NIS2 operativo abril 2026: tres decisiones de dirección

14.04.2026

13 min de lectura

7 Min. Tiempo de lectura

La ley BSI modificada está en vigor desde el 5 de diciembre de 2025. En abril de 2026, despliega su primer efecto operativo. La implementación de la directiva NIS2 convierte la ciberseguridad en Alemania en un tema que la dirección de la empresa debe asumir personalmente. Ya no se puede delegar, ya no se puede externalizar a la división de TI, con multas de hasta 10 millones de Euros o el 2 por ciento del volumen de negocios global del grupo. La actual clasificación del National Law Review resume el núcleo del asunto: la nueva ley BSIG convierte la ciberseguridad en un tema de nivel de consejo de administración. Estado: 14 de abril de 2026.

Lo más importante en resumen

Responsabilidad personal de la dirección: En caso de infracciones graves, existe el riesgo de que se exija directamente a los directores y miembros del consejo de administración que respondan por los daños derivados del incumplimiento de las obligaciones en materia de ciberseguridad.
Multas en dos niveles: Hasta 10 millones de Euros o el 2 por ciento del volumen de negocios global del grupo por infracciones graves, hasta 7 millones de Euros o el 1,4 por ciento por infracciones leves.
Ámbito de aplicación ampliado: Alrededor de 29.000 empresas en Alemania quedan ahora bajo NIS2, frente a unas 4.500 bajo la antigua ley IT-SiG.

RelacionadoReboot Germany: Tres decisiones que permanecen en el consejo de administración/Repatriación de Cloud 2026 desde la perspectiva del CIO

Para los directivos de empresas que caen bajo NIS2, de este cambio se derivan tres decisiones concretas que deberán tomarse en las próximas semanas. Ninguna de ellas es nueva. Pero las tres cambian en su mecánica porque las consecuencias legales en caso de no tomar una decisión ahora recaen directamente en la persona del director.

La ola de advertencias de BSI a finales de marzo sobre F5 BIG-IP, Citrix NetScaler y una compromiso de la cadena de suministro Trivy ha proporcionado el primer estrés real. Tres advertencias críticas en tres semanas, cada una con un plazo de notificación de 24 horas en caso de explotación detectada. La pregunta de cuán rápido puede estar lista para tomar decisiones una dirección ha obtenido su primera respuesta concreta en abril de 2026.

Qué es jurídicamente nuevo desde diciembre de 2025

El núcleo de la modificación reside en dos cambios. El primero afecta a la responsabilidad: la dirección debe no solo decidir sobre las medidas de gestión de riesgos de ciberseguridad, sino también supervisar su implementación y seguir formándose al respecto con regularidad. El segundo cambio es la sanción: además de las multas contra la empresa, los directores pueden ser personalmente responsables si la infracción se debe a una falta de organización.

Para las grandes empresas con estructuras de cumplimiento establecidas, esto supone un ajuste gradual. Para las empresas medianas que caen por primera vez bajo la definición ampliada de NIS2, es una reevaluación. El ámbito de aplicación ampliado ahora también incluye servicios postales y de mensajería, centros de investigación, producción de alimentos, gestión de residuos y partes de la industria química.

El trabajo práctico comienza con la clasificación: ¿cae la propia empresa en la categoría de «esencial» o «importante»? Las dos categorías tienen diferentes densidades de obligaciones. Las entidades esenciales están sujetas a supervisión proactiva, las entidades importantes se examinan en función de la ocasión. La diferencia se nota en la vida cotidiana en cuanto el BSI anuncia una inspección.

Tres decisiones que ahora están sobre la mesa

De la práctica operativa de los primeros cuatro meses después de la entrada en vigor, se cristalizan tres decisiones concretas que se están trabajando en los órganos de dirección. Ninguna es una sorpresa, pero la forma en que se documentan y deciden es nueva.

Primera decisión: la arquitectura de escalada. ¿Quién decide en caso de un incidente de seguridad informática si se debe informar al BSI? El plazo de 24 horas para Early-Warning bajo NIS2 no deja tiempo para convocatorias ad-hoc de comités. La respuesta es una cadena de decisión predefinida con competencias claras: ¿quién puede decidir solo, a quién se debe informar, a partir de qué nivel de gravedad se involucra a la dirección? La mecánica detrás de esto es una matriz RACI, no un organigrama.

Segunda decisión: el orden de inversión. La gestión de riesgos bajo NIS2 exige diez áreas de acción concretas, desde la seguridad de la cadena de suministro hasta la continuidad del negocio. ¿Cuáles se implementan primero? La decisión depende del propio perfil de riesgo. Para las empresas manufactureras, la gestión de riesgos de la cadena de suministro tiene prioridad. Para los proveedores de servicios financieros, el manejo de incidentes es el componente más urgente. Para las empresas de TIC, el enfoque está en la criptografía y el control de acceso. La decisión no es una lista de verificación estándar, sino una priorización basada en la propia situación de amenaza.

Tercera decisión: la estructura de gobernanza. ¿Quién en la dirección es responsable de la ciberseguridad como área? En muchas empresas medianas no existe un rol formal de CISO, la responsabilidad recae en el jefe de TI o en un proveedor de servicios externo. La revisión de NIS2 hace que esta construcción sea arriesgada: la responsabilidad directiva recae en la dirección, no en un proveedor de servicios. La decisión puede consistir en crear un rol propio de CISO, anclar explícitamente la responsabilidad en un área de la dirección o establecer una cogobernanza documentada con un socio certificado. Lo que no funciona es la delegación tácita hasta ahora.

La prueba práctica: BSI-Advisories en marzo y abril

Los tres BSI-Advisories de finales de marzo y principios de abril fueron la primera prueba de carga para las nuevas estructuras. Vulnerabilidad en F5 BIG-IP con ejecución remota de código, Citrix NetScaler con explotación activa documentada, compromiso de la cadena de suministro de contenedores Trivy. Cada uno de estos advisories ha planteado la pregunta en las empresas que utilizan los productos afectados: ¿tenemos una obligación de informar bajo Early-Warning?

La experiencia de las primeras dos semanas muestra tres patrones. Las empresas con procesos de respuesta a incidentes claramente documentados han logrado claridad en pocas horas y han informado en caso de duda. Las empresas con procesos semi-formalizados han tardado días en tomar una decisión interna, en parte más allá del plazo de 24 horas. Las empresas que se enfrentaban por primera vez a las obligaciones de notificación de NIS2 han entendido los advisories como una llamada de atención y han establecido las estructuras que faltaban en paralelo al incidente agudo.

Ninguno de estos patrones es aceptable para la segunda mitad de 2026. A partir de julio, comenzarán las primeras auditorías importantes del BSI en instalaciones esenciales. Aquí, la calidad de la arquitectura de decisión será el tema. Una dirección que no pueda explicar con precisión en la conversación de auditoría cómo funciona la escalada, quién decide qué y cómo se mide la eficacia, arriesga mucho más que una multa final.

Una mirada más allá de NIS2

Los requisitos de ciberseguridad no están aislados. Se superponen con DORA para el sector financiero (completamente aplicable desde enero de 2025), la Ley de Resiliencia Cibernética a partir de septiembre de 2026, las leyes sectoriales NIS2 para energía y salud y la Ley de IA con la entrada en vigor de las primeras prohibiciones el 6 de abril de 2026. Para las empresas que caen bajo varios de estos regímenes, la consolidación es la única estrategia realista. Un marco de gestión de riesgos unificado que cubra todas las regulaciones relevantes ahorra a largo plazo entre un 40 y un 60 por ciento de esfuerzo en comparación con silos de cumplimiento aislados.

Lo mismo se aplica a la cuestión de la gobernanza. Quien introduce un rol de Chief AI Officer debería definir claramente las interfaces con el CISO y el delegado de protección de datos desde el principio. Los tres roles tienen solapamientos en la responsabilidad. Una delimitación clara decide si el cumplimiento se ejecuta de manera eficiente o fragmentada.

También la cuestión estratégica de qué tecnologías se incorporan a la empresa debe reevaluarse a la luz de NIS2. El tan citado movimiento hacia repatriación de la nube como respuesta a la soberanía de los datos obtiene argumentos adicionales cuando se suman criterios de decisión como cadenas de notificación, respuesta a incidentes y derechos de auditoría. Una arquitectura híbrida bien gestionada es a menudo la mejor respuesta en lugar de un simple «lift-and-shift» hacia la nube pública.

Qué es realista en los próximos 90 días

Hasta finales de junio de 2026, las empresas que empiezan ahora pueden tomar y documentar las tres decisiones mencionadas. La arquitectura de escalada se puede desarrollar en dos talleres con la dirección, la dirección de TI, el departamento jurídico y la comunicación, si se utiliza una plantilla estructurada. El orden de inversión resulta de un análisis de amenazas que un equipo de seguridad experimentado puede entregar en cuatro a seis semanas. La estructura de gobernanza es una decisión personal que se puede implementar dentro de un trimestre.

La hoja de ruta de consolidación de proveedores que muchos CIO están llevando a cabo en paralelo es un aliado natural: quien reduce el portfolio de SaaS de todos modos, puede examinar las cuestiones de gobernanza de ciberseguridad al mismo tiempo. Dos campos de decisión se convierten así en uno, con una clara ganancia de eficiencia.

Quien empieza más tarde, pierde el control sobre el calendario. Las auditorías del BSI esperadas en el tercer y cuarto trimestre de 2026 tendrán lugar sin tener en cuenta la disponibilidad de recursos internos. La decisión de comenzar hoy con tres pasos claros es la única que deja espacio para las propias prioridades. Quien espera, decide de manera indirecta, solo que bajo mucha más presión y con menos margen para una ponderación individual.

Lo que los órganos de dirección pueden aprender ahora de otras industrias

Algunas industrias han atravesado antes el desarrollo hacia la responsabilidad directiva. El sector financiero conoce estructuras comparables como MaRisk y DORA desde hace más de diez años. La experiencia allí muestra tres lecciones que se pueden transferir directamente. La primera: las decisiones documentadas son más importantes que las decisiones especialmente sofisticadas. Una justificación comprensible de por qué se pospuso una inversión resiste cualquier examen. Una decisión no escrita, pero bien pensada, no es suficiente.

La segunda lección: la verificación de la eficacia es la parte más laboriosa. Decidir medidas se resuelve en pocas reuniones. Medir la eficacia de manera regular y ajustar las medidas cuando sea necesario es un proceso continuo que consume recursos. Las instituciones financieras han creado equipos de cumplimiento dedicados para ello. Para las empresas medianas, una variante más simple con revisión anual y un panel de indicadores clave de rendimiento (KPI) trimestral suele ser suficiente.

La tercera lección: la comunicación entre la dirección y el departamento especializado debe ser estructurada. Las coordinaciones informales no son suficientes cuando, en caso de una auditoría, deben reconstruirse los canales de comunicación y los resultados de las decisiones. Una conversación mensual estructurada con un orden del día fijo y decisiones protocolizadas es el equipamiento mínimo. Quien lo complementa con una revisión anual independiente por parte de un socio externo alcanza el nivel que los auditores del BSI esperan en las instalaciones esenciales.

Una cuarta experiencia del sector financiero se suma a esto: los miembros de la dirección que han comprendido el tema alivian notablemente la carga de la dirección. Una inversión en la formación continua de la dirección se amortiza doblemente: en un riesgo de responsabilidad personal reducido y en decisiones más rápidas y fundamentadas. Un curso compacto de dos días en los próximos tres meses es una pequeña inversión con un efecto claro. Ofertas comparables existen en las academias TÜV, la formación continua de Fraunhofer y las asociaciones específicas de la industria. Quien ocupa nuevos mandatos en el consejo de supervisión ahora tiene en cuenta los conocimientos de NIS2 y DORA en la selección de candidatos – esto también es un factor sutil pero relevante para los próximos 24 meses. Las empresas que ahora se posicionan con una gran competencia no se quejarán en 2027 bajo la tercera ola de regulación, sino que la aceptarán como una condición básica.

Preguntas frecuentes

¿A partir de qué tamaño de empresa se aplica la obligación NIS2 en Alemania?

La obligación NIS2 se aplica en todos los sectores a partir de 50 empleados o 10 millones de euros de facturación anual. En sectores especialmente sensibles como la energía, la salud o la infraestructura digital, la obligación también puede aplicarse a empresas más pequeñas si su fallo tuviera consecuencias significativas. La clasificación concreta se deriva del anexo a la ley BSI modificada.

¿Cuándo se imponen realmente multas personales a los directivos?

Las multas personales no son automáticas. Requieren una negligencia organizativa culpable. El umbral es más bajo que en el derecho civil general, ya que NIS2 define requisitos mínimos claros. Quien ignora el deber de dirección, omite la formación continua o no implementa medidas de gestión de riesgos, cumple el tipo penal.

¿En qué se diferencia el deber de dirección de la Ley de Seguridad TI 2.0?

La Ley de Seguridad TI 2.0 ya establecía obligaciones de notificación para los operadores de KRITIS. La modificación de la ley BSI amplía considerablemente estas obligaciones: más empresas obligadas, catálogos de medidas más concretos, sanciones más estrictas y, por primera vez, una responsabilidad personal de la dirección para la implementación. La práctica anterior de delegar completamente la ciberseguridad al departamento de TI ya no es jurídicamente segura.

¿Cómo afecta DORA a los proveedores de servicios financieros que también están sujetos a NIS2?

DORA es lex specialis para los proveedores de servicios financieros, es decir, prevalece en sus ámbitos de exigencia. En la práctica, esto significa que las empresas financieras deben ser principalmente conformes con DORA, y los requisitos de NIS2 solo se aplican a áreas no cubiertas por DORA. Sin embargo, la estructura organizativa puede construirse de manera uniforme si la empresa toma como base los requisitos más estrictos de DORA.

¿Qué debería poder presentarse concretamente en una auditoría del BSI?

El BSI suele examinar el análisis de riesgos, el catálogo de medidas, la documentación de respuesta a incidentes, los comprobantes de formación para la dirección, las descripciones de procesos para las cadenas de notificación y la medición de la eficacia de las medidas implementadas. Todos los documentos deben estar estructurados, actualizados y fechados. Una versión continua facilita la prueba de que las mejoras se han realizado de manera sistemática.

Recomendaciones de lectura de la redacción

Más del MBF Media Netzwerk

Antes en Digital Chiefs

Digital ChiefsSmart City sin faro: Tres tipos de proyectos que los municipios alemanes realmente escalan en 2026 Digital ChiefsConsolidación de fibra óptica 2026: lo que la estrategia de ubicación del CIO debe lograr ahora Digital ChiefsEdge Computing en la industria: por qué los CIO rediseñan ahora la arquitectura de sus plantas

cloudmagazinAWS y Google Cloud lanzan una vista previa de Multicloud mybusinessfutureLa Ley de IA de la UE entra en vigor el 6 de abril de 2026 securitytodayBSI advierte sobre F5, Citrix y Trivy

Fuente imagen de título: Pexels / fauxels