Cybersecurity

Su deber de ciberseguridad ahora es personal

La ley NIS2 de Alemania hace que la dirección responda personalmente por la ciberseguridad, fija un plazo de registro estricto y otorga al BSI poderes de auditoría y sanción. Lo que los propietarios deben hacer ahora.

Por Leon Soliman · 2026-06-30 · 3 min de lectura

Por qué esta ley llega más lejos de lo que cree

La Ley de Implementación de NIS2 se aplica en Alemania desde diciembre de 2025, y no solo afecta a centrales eléctricas y bancos. Abarca a unas 29.500 empresas de 18 sectores, desde la logística y la producción de alimentos hasta la fabricación de maquinaria, la gestión de residuos y los servicios digitales. El umbral es bajo. Una empresa con 50 o más empleados, o 10 millones de euros de facturación, en uno de estos sectores entra en el ámbito de aplicación por defecto.

La mayoría de los propietarios del Mittelstand nunca han pensado en su negocio como infraestructura crítica. La ley no exige esa percepción. Examina el sector y el tamaño, lo clasifica como entidad importante o especialmente importante, y le impone obligaciones de seguridad vinculantes que hace un año no existían.

El deber que recae personalmente en el propietario

El cambio más marcado es quién asume el deber. Bajo la nueva ley alemana, el órgano de dirección debe aprobar las medidas de riesgo de ciberseguridad y supervisar que estén realmente implantadas. No es una tarea que pueda delegar en un proveedor de TI y olvidar. Cuando la dirección actúa con negligencia grave o dolo, la ley permite imponer multas a las personas y, en casos graves, una prohibición temporal de ejercer un cargo directivo.

Para una empresa dirigida por su propietario, esta es la parte que importa. Quien firma por la empresa ahora firma por su postura cibernética. Un contrato de externalización impecable no traslada la responsabilidad fuera de la dirección. Solo cambia a quién llama cuando algo sale mal, y para entonces el deber ya ha sido puesto a prueba.

La lista de registro de la que nadie le habló

Estar bien defendido no basta por sí solo. Las empresas afectadas deben registrarse ante la Oficina Federal de Seguridad de la Información, el BSI, e identificarse. El plazo legal era marzo de 2026, y en esa fecha solo unas 11.500 de las aproximadamente 29.500 empresas lo habían hecho. Más de la mitad faltaban en la lista.

El BSI ha fijado una prórroga final hasta el 31 de julio de 2026 y ha indicado que examinará las primeras sanciones después de este verano. No registrarse es en sí mismo una infracción sancionable, de hasta 500.000 euros, independiente de cualquier brecha. El riesgo silencioso no es un ciberataque. Es ser una empresa que el regulador no encuentra en una lista que ahora revisa activamente.

Qué poner en marcha este trimestre

Tres pasos concentran la mayor parte del peso. Confirme si su empresa entra en el ámbito de aplicación, porque la prueba de sector y tamaño es mecánica y fácil de malinterpretar. Regístrese ante el BSI antes de la fecha límite de julio si está dentro del ámbito. Después, presente ante su órgano de dirección un proceso documentado de gestión de riesgos, para que el deber de aprobación y supervisión quede cumplido y registrado, no presupuesto.

Nada de esto requiere un gran departamento de seguridad. Requiere una lectura clara de su situación, pruebas de que la dirección ha examinado el riesgo y un registro que pueda mostrar si el regulador lo pide. Las empresas que tendrán dificultades serán las que trataron una ley nacional de ciberseguridad como una nota al pie de TI.

Leer a continuación: Tu hardware es ahora software regulado · ¿Está su ciberdefensa preparada para los ataques a velocidad de máquina?

Preguntas frecuentes

¿Se aplica NIS2 a mi empresa si no somos una empresa de servicios públicos ni un banco?

Muy probablemente. La ley abarca 18 sectores, incluidos la logística, la alimentación, la fabricación, los residuos y los servicios digitales, y se aplica a cualquier empresa de ellos con 50 o más empleados o 10 millones de euros de facturación. Muchas empresas del Mittelstand están dentro del ámbito sin darse cuenta.

¿Puedo delegar este deber en mi proveedor de TI?

No. Puede externalizar el trabajo técnico, pero la ley alemana sitúa el deber de aprobar y supervisar las medidas de ciberseguridad en el propio órgano de dirección. La responsabilidad, y la responsabilidad personal, permanecen en la dirección.

¿Cuál es el riesgo inmediato si no nos hemos registrado?

No registrarse ante el BSI es una infracción sancionable independiente de hasta 500.000 euros, y el plazo final es el 31 de julio de 2026. Después de esa fecha, el BSI ha dicho que examinará las sanciones, empezando por los incumplimientos claros de registro.

Una ley que designa a su órgano de dirección por su función no espera a un incidente para volverse real. El deber ya está vigente, y la única pregunta abierta es si sus pruebas también lo están.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola

Más del Servola Journal

Cybersecurity

Tu hardware es ahora software regulado

2026-06-28 · 3 min de lectura

Leer el artículo →

Cybersecurity

¿Está su ciberdefensa preparada para los ataques a velocidad de máquina?

2026-06-23 · 2 min de lectura

Leer el artículo →

AI Regulation

Alemania ya tiene un regulador de IA con nombre propio

2026-06-29 · 3 min de lectura

Leer el artículo →

Servola

Servola ayuda a propietarios y consejos del Mittelstand a entender dónde los sitúa NIS2 y a construir la gobernanza que la ley ahora exige.

Solicitar una presentación privada Sobre Servola →

Servola es asesoría tecnológica para un reducido número de familias y family offices. Cuando una decisión no se puede delegar, nos sentamos de su lado de la mesa.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Todos los artículos