1 minuto de lectura
La ley para transponer la Directiva NIS2 al ordenamiento jurídico alemán no ha logrado, de momento, la mayoría necesaria en el Bundestag. Con ello, el proceso legislativo se retrasa al menos hasta el otoño. En su análisis, Jörg Schumann, director general de la empresa de servicios informáticos Net-D-Sign, examina las causas y las consecuencias de este desarrollo para las empresas.
Lo más importante en resumen
- La Directiva NIS2 fue aprobada por el Parlamento Europeo en 2022, pero aún no se ha transpuesto al ordenamiento jurídico alemán.
- El Reglamento de Ejecución (UE) 2024/2690 entró en vigor el 7 de noviembre de 2024 como derecho directamente aplicable en todos los Estados miembros de la UE.
- Los proveedores de infraestructuras digitales ya deben cumplir con los requisitos de la NIS2.
- Bélgica, Dinamarca e Italia ya han incorporado la NIS2 a su legislación nacional.
- Las empresas arriesgan la pérdida de contratos si no cumplen con los estándares de ciberseguridad exigidos en sus cadenas de suministro.
«Ya en diciembre de 2022, el Parlamento Europeo aprobó la Directiva NIS2. Sin embargo, el actual Bundestag alemán no pudo tramitar ni aprobar, antes de las elecciones generales, la denominada Ley de Transposición de la NIS2 y Refuerzo de la Ciberseguridad (NIS2UmsuCG). Asimismo, se ha retrasado también el previsto Proyecto de Ley Marco para Infraestructuras Críticas (KRITIS-Dachgesetz), que debía incluir nuevas regulaciones específicas para dichas infraestructuras.»
Mientras países como Bélgica, Dinamarca e Italia ya han incorporado la Directiva NIS2 a su derecho nacional, su transposición en Alemania se prolongará aún más: solo tras las próximas elecciones al Bundestag podrá retomarse su tramitación parlamentaria.
«A pesar de este estancamiento político, las empresas no deben subestimar la urgencia del asunto. Por un lado, la amenaza a la que se enfrentan las organizaciones – de cualquier tamaño – es hoy mayor que nunca. Esta realidad, por sí sola, exige reforzar su ciberresiliencia, para lo cual la Directiva NIS2 constituye una excelente guía de referencia.»
Por otro lado, desde el 7 de noviembre de 2024 está vigente el Reglamento de Ejecución (UE) 2024/2690 relativo a la NIS2, que establece requisitos concretos en materia de medidas de ciberseguridad para las empresas que operan en infraestructuras digitales.
Jörg Schumann, director general de Net-D-Sign. Fuente de la imagen: Net-D-Sign.
«Este reglamento es de aplicación directa en todos los Estados miembros de la UE, independientemente de su transposición nacional. Por tanto, los proveedores de infraestructuras y servicios digitales ya están vinculados por sus disposiciones. Además, deben tenerse en cuenta las dependencias derivadas de las cadenas de suministro: cada vez más grandes empresas exigen que también sus socios comerciales cumplan con los estándares de ciberseguridad. Quien no actúe de forma proactiva en este ámbito corre el riesgo de perder contratos.»
Así pues, aunque la configuración legal concreta de la Directiva NIS2 en Alemania siga aún pendiente, las empresas deben actuar ya.
«Quien crea que puede esperar a que la ley entre oficialmente en vigor comete un grave error. La NIS2 se transpondrá al derecho nacional a lo largo de este año, previsiblemente antes del otoño de 2025. Es muy probable que la norma correspondiente entre en vigor de forma inmediata, sin período transitorio. Las empresas no pueden limitarse a esperar hasta entonces: ya ahora deben invertir en medidas de ciberseguridad, establecer procesos de gestión de riesgos y orientarse en todo momento en las disposiciones europeas ya existentes.»
Preguntas frecuentes
¿Cuándo entró en vigor el Reglamento de Ejecución de la Directiva NIS2?
El Reglamento de Ejecución (UE) 2024/2690 entró en vigor el 7 de noviembre de 2024. Es directamente aplicable en todos los Estados miembros de la Unión Europea.
¿Por qué es relevante ahora la NIS2 para las empresas en Alemania?
Aunque la transposición nacional sigue retrasada, el Reglamento de Ejecución de la UE ya es de aplicación directa. Además, las grandes empresas exigen cada vez más estándares de ciberseguridad a sus socios comerciales.
¿Qué países han transpuesto ya la Directiva NIS2?
Bélgica, Dinamarca e Italia ya han incorporado la Directiva NIS2 (Directiva sobre seguridad de las redes y sistemas de información) a su ordenamiento jurídico nacional. En Alemania, el proceso de transposición sigue en curso.
¿Existe en Alemania un período de transición para la aplicación de la NIS2?
Es probable que la Ley alemana sobre la transposición de la NIS2 (NIS2UmsuCG) entre en vigor sin período de transición. Por tanto, las empresas no deben esperar.
¿Qué consecuencias puede acarrear el incumplimiento de los requisitos de la NIS2?
Las empresas se exponen a sanciones legales y a la pérdida de contratos, especialmente debido a los requisitos de ciberseguridad impuestos por grandes socios comerciales en sus cadenas de suministro.
Recomendaciones de lectura de la redacción
- API primero: ¿por qué el diseño de las API decide el éxito o el fracaso de las arquitecturas cloud modernas?
- Pretext: ¿una biblioteca JavaScript resuelve el problema de 30 años en los navegadores o es solo una moda pasajera?
- AWS frente a Azure frente a Google Cloud 2026: comparativa sincera para empresas de Alemania, Austria y Suiza (DACH)
Más del ecosistema mediático de MBF
SecurityToday | MyBusinessFuture | Digital Chiefs
Fuente de la imagen principal: Unsplash / hoch3fotografie
