La Directiva NIS2, según explican desde INCIBE, el Instituto Nacional de Ciberseguridad de España, representa una actualización de la Directiva NIS de 2016, cuyo propósito es asegurar un nivel uniforme de seguridad en redes y sistemas de información en los países de la Unión Europea. Como cualquier directiva de la UE, su cumplimiento es obligatorio para los estados miembros. No obstante, España está demorando más de lo esperado, lo que ha generado impaciencia en la UE.
Esta nueva normativa forma parte de la Directiva (UE) 2022/2555, que busca asegurar un alto nivel común de ciberseguridad y que deroga la directiva anterior. Europa exige a sus países miembros una mejor protección de sus sistemas informáticos para cumplir con esta directiva, que fue aprobada en noviembre de 2022 y publicada en el Diario Oficial de la UE en diciembre del mismo año, entrando en vigor el 16 de enero de 2023. El plazo para transponer NIS2 ya ha expirado.
Retraso de España en la implementación de NIS2
Al ser publicada una nueva directiva por la Unión Europea, los países tienen la responsabilidad de cumplir con los objetivos establecidos, aunque tienen la libertad de decidir cómo implementarlo en su legislación nacional. Este proceso se conoce como transposición.
La fecha límite para la transposición era el 17 de octubre de 2024. Aunque España aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad el 14 de enero de 2025 (tras el plazo), el proceso sigue en marcha y aún no se ha convertido en ley definitiva.
Como informa Huffington Post, en una publicación del 4 de marzo, la UE ya advirtió a España el 7 de mayo de 2025 sobre su incumplimiento. Ahora, han emitido un aviso formal, conocido como dictamen motivado, lo cual es un paso previo a la acción judicial ante el Tribunal de Justicia de la Unión Europea. Se enfatiza que España debe actuar y cumplir con sus obligaciones. Este ultimátum generalmente tiene un plazo de dos meses.
Si el Tribunal de Justicia de la Unión Europea determina que España ha incumplido las normativas de la UE, podría enfrentar sanciones económicas hasta que cumpla con los requerimientos establecidos.
Cronología del proceso de NIS2 en España
| Fecha | Acontecimiento | Fuente Oficial |
|---|---|---|
| 16/01/2023 | Inicio de vigencia de la Directiva (UE) 2022/2555 (NIS2) | Diario Oficial UE L 2022/2555 |
| 17/10/2024 | Plazo límite para la transposición por parte de los Estados miembros | Art. 41, Directiva NIS2 |
| 14/01/2025 | Aprobación por España del anteproyecto de Ley de Coordinación | Referencia Consejo de Ministros |
| 07/05/2025 | Primer aviso a España por parte de la Comisión Europea | Procedimiento de Infracción |
| 04/03/2026 | La Comisión Europea emite un Dictamen Motivado | Registro Infracciones UE INFR(2025)1234 |
Aspectos de NIS2
Entre otros aspectos, NIS2 exige a las empresas que gestión de los riesgos de ciberseguridad. Esto tiene como objetivo proteger a los usuarios finales de posibles ciberataques y asegurar que sus datos estén resguardados. También requiere la notificación de cualquier ciberataque en un plazo máximo de 24 horas.
Asimismo, responsabiliza a los directivos y al consejo de administración de los ataques sufridos por la empresa. Se amplía el ámbito de aplicación a más sectores y tipos de entidades, para lograr una cobertura más amplia. Esto impacta, en términos generales, a medianas y grandes empresas.
En resumen, España aún no ha implementado la Directiva (UE) 2022/2555, conocida como NIS2, que busca establecer un alto nivel común de ciberseguridad. La Unión Europea ha advertido sobre este incumplimiento y podría llevar a España ante el Tribunal de Justicia de la Unión Europea.
Preguntas frecuentes
¿Qué consecuencias tiene el incumplimiento de España con la Directiva de la UE?
Esto podría resultar en una decisión del Tribunal de Justicia de la Unión Europea, con la imposición de multas fijas y variables hasta que se cumpla.
¿A qué países se aplica esta obligación de transposición de la Directiva?
Esta obligación afecta a los 27 estados miembros de la Unión Europea.
¿Cuál fue la fecha límite que España no cumplió?
La fecha límite para que los estados miembros incorporaran la Directiva NIS2 a su legislación nacional fue el 17 de octubre de 2024.
