La próxima NIS2UmsuCG de Alemania (Ley de Implementación de la Directiva NIS-2 y Regulación de Principios Esenciales de Gestión de la Seguridad de la Información en la Administración Federal) marca un endurecimiento significativo de las normas de ciberseguridad para empresas e instituciones públicas. Basada en la Directiva NIS-2 de la UE, la ley reemplazará la actual Ley BSI y ampliará las obligaciones mucho más allá del régimen KRITIS anterior. En lugar de afectar a poco más de 800 operadores de infraestructura crítica, se espera que aplique a hasta 30,000 organizaciones en 18 sectores, incluidos energía, transporte, salud, infraestructura digital, telecomunicaciones, banca, administración pública, alimentos, químicos, gestión de residuos, manufactura y servicios digitales clave.

Bajo el nuevo marco, las entidades se clasifican como "particularmente importantes" o "importantes" según el sector y el tamaño. Las grandes empresas en los sectores del Anexo 1 y los operadores de instalaciones críticas se consideran generalmente particularmente importantes, mientras que las empresas medianas y las compañías en los sectores del Anexo 2 pueden ser clasificadas como importantes. Algunos proveedores de servicios digitales y operadores de infraestructura están cubiertos independientemente del tamaño, cuando sus servicios son críticos para el sistema. Incluso los proveedores más pequeños, especialmente los de TI y servicios gestionados en la cadena de suministro, pueden verse afectados cuando acceden a sistemas críticos o áreas sensibles. Todas las organizaciones cubiertas deberán registrarse en la Oficina Federal para la Seguridad de la Información (BSI) y demostrar su cumplimiento si se les solicita.

La ley introduce numerosas obligaciones: las empresas deben establecer y mantener un sistema de gestión de seguridad de la información basado en el riesgo; realizar evaluaciones de riesgo regulares; implementar medidas técnicas y organizativas como gestión de vulnerabilidades y parches, copia de seguridad y recuperación, control de acceso, autenticación multifactor, comunicaciones seguras y seguridad de la cadena de suministro; y asegurar la detección, reporte y respuesta a incidentes. Se aplican obligaciones de reporte con tiempo crítico, incluida la notificación inicial de incidentes graves dentro de las 24 horas, un informe de seguimiento dentro de las 72 horas, y un informe final después de un mes. Las revisiones regulares de la efectividad de la gestión de riesgos serán obligatorias, y los operadores de instalaciones críticas enfrentarán auditorías dirigidas por el BSI cada tres años.

Lo fundamental es que NIS2UmsuCG no es una directriz "blanda". Previene una aplicación y sanciones significativamente más fuertes, incluidas multas de hasta 10 millones de euros o el 2 por ciento de la facturación anual global. Las juntas directivas y los directores son personalmente responsables del cumplimiento y pueden enfrentar consecuencias individuales, incluidas prohibiciones para ocupar posiciones de gestión, por violaciones graves. Con la ley prevista para entrar en vigor hacia finales de 2025 o principios de 2026 y sin períodos de transición prolongados planeados, se aconseja a las empresas actuar ahora: evaluar si caen en las categorías críticas, comenzar a construir o actualizar un ISMS orientado a ISO 27001, involucrar al personal en todos los niveles y comprometer a los proveedores desde el principio.

Para muchas organizaciones, especialmente aquellas que recién han entrado en el ámbito, esperar hasta que se apruebe la ley será demasiado tarde. El mensaje de los expertos es claro: NIS-2 no es solo otro ejercicio de cumplimiento, sino un cambio estructural hacia una ciberseguridad más sólida en toda la economía europea. Las empresas que actúan con anticipación no solo pueden evitar sanciones, sino también fortalecer la resiliencia, proteger sus operaciones y construir confianza con clientes y socios en un entorno cibernético cada vez más hostil.