Multa NIS-2: sanciones y responsabilidad directiva 2026

El marco sancionador de la Directiva NIS-2 es estricto. La dirección y los órganos de administración responden personalmente. Este artículo describe el rango de multas, la práctica supervisora del BSI y los pasos operativos con los que un consejo de empresa mediana o de grupo reduce el riesgo sancionador de forma medible en 90 días.

Multa NIS-2: marco sancionador desde 2026

La Directiva NIS-2 de la UE fija dos categorías de sanción. Las entidades esenciales soportan un riesgo de multa de hasta 10 millones de euros o el 2% de la facturación mundial anual del ejercicio anterior. Se aplica el importe más alto. Las entidades importantes llegan a 7 millones de euros o el 1,4% de la facturación mundial anual, también el importe que resulte mayor.

La base de cálculo se refiere a la facturación del grupo, no a la de la filial individual. Una GmbH alemana con 80 millones de euros de facturación, perteneciente a un grupo con 4.000 millones de euros de facturación total, se evalúa sobre la cifra del grupo. La multa puede situarse muy por encima del resultado operativo de la unidad afectada.

La autoridad supervisora competente en Alemania es el BSI, con potestad de instrucción, inspección y sanción según la ley alemana de transposición de NIS-2. Las multas NIS-2 son acumulables con las sanciones del RGPD cuando el mismo incidente afecta tanto a datos personales como a la seguridad de red. En un incidente de ransomware con exfiltración de datos, ambos procedimientos corren en paralelo.

Siguiente paso: Visión general de cumplimiento NIS-2.

Responsabilidad personal de la dirección según NIS-2

La dirección responde personalmente por la falta de implementación de las medidas de gestión de riesgos conforme al Artículo 21 NIS-2. La aprobación de las medidas por los órganos de gobierno es obligatoria por ley. La delegación en el CISO no exime al consejo. La ley exige una intervención activa y un acuerdo documentado.

La obligación de formación en ciberseguridad para la dirección tampoco es delegable. Los consejeros deben acreditar que ellos mismos han sido formados, no solo sus empleados. Un certificado de asistencia debe incorporarse al expediente personal y al dossier de auditoría.

Los seguros D&O excluyen habitualmente los incumplimientos dolosos. Quien conoce las medidas NIS-2 y no las implementa arriesga la pérdida de cobertura. El consejo de vigilancia tiene un deber secundario de supervisión. Ante la inacción, el consejo de vigilancia puede ser corresponsable, en particular si ha recibido informes sobre deficiencias NIS-2 abiertas y no ha exigido corrección.

Siguiente paso: Responsabilidad directiva en detalle.

Qué empresas están afectadas

NIS-2 cubre 18 sectores. 11 de ellos se consideran esenciales (energía, transporte, banca, infraestructura del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, proveedores TIC, administración pública, espacio). 7 sectores adicionales se consideran importantes (correos, residuos, química, alimentación, industria manufacturera, proveedores digitales, investigación).

El umbral se sitúa en 50 empleados o 10 millones de euros de facturación anual dentro de esos sectores. Los operadores KRITIS quedan automáticamente bajo entidades esenciales con independencia de su tamaño. La BSI-KritisV define los umbrales para instalaciones KRITIS por sector.

Proveedores y prestadores quedan incluidos a través de la cláusula de cadena de suministro del Artículo 21 apartado 2 letra d. Quien actúa como proveedor crítico de un obligado NIS-2 debe asumir los requisitos por contrato. La autoclasificación es obligatoria. No existe una práctica de resolución administrativa como en la antigua lógica BSI-KritisV. La obligación de registro ante el BSI rige dentro del plazo legal tras la entrada en vigor de la ley nacional de transposición.

Siguiente paso: Requisitos KRITIS en detalle.

Obligaciones operativas con relevancia sancionadora

La obligación de notificación es escalonada. Ante un incidente de seguridad significativo, debe enviarse un aviso temprano al BSI en 24 horas. Sigue una notificación cualificada del incidente en 72 horas. Un informe final debe presentarse en un mes. Los incumplimientos de la obligación de notificación son sancionables de forma independiente.

Las medidas de gestión de riesgos del Artículo 21 cubren diez áreas mínimas: análisis de riesgos, gestión de incidentes de seguridad, continuidad de negocio y gestión de crisis, seguridad de la cadena de suministro, seguridad en la adquisición y el desarrollo, evaluación de la eficacia, ciberhigiene básica y formación, criptografía, seguridad del personal y control de acceso, autenticación multifactor, así como seguridad de las instalaciones y control físico de acceso.

La gestión del riesgo de la cadena de suministro exige una evaluación documentada de los prestadores críticos. Una lista no basta. Se necesita una clasificación de riesgo, cláusulas contractuales de seguridad y una vía de escalado. La continuidad de negocio y la gestión de copias de seguridad deben acreditarse con pruebas de restauración. Una copia de seguridad nunca restaurada se considera inexistente en auditoría. La acreditación de todas las medidas debe estar disponible de forma auditable para el BSI, habitualmente como dossier central de cumplimiento con control de versiones.

Seguridad física como requisito NIS-2

El Artículo 21 apartado 2 letra e de la Directiva NIS-2 exige expresamente medidas de seguridad de las instalaciones y de control físico de acceso. Esta exigencia se pasa por alto con frecuencia en el debate sobre NIS-2. Quien implementa de forma ejemplar la parte ciber pero protege la sala de servidores con una llave de los años 90 no cumple la directiva.

Perímetro, sala de servidores e instalaciones críticas deben definirse y vigilarse como zonas protegidas. La definición pertenece al plan de seguridad, la vigilancia a la operación. Una ronda 24/7 con lagunas se evalúa como vulnerabilidad en la auditoría tras incidente y es documentable. Si un Posten no realiza una ronda documentada entre las 02:00 y las 06:00 horas, esa laguna será calificada por el BSI tras un incidente como omisión organizativa.

La robótica autónoma de patrulla cierra la laguna de ronda y aporta a la vez una traza de auditoría vía registro de sensores. Cada ronda, cada anomalía, cada contacto térmico queda registrado con marca de tiempo. QR-2 para perímetros exteriores 24/7 y QR-3 para emplazamientos KRITIS entregan datos de movimiento, térmicos y LiDAR como prueba auditable. A diferencia de los Posten humanos, no hay pausa por cambio de turno ni excesos de descanso.

Supervisión BSI: inspecciones y requerimientos

La práctica supervisora distingue entre ambas categorías. Las entidades esenciales están sujetas a supervisión proactiva. El BSI puede ordenar inspecciones in situ, auditorías y acceso a documentación sin causa previa. Las entidades importantes se inspeccionan de forma reactiva, a raíz de incidentes, denuncias o reclamaciones de terceros.

El BSI puede dictar instrucciones vinculantes. En casos extremos incluye la prohibición temporal de actividad para personas con funciones directivas. Esa sanción se dirige a consejos y gerentes que tras requerimiento siguen sin implementar medidas. Pueden ordenarse certificaciones obligatorias según especificaciones del BSI, por ejemplo una certificación ISO 27001 con extensión sectorial del BSI.

La publicación de los incumplimientos está prevista como sanción adicional. El BSI puede hacer público el nombre de la empresa, el tipo de infracción y la multa impuesta. El daño reputacional impacta a proveedores B2B en licitaciones y a oferentes B2C en la confianza del cliente.

Evitar la multa: plan de medidas a 90 días

Días 1 a 14: autoclasificación según los criterios sectoriales y de umbral. Registro en el BSI a través del portal de notificación. Fijación por escrito de la responsabilidad NIS-2 en la dirección, idealmente como acuerdo de consejo o de gerencia con acta.

Días 15 a 45: análisis de brechas frente a las diez áreas de gestión de riesgos del Artículo 21. Evaluación de cada área en una lógica de semáforo. Priorización de los campos rojos según riesgo sancionador y esfuerzo de implementación. Cadena de suministro y seguridad física son por experiencia las áreas más débiles.

Días 46 a 75: implementación de las medidas de seguridad física. Protección perimetral, control de acceso, videovigilancia con grabación, ronda 24/7. Aquí entra la robótica cuando el coste de personal hace caer la rentabilidad.

Días 76 a 90: probar los procesos de notificación con un ejercicio, por ejemplo una simulación tabletop de un incidente de ransomware. Realizar y documentar la formación en ciberseguridad de los órganos de gobierno. Actualizar los contratos con proveedores incorporando cláusulas de seguridad, empezando por los cinco prestadores con mayor facturación.

Acompañando a todas las fases: construir el rastro de auditoría. Cada medida, cada formación, cada prueba se archiva en el dossier central de cumplimiento. En una inspección del BSI decide la documentación, no la declaración verbal.

Comparativa de coste: cumplimiento frente a sanción

Un Posten 24/7 cuesta según las cifras sectoriales del BDSW entre 15.000 y 25.000 euros mensuales, en función de zona tarifaria, cualificación y pluses de turno. El Posten cubre una posición. Un emplazamiento con dos Posten y un relevo se sitúa entre 50.000 y 75.000 euros al mes.

Un robot de patrulla QR-2 en modelo RaaS cuesta 3.500 euros mensuales, un QR-3 para perímetro exterior KRITIS se sitúa por encima, según la dotación de sensores y el perfil del terreno. Robotics-as-a-Service elimina el CapEx, el operador paga una cuota mensual y recibe registro de sensores y mantenimiento en el paquete. La traza de auditoría aparece como subproducto.

Una única multa NIS-2 para un grupo mediano con 500 millones de euros de facturación de grupo: hasta 10 millones de euros. Los costes anuales de una seguridad física plenamente conforme con NIS-2 se sitúan habitualmente entre 60.000 y 120.000 euros, según número de emplazamientos y clasificación de riesgo. La relación es inequívoca.

El daño reputacional por la publicación del incumplimiento supera con frecuencia el valor monetario. Una infracción publicada permanece años en los índices, aparece en procesos de due diligence y encarece la siguiente negociación crediticia. Los detalles de la estructura de coste se encuentran en la comparativa de coste del servicio de seguridad y en el modelo Robotics-as-a-Service.

Quien toma en serio el marco sancionador empieza por la autoclasificación y un análisis de brechas. El acceso a una implementación NIS-2 estructurada se encuentra en Visión general de cumplimiento NIS-2.