El Gobierno tiene hasta comienzos del mes de julio para comunicar a la Comisión Europea que la Directiva de Ciberseguridad está completamente transpuesta
La Unión Europea (UE) ha activado la cuenta atrás para España y otros 18 Estados miembros que aún no han completado la transposición de la Directiva NIS 2. Este retraso no solo expone a estos países a importantes sanciones del Tribunal de Justicia de la UE (TJUE), sino que, lo que es más grave, frena la capacidad colectiva de Europa para defenderse de los crecientes ciberataques. La Comisión Europea ya ha enviado un dictamen motivado, la antesala de un posible litigio judicial.
La Directiva NIS 2 (Directiva (UE) 2022/2555), aprobada formalmente en noviembre de 2022 y en vigor desde enero de 2023, es el pilar fundamental del nuevo marco de ciberseguridad europeo. Su objetivo es claro: mejorar la resiliencia cibernética de la UE, armonizar las medidas de ciberseguridad, fomentar la cooperación y el intercambio de información, y aumentar la transparencia y la rendición de cuentas de las entidades en sectores críticos. Amplía significativamente el alcance de la NIS original, incluyendo más sectores y entidades esenciales o importantes para la economía y la sociedad.
España, fuera de plazo y en el limbo legal
El calendario para la transposición de NIS 2 era estricto: los Estados miembros debían incorporar la directiva a sus ordenamientos jurídicos nacionales a más tardar el 17 de octubre de 2024. Sin embargo, España, al igual que otros 18 países, no cumplió con esta fecha límite.
Aunque el Consejo de Ministros español aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad el 14 de enero de 2025 para su remisión al Congreso, este texto aún no ha superado la fase de presentación de enmiendas, a pesar de tramitarse por la vía de urgencia.
Amenaza a la cooperación europea
La situación es grave, no solo por el incumplimiento de los plazos, sino por las consecuencias directas en la cooperación europea en ciberseguridad. Al tratarse de una directiva, y no de un reglamento de aplicación directa, NIS 2 no puede surtir plenos efectos ni ser aplicada en un Estado miembro hasta que no sea formalmente transpuesta a su legislación nacional.
Esto significa que, mientras países clave como España sigan en el limbo legal, el escudo cibernético europeo no funciona a su máxima capacidad. La falta de un marco legal uniforme impide la coordinación plena de esfuerzos, el intercambio fluido de información sobre amenazas y la respuesta conjunta a incidentes transfronterizos.
En un momento de elevada tensión geopolítica y proliferación de ciberataques, donde la ciberseguridad se ha convertido en un eje de la competencia global y la defensa nacional, esta parálisis supone un freno crucial para la capacidad de Europa de protegerse de forma cohesionada.
La Comisión Europea, consciente de la urgencia, envió el 7 de mayo de 2025 un dictamen motivado a los 19 Estados miembros rezagados. Desde ese momento, estos países disponían de dos meses para responder y adoptar las medidas necesarias. De no hacerlo, la Comisión podría optar por el siguiente paso, como es el caso español: recurrir ante el Tribunal de Justicia de la Unión Europea (TJUE). Un fallo adverso del TJUE podría conllevar importantes sanciones económicas para España.
Obligaciones clave que esperan la transposición
La Directiva NIS 2 impone a las entidades afectadas (en sectores críticos como energía, transporte, banca, salud, infraestructura digital, entre otros, tanto públicas como privadas) varias obligaciones fundamentales: Gestión de riesgos de ciberseguridad: Implementar medidas técnicas y organizativas robustas. Notificación de incidentes: Informar a las autoridades de cualquier incidente cibernético significativo. Cooperación e intercambio de información: Participar activamente en la colaboración sobre ciberseguridad.
La correcta implementación de NIS 2 en España y en el resto de Estados miembros es crucial para garantizar la resiliencia cibernética y la seguridad de la información en toda la UE. El reloj sigue corriendo.
El Gobierno ha impulsado el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, una normativa clave cuyo objetivo es "alcanzar un elevado nivel común de ciberseguridad en España y contribuir a la ciberseguridad de la Unión Europea" (Artículo 1). Esta ley es la pieza fundamental para la transposición de la Directiva (UE) 2022/2555, conocida como Directiva NIS 2, y derogará la legislación previa, buscando un marco más robusto y cohesionado.
Un Marco Legal Integral para la Era Digital
La propuesta se estructura en siete capítulos que abordan desde la clasificación de entidades críticas hasta un régimen sancionador más severo. Se enfatiza la coordinación entre autoridades, la cooperación a nivel nacional y europeo, y la protección de infraestructuras vitales, incluyendo las relacionadas con la Defensa Nacional. La futura ley nace de la necesidad de adaptar la normativa española a las exigencias de la Directiva NIS 2. Su enfoque es integral, buscando una "cobertura completa de los sectores y servicios de vital importancia para las actividades sociales y económicas fundamentales dentro del mercado interior", y garantizando la seguridad jurídica en la gestión de riesgos y las obligaciones de notificación.
Además, el anteproyecto busca una "coherencia" con la Directiva (UE) 2022/2557, relativa a la resiliencia de las entidades críticas. Esto significa que las entidades ya consideradas críticas bajo esta última directiva serán automáticamente esenciales bajo la nueva ley de ciberseguridad. La ley también reconoce las competencias exclusivas del Estado en Defensa Nacional, telecomunicaciones y seguridad pública (Art. 149.1. de la Constitución Española), subrayando la necesidad de una estrategia común y el impulso de capacidades de Ciberdefensa.
Entidades esenciales e Importantes
La ley clasifica a las entidades en dos categorías principales según su criticidad sectorial, el tipo de servicio que prestan y su tamaño: Entidades Esenciales (Artículo 4.1): Incluyen grandes empresas de sectores de alta criticidad (Anexo I, como energía, transporte, banca, sanidad), proveedores cualificados de servicios de confianza, registros de nombres de dominio de primer nivel y proveedores de servicios de DNS (independientemente de su tamaño).
También abarca entidades de la Administración General del Estado, Comunidades Autónomas (incluyendo diputaciones y municipios de gran población), y aquellas ya identificadas como críticas o esenciales antes del 16 de enero de 2023. Entidades Importantes (Artículo 4.2): Son el resto de entidades de los sectores de los Anexos I o II que no se consideran esenciales, incluyendo municipios con más de 20.000 habitantes y sus entidades del sector público institucional.
El ámbito de aplicación de la ley es amplio, afectando a entidades públicas o privadas con residencia fiscal en España que operen en los sectores críticos, si son medianas o grandes empresas (más de 50 trabajadores o un volumen de negocios/balance superior a 10 millones de euros). También se aplica independientemente del tamaño en supuestos como la dependencia crítica o el riesgo sistémico, y a entidades de la UE con establecimiento permanente en España.
Es importante señalar que las entidades financieras ya cubiertas por el Reglamento (UE) 2022/2554 (DORA) quedan excluidas de ciertas disposiciones de esta ley, aunque se mantiene su obligación de colaboración e intercambio de información.
El Centro Nacional de Ciberseguridad elaborará y revisará regularmente una lista de estas entidades esenciales e importantes. Se definen, además, las Entidades con Incidencia en la Defensa Nacional (Artículo 2.z), que son aquellas proveedoras de bienes o servicios clave para el Ministerio de Defensa y las Fuerzas Armadas, cuya identificación y apoyo se coordinarán a través del Mando Conjunto del Ciberespacio (MCCE) y el ESPDEF-CERT.
Nueva Estructura Institucional y Gobernanza
La ley introduce una estructura institucional reforzada para la ciberseguridad en España: Centro Nacional de Ciberseguridad (Artículo 6, Disposición Adicional Primera): Esta es la "principal novedad" de la ley. Se crea como autoridad nacional competente única en la materia, actuando como punto de contacto y autoridad de gestión de crisis de ciberseguridad. Se adscribirá al Gabinete de la Presidencia del Gobierno. Autoridades de Control (Artículo 7.1): Serán los ministerios y organismos responsables de la supervisión y ejecución en sus respectivos sectores, con el Ministerio de Defensa (a través del CCN-CERT) para entidades del sector público.
Punto de Contacto Único (Artículo 7.2) y Puntos de Contacto Sectoriales (Artículo 7.3): Para la cooperación intersectorial y transfronteriza, y para impulsar políticas sectoriales. CSIRT Nacionales de Referencia (Artículo 9, 10): Se establecen tres equipos nacionales de respuesta a incidentes: CCN-CERT (sector público), INCIBE-CERT (otras entidades esenciales/importantes) y ESPDEF-CERT (colaboración en incidentes con incidencia en la Defensa Nacional). Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (Artículo 19): Una herramienta centralizada para el intercambio de información y seguimiento de incidentes. Autoridad Nacional de Certificación de la Ciberseguridad (Disposición Adicional Octava): El director del CCN asumirá esta función para los esquemas de certificación europeos.
El anteproyecto impone nuevas obligaciones a entidades esenciales e importantes en materia de ciberseguridad. Deberán contar con una Estrategia Nacional de Ciberseguridad, con objetivos, recursos y políticas claras, incluyendo requisitos en contratación pública, gestión de vulnerabilidades y protección de infraestructuras críticas como centros de datos y cables submarinos.
La gobernanza recae directamente en los órganos de dirección, que serán responsables del cumplimiento y deberán recibir formación periódica. El Centro Nacional de Ciberseguridad establecerá las medidas técnicas y organizativas, exigiendo certificación obligatoria para las entidades esenciales y opcional para las importantes.
Además, deberán designar un responsable de seguridad de la información y notificar incidentes significativos en plazos de 24 y 72 horas, con protección legal para quienes informen. Se exige mantener registros actualizados de proveedores y servicios digitales transfronterizos. Los órganos de dirección responderán solidariamente de las sanciones Las infracciones conllevan multas para las muy graves (hasta 10 millones de euros o el 2% del volumen de negocios global para esenciales), que pueden conllevar amonestación pública. Las infracciones del sector público no tendrán sanción económica, pero
Relacionados
- La ley para devolver en 2025 todo el IRPF a los mutualistas encara su recta final en el Senado
- La Audiencia Nacional investigará la decisión de Hacienda de retrasar la devolución del IRPF a los antiguos mutualistas
- Hacienda avisa que multará a los contribuyentes que no presenten el IRPF antes de esta fecha
- Acoso laboral a un trabajador de baja médica que es presionado para prestar servicios desde casa