El 82 % de los responsables de seguridad alemanes considera útil o necesaria la directiva europea de ciberseguridad NIS2. Sin embargo, más de la mitad no ha confirmado si su organización está legalmente obligada a registrarse, una brecha que, según un nuevo Everpure estudio, deja a los directivos personalmente expuestos.

Los resultados provienen del estudio «NIS2 Reality Check 2026», una encuesta a 202 directores de seguridad de la información (CISO) y responsables de seguridad informática de sectores relevantes para la NIS2 en Alemania, realizada por Cint por encargo de Everpure en mayo de 2026. Los autores del estudio hablan de una «paradoja de aceptación»: una fuerte aceptación estratégica combinada con una base técnica y organizativa aún incompleta.

El estatus de registro sigue sin resolverse para la mitad de los encuestados. La NIS2 obliga a las organizaciones que prestan servicios críticos a registrarse ante la Oficina Federal alemana de Seguridad de la Información (BSI). El plazo se ha ampliado hasta el 31 de julio de 2026; hasta mayo, según el estudio, unas 18.500 de las aproximadamente 29.000 organizaciones afectadas habían completado el registro.

Entre los encuestados, el 72,3 % afirmó que su organización presta servicios críticos a usuarios en la UE, un criterio clave para quedar sujeta a la NIS2. Sin embargo, solo el 47,0 % había verificado formalmente su obligación de registro. Casi el 30 % dijo que la comprobación seguía pendiente, y el 23,8 % no pudo responder a la pregunta, lo que apunta a la complejidad jurídica de la clasificación NIS2 entre sectores y cadenas de suministro.

Brechas de gobernanza, responsabilidad personal

La NIS2 traslada explícitamente la responsabilidad de la gestión de riesgos de ciberseguridad al nivel directivo. Según el artículo 20 de la directiva, los órganos de dirección deben aprobar y supervisar activamente las medidas de gestión de riesgos. El derecho societario alemán añade presión adicional: conforme al artículo 43 de la Ley de Sociedades de Responsabilidad Limitada (GmbHG), los directores gerentes pueden responder personalmente con su patrimonio privado por incumplimientos del deber de diligencia, y delegar la responsabilidad en un CISO no exime automáticamente de esa obligación.

Pese a ello, el 50,5 % de las organizaciones encuestadas afirmó operar sin responsabilidades internas claramente definidas para la implementación de la NIS2. El estudio atribuye parte del problema a una desconexión estructural: los equipos de seguridad suelen impulsar la implementación técnica mientras la rendición de cuentas formal a nivel directivo todavía no se ha formalizado.

Detección y el plazo de notificación de 24 horas

El régimen de notificación de incidentes de la NIS2, establecido en el artículo 23 de la directiva y el artículo 32 de la Ley BSI alemana, exige una alerta temprana en un plazo de 24 horas tras un incidente significativo, un informe de seguimiento con indicadores de compromiso en 72 horas y un informe final con análisis de causa raíz en el plazo de un mes.

Cumplir con estos plazos depende de la visibilidad sobre la infraestructura de TI. Según el estudio, el 53,5 % de las organizaciones no ha definido un sistema de gestión de eventos e información de seguridad (SIEM). Incluso entre las 94 organizaciones que sí operan uno, la retención de registros a menudo no alcanza lo necesario para reconstruir un incidente: el 35,1 % elimina los datos de registro en un plazo de 14 días, y otro 28,7 % en un máximo de 30 días, lo que significa que casi dos tercios descartan los registros antes de cumplirse un mes. La BSI recomienda conservar los registros relevantes para la seguridad durante al menos 90 días; según el estudio, menos de una de cada cinco organizaciones con SIEM cumple ese estándar, y menos del 5 % del total de encuestados.

Resiliencia de las copias de seguridad: avances, con brechas

En materia de continuidad del negocio, los resultados fueron más desiguales. Una mayoría, el 66,8 %, afirmó proteger los sistemas críticos con copias de seguridad inmutables que no pueden modificarse ni eliminarse posteriormente, una defensa frente al ransomware que ataca simultáneamente los datos de producción y las copias de seguridad. Pero el 33,2 % no cuenta con esa protección, y el 37,6 % aún no ha clasificado formalmente qué aplicaciones son críticas para el negocio.

En cuanto a las pruebas de recuperación, el 61,4 % afirmó haber realizado un ejercicio de recuperación ante desastres para aplicaciones críticas en los últimos 12 meses, y de ellos, el 88,7 % documentó los resultados: volumen de datos, tiempo de recuperación y rendimiento de recuperación. Combinando ambos datos, sin embargo, solo alrededor del 54,5 % del total de encuestados puede demostrar tanto una prueba realizada como su documentación, la métrica que los auditores suelen solicitar con más frecuencia.

El coste es un factor, no un obstáculo

Casi la mitad de los encuestados, el 48,5 %, calificó la implementación de la NIS2 como costosa, y el 33,2 % la consideró laboriosa. Solo el 12,4 % espera efectos negativos sobre la actividad empresarial en curso. Por su parte, el 49,0 % afirmó invertir en ciberresiliencia con independencia de las obligaciones regulatorias, lo que sugiere que la NIS2 está acelerando planes de modernización ya en marcha más que desencadenándolos. La barrera más citada fue el presupuesto de TI (44,1 %), seguida de la incertidumbre jurídica (43,6 %) y la escasez de conocimientos internos (23,8 %).

«A medida que la responsabilidad de la ciberresiliencia se traslada a la dirección de la empresa, crece la necesidad de una resiliencia real, y no de tratar el cumplimiento normativo como un mero trámite formal», declaró Markus Grau, arquitecto empresarial para EMEA en Everpure. «Nuestra encuesta muestra que las empresas alemanas reconocen la necesidad de actuar, pero el coste, la complejidad y la falta de claridad frenan la implementación.»

Una nota sobre la fuente

El estudio fue encargado y publicado por Everpure, un proveedor de tecnología de almacenamiento y copias de seguridad cuya oferta comercial incluye precisamente las capacidades de copias inmutables y retención de registros que la encuesta identifica como carencias. Sus recomendaciones, entre ellas un taller «NIS2 Recoverability Check» realizado por el propio proveedor, deben interpretarse teniendo en cuenta ese interés comercial. La recogida de datos estuvo a cargo de la firma de investigación independiente Cint entre 202 encuestados; los resultados no se desglosan por sector o tamaño de empresa debido al tamaño de la muestra, y los porcentajes pueden no sumar exactamente 100 debido al redondeo.

Por Jakob Jung

El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM. Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Aviso sobre Cookies en WordPress por Real Cookie Banner