NIS2 en Alemania

1. Panorama rápido de aplicabilidad para pymes en Alemania

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de aplicabilidad para pymes en Alemania?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Alemania y, en determinadas circunstancias, a los proveedores digitales extranjeros que prestan servicios al mercado alemán.

Las pymes deben evaluar el alcance en el marco del régimen nacional de ciberseguridad de Alemania en función de la clasificación sectorial y los umbrales legales.

2. Resumen de la implementación de NIS2 en Alemania

Alemania completó la transposición mediante la NIS2UmsuCG, que entró en vigor el 6 de diciembre de 2025 sin período transitorio. La ley revisa sustancialmente la Ley BSI (BSIG), ampliando el alcance de aproximadamente 4.500 a 29.000–30.000 entidades.

Alemania presenta tres desviaciones nacionales destacadas: una exención para "actividades insignificantes" en virtud del § 28(3) BSIG, y una subcategoría más estricta de "operadores de instalaciones críticas" con sistemas obligatorios de detección de ataques y pruebas trienales de cumplimiento.

Los órganos de dirección deben completar formación obligatoria en ciberseguridad al menos cada tres años (orientación del BSI: aproximadamente cuatro horas por sesión).

3. Ámbito de aplicación en Alemania

El ámbito sectorial de Alemania refleja las categorías mínimas de la Directiva, integradas en su régimen establecido de infraestructuras críticas.

4. Umbrales de tamaño y aplicabilidad a las pymes en Alemania

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos están automáticamente dentro del alcance. Alemania introduce una exención para "actividades insignificantes" (§ 28(3) BSIG) — las actividades relevantes para NIS2 que sean insignificantes en relación con el negocio global pueden no tenerse en cuenta; "insignificante" no está definido legalmente y requiere una autoevaluación cuidadosamente documentada.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios públicos.

Las autoridades alemanas conservan facultades formales de designación cuando el riesgo sistémico justifica la inclusión.

5. Marco de clasificación de entidades en Alemania

Las entidades se clasifican como:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas auditorías y un seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva activada por incidentes significativos o cuestiones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Alemania mantiene un modelo de supervisión estructurado alineado con el marco de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Alemania

El régimen nacional de Alemania se alinea con la línea base de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro de NIS2 en Alemania
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Concienciación y formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y las directrices alemanas sobre ciberseguridad.

La supervisión de la cadena de suministro incluye la debida diligencia de los proveedores y salvaguardas contractuales de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Alemania

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Según el marco normativo de Alemania:

• Los consejos son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar competencia suficiente en ciberseguridad y completar formación obligatoria en ciberseguridad al menos cada tres años (orientación del BSI ~4 h por sesión).
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La responsabilidad personal directa de los órganos de dirección está anclada en el § 38 BSIG — conforme al derecho societario aplicable o directamente bajo la Ley BSI.

Las expectativas sobre la responsabilidad de la dirección en Alemania bajo NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Alemania

9. Autoridades supervisoras y modelo de aplicación en Alemania

Autoridad principal: Oficina Federal de Seguridad de la Información (BSI).

Alemania opera un modelo de supervisión centralizado bajo el BSI, respaldado por los reguladores sectoriales cuando corresponda.

Las facultades de supervisión incluyen:

• Solicitudes de información y documentación
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de Directiva.

10. Multas y sanciones del NIS2 en Alemania

Alemania aplica sanciones administrativas alineadas con la Directiva.

Las medidas de ejecución de NIS2 en Alemania también pueden incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de entidades no conformes
• Suspensión de certificación o autorización
• Responsabilidad personal directa de los miembros del órgano de dirección en virtud del § 38 BSIG

11. Seguridad de la cadena de suministro y de proveedores según NIS2 en Alemania

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Requisitos contractuales de seguridad en cascada
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Alemania se alinea con las expectativas básicas de la Directiva para la gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Alemania

Las entidades dentro del ámbito de aplicación deben:

• Autoevaluar el alcance y registrarse en el BSI mediante un proceso de dos pasos: crear una cuenta Mein Unternehmenskonto (MUK) con certificado ELSTER y registrarse a través del portal del BSI. El plazo era el 6 de marzo de 2026 — ya vencido; las entidades no registradas deben actuar de inmediato.
• Proporcionar datos de identificación corporativa
• Divulgar la clasificación sectorial
• Mantener actualizados los contactos de notificación; comunicar cambios en un plazo de 14 días

El portal del BSI sirve tanto como plataforma de registro como centro de notificación de incidentes. Hasta completar el registro, debe utilizarse el formulario en línea de notificación de incidentes del BSI.

La autoidentificación es obligatoria — no hay notificación individual por parte de las autoridades; las entidades deben determinar y documentar su propio estado de alcance.

13. Interacción con el RGPD y otras leyes en Alemania

El Reglamento General de Protección de Datos sigue siendo de aplicación de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Notificación de una violación de la seguridad de los datos personales en un plazo de 72 horas
• Coordinación de las autoridades de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación alemana de ciberseguridad específica por sector

Un incidente de ciberseguridad puede desencadenar obligaciones de notificación en virtud de ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Alemania están supervisadas por las autoridades alemanas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en Alemania pueden estar sujetos a obligaciones nacionales según la estructura de su establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado alemán.

15. Calendario de implementación en Alemania

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: NIS2UmsuCG aprobada por el Bundestag el 13 de noviembre de 2025; ratificada por el Bundesrat; publicada el 5 de diciembre de 2025
• Entrada en vigor: 6 de diciembre de 2025 (sin período transitorio)
• Notificación a la Comisión: dictamen motivado de la CE de mayo de 2025 (previo a la promulgación); completitud en revisión tras el 6 de diciembre de 2025
• Hito de cumplimiento: plazo de registro en el BSI 6 de marzo de 2026 (vencido); portal del BSI abierto el 6 de enero de 2026; formación de la dirección cada 3 años

Alemania completó la transposición el 6 de diciembre de 2025 sin período transitorio. El plazo de registro en el BSI del 6 de marzo de 2026 ha vencido — las entidades no registradas deben actuar de inmediato.

16. Aspectos clave para las PYMES en Alemania

• Las entidades medianas en sectores cubiertos están automáticamente dentro del alcance.
• Las pequeñas entidades pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de gobernanza a nivel de consejo es obligatoria, con responsabilidad personal directa en virtud del § 38 BSIG y formación obligatoria en ciberseguridad cada tres años.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes, presentada a través del portal del BSI (abierto el 6 de enero de 2026).
• Las sanciones económicas pueden alcanzar 10 millones de € o el 2 % del volumen de negocios global.
• La gestión de riesgos de proveedores es obligatoria.
• El plazo de registro en el BSI del 6 de marzo de 2026 ha vencido — las entidades no registradas deben actuar de inmediato; la exención para "actividades insignificantes" (§ 28(3) BSIG) requiere una autoevaluación cuidadosamente documentada.

Preguntas frecuentes: Guía NIS2 para PYMES en Alemania