Sobre la Directiva NIS2 y su transposición en España

​

La Directiva indica, ampliando el espectro de entidades mencionado en la NIS1, a qué entidades es de aplicación (incluyendo entidades esenciales e importantes en sectores como energía, transporte, salud, infraestructuras digitales, administración pública, entre otros); establece obligaciones más estrictas de gestión de riesgos y ciberseguridad para las entidades cubiertas, incluyendo prevención, detección, respuesta y notificación de incidentes; introduce medidas de supervisión estrictas, mayores poderes de ejecución y sanciones armonizadas por incumplimiento. Además, la Directiva busca armonizar los estándares y prácticas de ciberseguridad en la UE, reduciendo la fragmentación, y pretende reforzar la cooperación entre los Estados miembros de la UE, incluyendo la creación de la Red Europea de Organización de Enlace para Crisis Cibernéticas (EU-CyCLONe) para la respuesta coordinada a incidentes de gran escala. También enfatiza la necesidad de que las entidades aborden los riesgos de ciberseguridad en sus cadenas de suministro y relaciones con proveedores de servicios, y establece que los órganos de dirección de las entidades son responsables del cumplimiento, con requisitos de formación y concienciación. 

España no ha transpuesto completamente la Directiva NIS2 a su legislación nacional a fecha de septiembre de 2025. Las razones son diversas: el gobierno español no presentó un proyecto de ley para la transposición de NIS2 hasta enero de 2025, después de haber vencido el plazo; de hecho, España ha experimentado retrasos en la transposición de directivas europeas en los últimos años, debido a bloqueos políticos, cambios de prioridades gubernamentales y cuellos de botella administrativos. Más aún; aunque el proyecto de ley se tramita por la vía de urgencia, ya se había iniciado fuera de plazo. Fue en enero de 2025 cuando el Consejo de Ministros aprobó el proyecto de ley de Coordinación y Gobernanza de la Ciberseguridad para transponer NIS2. Actualmente está en trámite parlamentario y aún no ha sido promulgado ni publicado en el BOE. Se realizó una consulta pública a finales de 2023 y principios de 2024, y se espera que la ley se promulgue antes de finales de 2025. Mientras, la Comisión Europea ha iniciado un procedimiento de infracción por el retraso, enviando un dictamen motivado el 7 de mayo de 2025 y dando dos meses para cumplir (plazo que tampoco se ha cumplido). 

Sin perjuicio de lo anterior, es un criterio ampliamente extendido que “no hay que esperar a que se promulgue la ley”, y que las organizaciones españolas (públicas y privadas) incluidas en el ámbito de NIS2 deben comenzar a prepararse y alinearse con los requisitos de la Directiva, aunque la ley nacional aún no esté en vigor. En este sentido y por ejemplo, el Centro Criptológico Nacional (CCN) está publicando guías (CCN-STIC 892; CCN-STIC 896, por citar las más recientes; la última es de 25 de agosto de 2025) para ayudar a las organizaciones a prepararse para el cumplimiento de NIS2, a la espera de la transposición formal. 

En resumen, España aún no ha completado la transposición de NIS2. El proyecto de ley está en fase de aprobación parlamentaria, con carácter urgente, y se espera su promulgación antes de finales de 2025 (con más de un año de retraso sobre el plazo oficial dado). Mientras tanto, la Comisión Europea ha iniciado un procedimiento de infracción por el retraso en la transposición. Y las entidades afectadas harán bien (muchas ya lo están haciendo) en procurar adaptar sus estructuras a la NIS2 incluso antes de que se promulgue la ley. Por ejemplo, estar certificado o certificarse en el ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) es una buena base para adaptarse a la NIS2, cuando llegue.​