NIS2 en Alemania: qué supone para las empresas el retraso en la aplicación a nivel nacional y por qué es fundamental prepararse

En Alemania, sin embargo, la transposición a la legislación nacional sigue sin completarse. Los cambios políticos y los retrasos legislativos han generado incertidumbre entre las organizaciones que podrían entrar en el ámbito de aplicación. Aunque los plazos de aplicación aún no se han concretado a nivel nacional, ya se conocen las obligaciones definidas a nivel de la UE.

Para las empresas alemanas, la cuestión estratégica no es si se aplicará la NIS2, sino en qué medida estarán preparadas cuando su aplicación a nivel nacional sea vinculante. Esperar a que haya total claridad legislativa puede parecer conveniente, pero la preparación basada en los requisitos fundamentales de la directiva puede y debe comenzar ya.
 

Qué exige la NIS2 y a quiénes se aplica
La Directiva NIS original (2016) se centraba en las infraestructuras críticas y en las empresas responsables de ellas, como los grandes operadores de los sectores de la energía, el transporte, la banca y la sanidad. Sin embargo, la NIS2 amplía su ámbito de aplicación de forma considerable.  

En esta ocasión, no solo las grandes empresas deben dar un paso al frente. Se trata de cualquier organización que preste servicios esenciales para la economía o la sociedad, lo que incluye a muchas pequeñas y medianas empresas.

En definitiva, la NIS2 se aplica a dos categorías de empresas:

• Entidades esenciales, como las grandes empresas de sectores críticos como la energía, la sanidad, el transporte y las infraestructuras digitales. Estas empresas suelen tener más de 250 empleados o una facturación superior a 50 millones de euros.  
• Entidades importantes, como las empresas medianas de sectores tales como la fabricación de productos esenciales, la producción alimentaria, los servicios postales, la industria química y los servicios digitales. Estas empresas suelen tener más de 50 empleados o una facturación superior a los 10 millones de euros.  
   

Los umbrales de tamaño indicados anteriormente sirven únicamente como orientación general. La clasificación definitiva depende de criterios específicos de cada sector, de la estructura organizativa y, en determinados casos, de la relevancia estratégica. Una entidad puede ser designada como esencial o importante incluso por debajo de los umbrales de tamaño si presta un servicio de importancia crítica única. Los umbrales específicos pueden variar según el sector y deben determinarse en función del tamaño de la organización y del sector en el que opera. Una entidad puede seguir considerándose «esencial» o «importante» aunque no cumpla los criterios de tamaño, en casos concretos, como cuando es el único proveedor de un servicio crítico para la actividad social o económica.  

Entonces, ¿cuáles son las expectativas?
La norma NIS2 exige a las empresas afectadas que apliquen prácticas de seguridad basadas en el riesgo en todas sus operaciones. Esto incluye:

• Gestión de riesgos: Debes realizar evaluaciones periódicas y aplicar los controles de seguridad correspondientes. 
• Gestión de incidentes: incluye la notificación en un plazo de 24 horas de los incidentes significativos a las autoridades reguladoras, así como la presentación de un informe completo en un plazo de 72 horas. 
• Continuidad del negocio y respuesta ante crisis: planificación de la resiliencia, recuperación ante desastres, copias de seguridad y procesos de comunicación en situaciones de crisis. 
• Seguridad de la cadena de suministro: Eres responsable no solo de tus propias medidas de protección, sino también de gestionar el riesgo cibernético en el conjunto de tus proveedores y prestadores de servicios. 
• Gobernanza y rendición de cuentas: La NIS2 introduce un sistema de rendición de cuentas de arriba abajo. La alta dirección debe aprobar las estrategias cibernéticas y puede ser considerada responsable personalmente en caso de fallos. 
   

Las multas administrativas pueden ascender hasta 10 millones de euros o el 2 % de la facturación anual global, el importe que sea mayor. A diferencia de los regímenes anteriores, la NIS2 también permite sancionar personalmente a los directivos. Para muchas empresas alemanas, especialmente las del Mittelstand, es la primera vez que se ven afectadas por la normativa cibernética a escala de la UE.

La situación actual en Alemania
A pesar de que la Directiva NIS2 ya está en vigor en toda la UE, Alemania aún no ha aprobado su ley nacional de transposición.

El plan original consistía en transponer la NIS2 al ordenamiento jurídico nacional mediante la «Ley de aplicación de la NIS2 y de refuerzo de la ciberseguridad» a principios de 2025. El Gobierno anterior ya había aprobado un proyecto de ley. Sin embargo, la disolución del Bundestag a finales de 2024, seguida de nuevas elecciones, paralizó el proceso legislativo.

Ahora, con la nueva coalición, todo el proceso debe empezar de nuevo. La Ley alemana de aplicación de la Directiva NIS 2 fue aprobada por el Consejo de Ministros el 30 de julio, pero, según el procedimiento parlamentario, el proyecto de ley debe volver a presentarse, revisarse y debatirse de nuevo. En el mejor de los casos, habría una nueva ley nacional a finales de 2025, pero podría ser en 2026 cuando entre en vigor.  

Este retraso ha dado lugar a que la Comisión Europea haya enviado recordatorios formales a los Estados miembros que aún no han completado la transposición. Aunque no se ha indicado ningún plazo de gracia formal, los plazos de aplicación dependerán en última instancia de la ley de transposición definitiva de Alemania. Lo más preocupante es que no hay indicios de que vaya a haber un plazo de gracia. Una vez aprobada la ley, se esperará que las empresas cumplan con ella de forma inmediata. No habrá una puesta en marcha gradual ni una introducción progresiva, como ha sido el caso en otros Estados miembros de la UE.  

En la práctica, esto significa que las empresas alemanas deben actuar ahora, antes de que entre en vigor la ley. Porque, una vez que lo haga, ya habrá comenzado la cuenta atrás para el cumplimiento de la normativa y la imposición de multas.

Qué están haciendo otros países y por qué Alemania debería tomar nota
Mientras Alemania se queda atrás, varios países vecinos de la UE ya han publicado sus planes de aplicación de la Directiva NIS2 y han comenzado a colaborar con el sector para prepararse. Sus avances ofrecen una perspectiva útil de lo que está por venir e ilustran por qué las empresas alemanas no deberían esperar.  

Austria: retrasos, pero transparencia
Austria ha publicado un proyecto de ley revisado y ha puesto en marcha procesos de consulta tras los retrasos políticos. Las autoridades han facilitado orientaciones preliminares por sectores para ayudar a las organizaciones a iniciar las evaluaciones preparatorias.

Países Bajos: Plazos claros y un inicio temprano
Los Países Bajos se adelantaron con borradores de consulta y definieron plazos concretos para la aplicación de la normativa, lo que permitió ofrecer a las empresas orientación normativa antes de la entrada en vigor oficial.

Es fundamental destacar que las autoridades reguladoras neerlandesas han publicado unas directrices preliminares que ayudan a las empresas a evaluar sus riesgos, adaptar su gobernanza y poner a prueba los protocolos de respuesta ante incidentes mucho antes de que la ley entre en vigor.

Francia: Ir más allá, más rápido
Francia ha integrado la NIS2 en un marco nacional de resiliencia más amplio, junto con las directivas de la UE relacionadas, haciendo hincapié en la protección de las infraestructuras críticas y la planificación de la continuidad de las operaciones.

En la primavera de 2025, la ley ya se estaba ultimando en el Parlamento. El modelo francés hace especial hincapié en las infraestructuras críticas, la planificación de la continuidad de las actividades y la coordinación nacional. Cabe destacar que Francia también está ampliando las obligaciones al estilo de la NIS2 más allá de los requisitos mínimos de la UE, incluyendo a algunos municipios e instituciones de investigación.

Cómo pueden actuar ahora las empresas alemanas
Aunque la legislación nacional alemana se ha retrasado, la directiva de la UE ya está en vigor, y esperar a que se apruebe la legislación definitiva te expone a posibles multas. Esto es lo que deberían hacer ahora las empresas alemanas (especialmente las que operan en sectores regulados):

1. Evalúa si entras en el ámbito de aplicación
Empieza por lo básico: como criterio de selección inicial, las organizaciones con 50 o más empleados que operen en los sectores enumerados en los anexos I o II de la Directiva NIS2 deben dar por hecho que la normativa les es potencialmente aplicable. Incluso si eres proveedor de una entidad incluida en el ámbito de aplicación, es posible que te veas afectado de forma indirecta. Empieza ya a identificar tus funciones empresariales, dependencias y clasificaciones sectoriales. Las autoridades reguladoras de Austria y los Países Bajos están colaborando con las empresas a partir de borradores. Tú también puedes hacerlo.

2. Realizar un análisis de deficiencias
La NIS2 exige un enfoque de gestión de la ciberseguridad documentado y basado en el riesgo. Las organizaciones deben comparar de forma sistemática los controles existentes con los requisitos de la directiva, incluidos los procedimientos de notificación de incidentes, la seguridad de la cadena de suministro, las estructuras de gobernanza y la planificación de la continuidad del negocio.

3. Reforzar la concienciación del personal
La norma NIS2 establece que la ciberseguridad es una responsabilidad que va de arriba abajo. Los directivos deben comprender sus obligaciones y asumir la responsabilidad de la estrategia cibernética. Es el momento de informar a los consejos de administración, formar a los jefes de departamento y organizar talleres de concienciación en toda la empresa. La formación debe adaptarse a cada caso, ya que los distintos puestos están expuestos a riesgos diferentes. La notificación de incidentes, la identificación del phishing y el tratamiento seguro de los datos confidenciales son responsabilidad de todos.

4. Recurrir a ayuda externa si es necesario
No todas las empresas cuentan con los recursos internos necesarios para cumplir con los requisitos de la NIS2. Los socios externos de asesoramiento o de seguridad gestionada pueden proporcionar apoyo estructurado a la hora de realizar evaluaciones, reforzar las capacidades de supervisión y adaptar la documentación a las expectativas normativas. Ya se trate de un proveedor de servicios de seguridad gestionada (MSSP) para supervisar las amenazas y responder a los incidentes, o de una consultora que oriente en la preparación para el cumplimiento normativo, no hay necesidad de reinventar la rueda.

Herramientas como el NIS2 Navigator — desarrollado por Deutschland sicher im Netz e.V. y financiado por el Ministerio de Economía alemán— pueden ayudar a las empresas a determinar si se ven afectadas por la directiva, evaluar su situación actual e identificar los próximos pasos a seguir.

Además, las cámaras de comercio regionales (IHK), las asociaciones sectoriales y la BSI (Oficina Federal de Seguridad de la Información) ofrecen cada vez más orientación, plantillas y listas de verificación para ayudar, en particular, a las pymes a adaptarse a la NIS2.

La preparación para la NIS2 debe abordarse como una iniciativa estructurada de resiliencia, más que como una simple lista de verificación de cumplimiento. Las organizaciones que actúen con antelación podrán armonizar la gobernanza de la ciberseguridad, la gestión de riesgos y la continuidad operativa mucho antes de que comience la aplicación formal de la normativa.

El actual retraso legislativo no reduce la exposición a las amenazas cibernéticas, ni elimina las futuras obligaciones normativas. Las empresas que consideren este periodo como un tiempo de preparación estarán mejor preparadas cuando la normativa nacional entre en vigor.

Actúa ya para evitar multas
La NIS2 es una importante normativa que reconoce que, en nuestro mundo digital de alto riesgo, la resiliencia es esencial (y, si tu organización entra dentro de su ámbito de aplicación, obligatoria).  

Sí, Alemania se está retrasando en la aplicación, pero eso no significa que puedas permitirte retrasar los preparativos. La Directiva de la UE es vinculante. Otros países ya están tomando medidas. Y, lo que es más importante, los atacantes no están esperando, ni tampoco tus competidores.

Getronics apoya a las empresas de toda Alemania proporcionándoles las herramientas y el asesoramiento que necesitan para avanzar con confianza. Gracias a nuestros servicios gestionados y a nuestro asesoramiento estratégico, ayudamos a las empresas a convertir la incertidumbre en claridad. Solicita que te llamemos para iniciar una conversación con nosotros y descubrir cómo podemos ayudarte.