 de julio la Ley de Aplicación del NIS 2 alemán, pero, según el procedimiento parlamentario, el proyecto de ley tiene que volver a presentarse, revisarse y debatirse de nuevo. En el mejor de los casos, la nueva ley nacional estaría lista a finales de 2025, pero podría no entrar en vigor hasta 2026.  

El retraso ha provocado que la Comisión Europea envíe recordatorios formales a los Estados miembros que aún no han completado la transposición. Aunque no se ha indicado ningún período de gracia formal, los plazos de aplicación dependerán en última instancia de la ley de implementación definitiva de Alemania. Lo más preocupante es que no hay indicios de que se vaya a conceder un período de gracia. Una vez que se apruebe la ley, se espera que las empresas la cumplan de inmediato. No habrá una puesta en marcha gradual ni una introducción paulatina, como ha sido el caso en otros Estados miembros de la UE.  

En la práctica, esto significa que las empresas alemanas deben actuar ahora, antes de que llegue la ley. Porque una vez que llegue, el reloj de la cuenta atrás para el cumplimiento y las multas ya estará en marcha. 

Qué hacen otros países y por qué Alemania debería tomar nota 

Mientras Alemania va a la zaga, varios países vecinos de la UE ya han publicado planes de implantación del NIS2 y han empezado a trabajar con la industria para prepararse. Sus avances son un buen ejemplo de lo que está por venir y demuestran por qué las empresas alemanas no deben esperar.  

Austria: Retrasos, pero transparencia 

Austria ha publicado un proyecto de ley revisado y ha iniciado procesos de consulta tras los retrasos políticos. Las autoridades han proporcionado orientaciones preliminares al sector para ayudar a las organizaciones a comenzar las evaluaciones preparatorias. 

Países Bajos: Plazos claros y comienzo temprano 

Los Países Bajos avanzaron rápidamente con borradores de consulta y plazos de aplicación definidos, ofreciendo a las empresas orientación normativa antes de la implementación formal. 

Los organismos reguladores neerlandeses han publicado orientaciones tempranas para ayudar a las empresas a evaluar sus riesgos, alinear su gobernanza y probar protocolos de respuesta a incidentes mucho antes de que la ley entre en vigor. 

Francia: Más lejos, más rápido 

Francia integró la NIS2 en un marco nacional de resiliencia más amplio, junto con las directivas relacionadas de la UE, haciendo hincapié en la protección de las infraestructuras críticas y la planificación de la continuidad.

En la primavera de 2025, el Parlamento ya estaba ultimando la ley. El modelo francés hace especial hincapié en las infraestructuras críticas, la planificación de la continuidad y la coordinación nacional. Es importante destacar que Francia también está ampliando las obligaciones al estilo NIS2 más allá del mínimo de la UE, incluyendo algunos municipios e instituciones de investigación. 

Cómo pueden actuar ahora las empresas alemanas 

Aunque la legislación nacional alemana llega con retraso, la directiva de la UE ya está en vigor, y esperar a que se apruebe la legislación definitiva puede exponerle a posibles multas. Esto es lo que las empresas alemanas (especialmente las que operan en sectores regulados) deben hacer ahora: 

1. Evalúa si estás dentro del ámbito de aplicación 

Empiece por lo básico: como criterio de selección inicial, las organizaciones con 50 o más empleados que operen en los sectores enumerados en los anexos I o II de la NIS2 deben asumir su posible aplicabilidad. Incluso si es proveedor de una entidad incluida en el ámbito de aplicación, puede verse afectado indirectamente. Empiece ahora mismo a mapear las funciones de su negocio, las dependencias y las clasificaciones sectoriales. Los reguladores de Austria y los Países Bajos están trabajando con las empresas basándose en borradores. Usted también puede hacerlo. 

2. Realizar un análisis de carencias 

La NIS2 exige un enfoque de gestión de la ciberseguridad documentado y basado en el riesgo. Las organizaciones deben comparar sistemáticamente los controles existentes con los requisitos de la directiva, incluidos los procedimientos de notificación de incidentes, la seguridad de la cadena de suministro, las estructuras de gobernanza y la planificación de la continuidad del negocio. 

3. Reforzar la sensibilización del personal 

NIS2 hace de la ciberseguridad una responsabilidad descendente. La dirección debe comprender sus obligaciones y asumir la estrategia cibernética. Ahora es el momento de informar a los consejos de administración, formar a los jefes de departamento y organizar talleres de concienciación en toda la empresa. La formación debe adaptarse a cada función, ya que cada una está expuesta a riesgos diferentes. La notificación de incidentes, la identificación del phishing y el tratamiento seguro de los datos sensibles son tarea de todos. 

4. En caso necesario, recurre a ayuda externa 

No todas las empresas cuentan con los recursos internos necesarios para cumplir con los requisitos de la NIS2. Los socios externos de asesoramiento o seguridad gestionada pueden proporcionar un apoyo estructurado para realizar evaluaciones, reforzar las capacidades de supervisión y ajustar la documentación a las expectativas normativas. Ya se trate de un proveedor de servicios de seguridad gestionados (MSSP) para supervisar las amenazas y responder a los incidentes, o de una consultoría para orientar la preparación del cumplimiento, no hay necesidad de reinventar la rueda. 

Herramientas como el Navegador NIS2 - desarrollado por Deutschland sicher im Netz e.V. y financiado por el Ministerio de Economía alemán, pueden ayudar a las empresas a determinar si les afecta la directiva, evaluar su situación actual y determinar los pasos siguientes. 

Además, las Cámaras de Comercio regionales (IHK), las asociaciones sectoriales y la Oficina Federal de Seguridad de la Información (BSI ) ofrecen cada vez más orientaciones, plantillas y listas de comprobación para ayudar a las PYMEs a navegar por la NIS2. 

La preparación para la NIS2 debe abordarse como una iniciativa de resiliencia estructurada, en lugar de como una lista de verificación de cumplimiento. Las organizaciones que actúen con antelación podrán armonizar la gobernanza de la ciberseguridad, la gestión de riesgos y la continuidad operativa mucho antes de que comience la aplicación formal.

El actual retraso legislativo no reduce la exposición a las amenazas cibernéticas, ni elimina las obligaciones reglamentarias futuras. Las empresas que consideren este período como un tiempo de preparación estarán mejor posicionadas cuando se active la aplicación de la normativa a nivel nacional. 

Actúa ahora para evitar multas 

NIS2 es un importante texto legislativo que reconoce que en nuestro mundo digital de alto riesgo, la resiliencia es esencial (y si tú estás en el ámbito de aplicación, obligatoria).  

Sí, Alemania se retrasa en la aplicación, pero eso no significa que puedas permitirte retrasar los preparativos. La Directiva de la UE es vinculante. Otros países se están moviendo. Y, lo que es más importante, los actores de las amenazas no están esperando, ni tampoco tus competidores. 

Getronics apoya a las empresas de toda Alemania con las herramientas y la orientación que necesitan para avanzar con confianza. Con nuestros servicios gestionados y nuestro asesoramiento estratégico, ayudamos a las empresas a convertir la incertidumbre en claridad. Solicita una devolución de llamada para iniciar una conversación con nosotros y descubrir cómo podemos ayudarte.