Cualquiera que no proteja bien sus sistemas de TI está corriendo un gran riesgo.

Tras numerosos retrasos, el gobierno federal alemán planea incorporar a la legislación las normas adoptadas por la Unión Europea para proteger importantes instalaciones y empresas de ciberataques a principios de 2026. «El Ministerio Federal del Interior está impulsando este asunto a toda marcha», declaró Claudia Plattner, presidenta de la Oficina Federal de Seguridad de la Información (BSI), a la Agencia de Prensa Alemana. «Espero que podamos lograr su entrada en vigor a principios de 2026». Según el Ministerio del Interior, los estados y las asociaciones afectadas fueron consultados sobre el borrador a principios de julio.

La implementación de la Directiva Europea NIS 2 tiene como objetivo mejorar la ciberseguridad de empresas e instituciones. Grandes empresas de los sectores de la energía, el transporte, el agua potable, la producción de alimentos, el saneamiento y las telecomunicaciones se consideran instituciones importantes según la ley. La idea es que si no pudieran operar, por ejemplo, porque un hacker hubiera cifrado sus datos o bloqueado el acceso a ellos, esto tendría un impacto significativo en la población.

Se prevé que la obligación de implementar ciertas medidas de seguridad para defenderse y responder a los ciberataques afecte a unas 29.000 empresas en el futuro, una cifra significativamente mayor que antes. La BSI actualmente apoya a aproximadamente 4.500 operadores de infraestructura crítica que deben cumplir con ciertos estándares de ciberseguridad.

La "Prueba de Impacto NIS-2" lleva funcionando en línea unos cuatro meses. Esto permite a cualquier persona saber si las regulaciones más estrictas previstas le son aplicables. Según la BSI, la prueba ya se ha utilizado más de 200.000 veces. Sin embargo, Plattner considera que "muchos de los afectados aún desconocen plenamente los requisitos que se les impondrán a las empresas e instituciones afectadas".

El plazo para la Directiva NIS 2 expiró el 17 de octubre de 2024. Todos los Estados miembros de la UE debían transponer la directiva a su legislación nacional antes de esa fecha. Alemania y muchos otros Estados miembros de la UE no cumplieron con el plazo. La coalición "semáforo" había aprobado un proyecto de ley correspondiente en el gabinete en julio de 2024. Sin embargo, tras el colapso de la coalición del SPD, los Verdes y el FDP, ya no contaba con mayoría en el Bundestag. "Como no lo logramos en la última legislatura, necesitamos actuar con rapidez", advierte el presidente del BSI.