· Jonathan Izquierdo · Noticias seguridad ·
La UE investiga a Espana por no transponer NIS2: que significa para tu empresa
La Comision Europea ha abierto procedimiento de infraccion contra Espana por no transponer la Directiva NIS2. Con 101 directivas pendientes y 92 expedientes abiertos, Espana lidera el incumplimiento normativo europeo.
101 directivas europeas sin transponer. 92 expedientes de infracción abiertos por Bruselas. España no es solo el pais que más tarde llega a la cita con NIS2 — es el Estado miembro que más incumple de toda la Union Europea. La Comision Europea ha abierto formalmente un procedimiento de infracción contra España por no haber transpuesto la Directiva NIS2, cuyo plazo vencio el 17 de octubre de 2024. Llevamos 17 meses de retraso y la Ley de Coordinacion y Gobernanza de la Ciberseguridad sigue atrapada en los cajones de Moncloa.
Lo que más me preocupa de esta situación no es la multa que pueda llegar desde Luxemburgo.
Es que mientras el gobierno tramita con parsimonia una ley que debería haber estado lista hace año y medio, las empresas españolas operan en un limbo regulatorio que las deja indefensas.
No saben que obligaciones tendrán exactamente. No saben cuando entraran en vigor. No saben que autoridad las supervisara. No saben si los plazos de adaptacion serán de 6 meses o de 2 años.
Pero si saben una cosa: que el régimen sancionador puede alcanzar los 10 millones de euros. Y que cuando llegue, llegara de golpe.
Como perito informático forense que trabaja con empresas afectadas por ciberataques, veo las consecuencias de este vacio legal todos los días.
He tenido clientes que me preguntan: “Jonathan, que normativa aplico si NIS2 no esta transpuesta?”
Y la respuesta honesta es desoladora: aplica lo que puedas, documenta lo que hagas, y rezemos para que cuando llegue la ley no te pille con los deberes sin hacer.
No es la respuesta que un profesional de la ciberseguridad debería dar en 2026. Pero es la única respuesta posible cuando tu propio gobierno te deja en el limbo.
TL;DR - Resumen ejecutivo
En 60 segundos:
| Aspecto | Dato clave |
|---|---|
| Que pasa | La UE ha abierto procedimiento de infracción contra España por no transponer NIS2 |
| Plazo incumplido | 17 de octubre de 2024 (17 meses de retraso) |
| Directivas pendientes | 101 directivas europeas sin transponer — peor registro de la UE |
| Expedientes abiertos | 92 procedimientos de infracción activos contra España |
| Fase actual | Dictamen motivado enviado (mayo 2025). Siguiente paso: recurso ante el TJUE |
| Ley pendiente | Anteproyecto aprobado en Consejo de Ministros (enero 2025), sin fecha de tramitación parlamentaria |
| Empresas afectadas | Mas de 5.700 entidades españolas en 18 sectores |
| Sanciones posibles | Hasta 10 millones de euros o 2% de facturacion global |
| Multa al Estado | Estimada en más de 100.000 euros diarios si el TJUE condena a España |
| Contexto real | Ciberataques a Moncloa (febrero-marzo 2026) demuestran las consecuencias |
España, lider europeo en incumplimiento normativo
Voy a ser directo: el problema de NIS2 no es un caso aislado. Es un sintoma de algo mucho más grave. Según datos de la propia Comision Europea recopilados por El Español en marzo de 2026, España acumula 101 directivas europeas pendientes de transposición y 92 procedimientos de infracción activos. Ningun otro Estado miembro tiene un historial comparable.
| Indicador | Dato España | Contexto UE |
|---|---|---|
| Directivas pendientes de transposición | 101 | Peor registro de los 27 |
| Procedimientos de infracción activos | 92 | Uno de los más altos |
| Retraso NIS2 | 17 meses | 23 paises recibieron carta de emplazamiento en nov. 2024 |
| Estado de la ley NIS2 | Anteproyecto (ene. 2025) | Belgica, Hungria, Croacia, Letonia e Italia ya han completado la transposición |
| Multas potenciales TJUE | Sin limite definido | Basadas en PIB del Estado |
Lo que esto significa en la práctica es que España se ha convertido en el alumno que siempre entrega tarde los deberes.
Y en materia de ciberseguridad, esa tardanza tiene consecuencias reales: mientras Belgica o Hungria ya aplican NIS2 y sus empresas saben exactamente que deben cumplir, las empresas españolas estan en un limbo donde las obligaciones existen en la directiva europea pero no tienen reflejo en el derecho nacional.
Hay algo que me resulta especialmente irritante de esta situación. Las empresas españolas que compiten en el mercado único europeo estan en desventaja frente a sus competidoras belgas, italianas o hungaras. Estas últimás ya operan bajo un marco NIS2 claro. Sus clientes confian en que cumplen la normativa. Sus aseguradoras les ofrecen mejores condiciones. Sus licitaciones incluyen el cumplimiento NIS2 como valor diferencial. Las empresas españolas, por culpa de su propio gobierno, no pueden hacer lo mismo.
Las 101 directivas pendientes: un patrón de incumplimiento sistemático
El retraso con NIS2 no es una anomalia. Es parte de un patrón de incumplimiento sistemático que afecta a practicamente todos los ámbitos del derecho europeo. Estas son las 10 directivas pendientes más críticas para el tejido empresarial español:
| Directiva | Ámbito | Plazo vencido | Meses de retraso | Consecuencia principal |
|---|---|---|---|---|
| NIS2 (2022/2555) | Ciberseguridad | Oct 2024 | 17 | Empresas sin marco de protección |
| CER (2022/2557) | Resiliencia infraestructuras críticas | Oct 2024 | 17 | Sin obligaciones de resiliencia física |
| DORA (2022/2554) | Resiliencia digital financiera | Ene 2025 | 14 | Sector financiero en limbo regulatorio |
| AI Act (parcial) | Inteligencia artificial | Feb 2025 | 13 | Sin registro de sistemás de alto riesgo |
| Whistleblowing (2019/1937) | Protección denunciantes | Dic 2021 | 51 | Canal de denuncias sin marco completo |
| Transparencia salarial (2023/970) | Igualdad retributiva | Jun 2026 | Pendiente | Brecha salarial sin transparencia |
| Due Diligence (2024/1760) | Debida diligencia empresarial | Jul 2026 | Pendiente | Cadena de suministro sin control |
| Directiva sobre trabajo en plataformás | Laboral digital | Dic 2026 | Pendiente | Riders y gig economy sin marco |
| DAC8 (intercambio cripto) | Fiscalidad criptoactivos | Dic 2025 | 3 | Criptomonedas sin intercambio fiscal |
| E-Evidence | Prueba electrónica transfronteriza | Ago 2026 | Pendiente | Investigaciones digitales sin herramientas |
Como perito que trabaja con empresas que NECESITAN este marco legal, la frustracion es enorme.
No es solo NIS2. Es un ecosistema regulatorio completo que no se esta trasladando al derecho español.
Cuando un cliente me pregunta por la Directiva CER — que es la hermana de NIS2 para la resiliencia física de infraestructuras críticas y que tenia el mismo plazo de octubre de 2024 —, la respuesta es la misma: no esta transpuesta.
Cuando un abogado me consulta sobre DORA para el sector financiero, idem.
Es un patrón que revela una disfuncion estructural en la maquinaria legislativa española.
Y no es un problema de falta de recursos o de complejidad técnica. Belgica tiene 11 millones de habitantes y aprobo su ley NIS2 seis meses antes del plazo. España tiene 47 millones y lleva 17 meses de retraso. La diferencia no es de capacidad. Es de prioridad politica.
Hablando con abogados especializados en derecho tecnologico — que son buena parte de mis clientes —, el sentimiento es unanime: esta incertidumbre jurídica es peor que una regulación estricta.
Las empresas que quieren cumplir no pueden hacerlo con certeza. No saben si el marco español será más estricto que la directiva, no saben que autoridad las supervisara, no saben cuales serán los plazos exactos de adaptacion.
Y las que no quieren cumplir tienen la excusa perfecta para no mover un dedo. “Cuando haya ley, actuamos.” Es la frase que más escucho. Y es la frase que más daño hace.
Y mientras tanto, los ciberdelincuentes no esperan.
España ya sufre 3 ciberataques graves al dia según NTT Data. El sector industrial ha superado a la banca como objetivo principal. Las PYMEs son el eslabon más debil.
Todo esto ocurre en un pais que no tiene transpuesta la directiva que debería coordinar su respuesta.
A los ciberdelincuentes les da exactamente igual si España ha transpuesto NIS2 o no. Ellos atacan. La única diferencia es como respondemos nosotros. Y ahora mismo, respondemos cada uno por su cuenta, sin coordinacion, sin obligaciones claras y sin herramientas legales. Es un regalo para los atacantes.
La cronologia del incumplimiento
Para entender como hemos llegado hasta aquí, conviene repasar los hitos. No es que el gobierno no haya hecho nada — es que lo que ha hecho es insuficiente y lento.
| Fecha | Hito |
|---|---|
| 27 diciembre 2022 | Publicacion Directiva NIS2 en el DOUE |
| 17 octubre 2024 | Plazo de transposición vencido — España no cumple |
| 28 noviembre 2024 | Comision Europea inicia procedimiento de infracción contra 23 paises, incluida España |
| 14 enero 2025 | Consejo de Ministros aprueba el Anteproyecto de Ley de Coordinacion y Gobernanza de la Ciberseguridad |
| 10 febrero 2025 | Finaliza trámite de audiencia e información pública |
| Mayo 2025 | Comision Europea envia dictamen motivado a España (segunda fase de infracción) |
| Febrero-marzo 2026 | Ciberataques a Moncloa y ministerios. La ley sigue sin aprobarse |
| Marzo 2026 | Procedimiento de infracción sigue activo. 101 directivas pendientes documentadas |
En los informes que elaboro para mis clientes empresariales, siempre incluyo una seccion sobre el marco normativo aplicable. Y cada vez que escribo sobre NIS2, tengo que poner la misma frase: “pendiente de transposición”. Llevamos 17 meses con la misma frase.
En mis informes periciales ya cito NIS2 como referencia aunque no este transpuesta porque es el estandar de diligencia debida que cualquier juez europeo reconoceria.
Es una anomalia jurídica: cito una directiva europea que debería ser ley española pero que nuestro gobierno no ha tenido a bien convertir en ley. Y cuando explico esto a un juez en una ratificación pericial, la reacción es siempre de incredulidad. “Como es posible que España no haya transpuesto una directiva de ciberseguridad?” me pregunto un magistrado en un juicio reciente. No supe que responderle.
Un detalle que revela la gravedad del asunto: el anteproyecto se aprobo en enero de 2025, hace más de un año.
Para que se convierta en ley, todavia tiene que pasar por un recorrido legislativo largo:
- Dictamen del Consejo de Estado — puede tardar semanas o meses
- Aprobacion como Proyecto de Ley por el Consejo de Ministros
- Remision a las Cortes Generales — Mesa del Congreso lo admite a trámite
- Ponencia y Comision — enmiendas, debates, votaciones parciales
- Pleno del Congreso — debate y votacion
- Senado — posibles enmiendas (si hay, vuelve al Congreso)
- Publicacion en el BOE — entrada en vigor con periodo transitorio
Incluso con tramitación de urgencia, estamos hablando de 6-9 meses desde la remision a Cortes. Sin urgencia, facilmente un año o mas.
Y hay un factor que complica todo: la fragmentacion parlamentaria. El gobierno necesita apoyos de otros partidos para aprobar leyes. Si NIS2 se convierte en moneda de cambio politica — cosa que no sería la primera vez con una directiva europea —, el retraso puede ser aun mayor.
La ventana realista para que las empresas españolas tengan un marco legal claro es, siendo optimistas, finales de 2026. Siendo realistas, 2027. Siendo pesimistas (pero no irrealistas dado el historial), 2028.
El procedimiento de infracción al detalle: las 5 fases que le esperan a España
No todos mis lectores estan familiarizados con el derecho europeo, así que voy a explicar en profundidad que implica un procedimiento de infracción. Porque no es un simple tiron de orejas: es un proceso que puede acabar costando cientos de millones de euros a los contribuyentes españoles.
El procedimiento tiene cinco fases escalonadas, reguladas por los artículos 258 a 260 del Tratado de Funcionamiento de la Union Europea (TFUE).
Lo explico con detalle porque creo que todo empresario español debería entender lo que viene. No es un trámite burocratico mas. Es un proceso que puede acabar costando centenares de millones de euros a los contribuyentes españoles.
Fase 1: Carta de emplazamiento (letter of formal notice)
Es el primer paso formal. La Comision notifica al Estado miembro que considera que ha incumplido una obligación del derecho europeo y le da un plazo — normalmente dos meses — para responder.
Para NIS2, esta carta se envio el 28 de noviembre de 2024 a 23 Estados miembros, incluida España.
En esta fase, el Estado tiene la oportunidad de explicar por que no ha transpuesto la directiva o de demostrar que ya lo ha hecho. España respondio indicando que el anteproyecto estaba en tramitación.
Evidentemente, eso no fue suficiente. Decir “estamos en ello” no es cumplir. Es reconocer que no has cumplido.
Fase 2: Dictamen motivado (reasoned opinion)
Si la respuesta del Estado no satisface a la Comision, se emite un dictamen motivado. Es la última advertencia formal antes de acudir al tribunal. El Estado tiene otros dos meses para cumplir.
El dictamen motivado para NIS2 se envio a España en mayo de 2025. España ha tenido diez meses adicionales desde entonces y la ley sigue sin aprobarse.
Quiero que esto quede claro: en mayo de 2025, Bruselas dijo a España “o transpones la directiva o vamos al tribunal”. Han pasado diez meses. No se ha transpuesto. El siguiente paso es el tribunal.
Fase 3: Recurso ante el TJUE (primera sentencia)
Si el Estado sigue sin cumplir, la Comision puede interponer un recurso de incumplimiento ante el Tribunal de Justicia de la Union Europea en Luxemburgo. El procedimiento judicial dura normalmente entre 12 y 24 meses.
Para NIS2, la Comision podría presentar el recurso en cualquier momento a partir de ahora. Es probable que lo haga en el primer semestre de 2026.
Lo crítico de esta fase es que, desde el Tratado de Lisboa, la Comision puede solicitar directamente la imposicion de sanciones pecuniarias en la primera sentencia cuando se trate de falta de transposición de directivas (artículo 260.3 TFUE). No necesita esperar a una segunda sentencia. Esto acelera enormemente el proceso sancionador.
Fase 4: Sentencia del TJUE con sanciones económicas
El Tribunal puede imponer dos tipos de sanciones:
Suma a tanto alzado: una multa fija por el incumplimiento acumulado hasta la fecha de la sentencia. Es el “precio” por haber llegado tarde.
Multa coercitiva diaria: una cantidad diaria que se aplica desde la sentencia hasta que el Estado cumpla. Es la presion para que cumpla rápido.
Para calcular estas multas, la Comision utiliza una formula que tiene en cuenta tres factores:
La gravedad de la infracción (coeficiente 1-20). La ciberseguridad de infraestructuras críticas se considera de alta gravedad.
La duracion del incumplimiento (coeficiente multiplicador por días). Con 17 meses y subiendo, el multiplicador es significativo.
La capacidad de pago del Estado (factor “n” basado en PIB y votos en el Consejo). Para España, este factor es alto. Somos la cuarta economia de la zona euro.
Fase 5: Ejecución de la sentencia y posible segundo procedimiento
Si el Estado no cumple la sentencia, la Comision puede iniciar un segundo procedimiento (artículo 260.2 TFUE) con sanciones aun más severas.
En este segundo procedimiento, la Comision no necesita pasar por las fases de carta y dictamen. Va directamente al tribunal.
Y las multas se duplican o triplican. Es un mecanismo diseñado para que ningun Estado miembro pueda permitirse ignorar una sentencia del TJUE.
| Fase | Artículo TFUE | Estado para España/NIS2 | Plazo típico | Consecuencia |
|---|---|---|---|---|
| Carta de emplazamiento | Art. 258 | Completada (nov. 2024) | 2 meses para responder | Advertencia formal |
| Dictamen motivado | Art. 258 | Completado (may. 2025) | 2 meses para cumplir | Última oportunidad |
| Recurso ante TJUE | Art. 258 + 260.3 | Pendiente (inminente) | 12-24 meses procedimiento | Juicio en Luxemburgo |
| Sentencia con multas | Art. 260.3 | Pendiente | Inmediato tras sentencia | Suma alzado + multa diaria |
| Segundo procedimiento | Art. 260.2 | No aplica aun | Variable | Multas duplicadas |
Precedentes reales: cuanto han pagado otros paises
Esto no es teoria. Hay precedentes recientes de multas millonarias por no transponer directivas a tiempo:
| Pais | Directiva incumplida | Multa impuesta | Año sentencia |
|---|---|---|---|
| España | Directiva blanqueo de capitales (2015/849) | 15.000.000 euros (suma alzado) + 89.000 euros/día | 2024 |
| Polonia | RGPD - Directiva policial (2016/680) | 500.000 euros/día (propuesta) + multa alzado | 2023 |
| Irlanda | Directiva de reestructuracion | 3.600.000 euros + 10.800 euros/día | 2024 |
| Rumania | Directiva blanqueo de capitales | 3.000.000 euros + 21.974,40 euros/día | 2022 |
| Belgica | Directiva sobre derechos de víctimás | 6.800.000 euros + 19.000 euros/día | 2021 |
| Hungria | Directiva de asilo (no transposición) | 200.000.000 euros (suma alzado) + 1.000.000 euros/día | 2024 |
El caso más relevante para España es precisamente el propio: la multa de 15 millones de euros por la Directiva de blanqueo de capitales en 2024, con una multa coercitiva adicional de 89.000 euros diarios hasta que se cumpliese.
Quiero que se entienda bien lo que esto significa: el gobierno español ya ha experimentado exactamente este proceso y sus consecuencias económicas. Ya ha pagado millones de euros del dinero de todos por llegar tarde con otra directiva. Y pese a ello, ha dejado que NIS2 siga exactamente el mismo camino.
No es ignorancia. Es negligencia.
Para NIS2, dado que la ciberseguridad se considera un interes estrategico de la Union y que la gravedad de la infracción es alta (la directiva protege infraestructuras críticas), las estimaciones de multa coercitiva superan los 100.000 euros diarios.
Con una suma a tanto alzado que facilmente podría alcanzar los 20-30 millones de euros.
Todo ello pagado con dinero público. Con tu dinero y con el mio. Dinero que podría haberse invertido en mejorar la ciberseguridad del pais en lugar de pagar multas por no haberlo hecho a tiempo.
Hagamos el calculo: si el TJUE condena a España en 2027 con una multa coercitiva de 100.000 euros diarios y la ley tarda otros 6 meses en aprobarse, son 18 millones de euros más la suma a tanto alzado. Estamos hablando de 40-50 millones de euros que podrían haber financiado la creacion del Centro Nacional de Ciberseguridad que NIS2 exige. En su lugar, financiaran las arcas de la UE como penalizacion por nuestra desidia.
Los ciberataques a Moncloa: la prueba de que esto no es teoria
Los ciberataques sufridos por el Palacio de la Moncloa y varios ministerios entre febrero y marzo de 2026 no podrían haber llegado en peor momento. Mientras el gobierno retrasa la transposición de una directiva que obliga a los Estados a proteger sus infraestructuras críticas, las propias infraestructuras del Estado son atacadas con exito.
La ironia es tan gruesa que si no fuera por las consecuencias reales que tiene para millones de ciudadaños, sería casí comica. Un gobierno que no aprueba la ley de ciberseguridad sufre un ciberataque. Es como si un ministerio de Sanidad no aprobara la ley de vacunacion y luego sufriera un brote en sus propias oficinas.
Lo que me resulta especialmente revelador de estos ataques es la descoordinacion institucional que evidenciaron. He analizado la información pública disponible sobre los ciberataques a Moncloa y puedo vincular cada fallo con un requisito específico de NIS2 que habría marcado la diferencia:
| Fallo observado en los ataques a Moncloa | Artículo NIS2 que lo habría prevenido | Requisito concreto |
|---|---|---|
| Retraso en la notificación pública del incidente | Art. 23 - Notificación de incidentes | Alerta temprana en 24h, notificación completa en 72h |
| Descoordinacion entre CCN-CERT, INCIBE y ministerios | Art. 8-13 - Autoridades competentes | Punto de contacto único, coordinacion CSIRT nacional |
| Ausencia de análisis de impacto en cadena de suministro | Art. 21.2(d) - Seguridad cadena suministro | Evaluación obligatoria de proveedores críticos |
| Sin evaluación pública de riesgos previa | Art. 21.2(a) - Análisis de riesgos | Politicas de análisis de riesgos y seguridad SI obligatorias |
| Datos personales de altos cargos expuestos | Art. 21.2(b) - Gestión de incidentes | Protocolos de gestión de incidentes documentados y testados |
| Sin plan de continuidad de negocio documentado | Art. 21.2(c) - Continuidad actividades | Planes de continuidad, copias de seguridad, recuperación |
Sin NIS2 transpuesta:
- No hay un Centro Nacional de Ciberseguridad operativo con competencias claras de coordinacion entre CCN-CERT (administración pública), INCIBE-CERT (empresas y ciudadaños) y el Mando Conjunto del Ciberespacio (defensa)
- No existe una obligación legal de notificación en 24 horas para la administración pública
- Los protocolos del CCN-CERT operan en un marco pre-NIS2, sin las herramientas legales que la directiva proporciona
- Las empresas proveedoras del gobierno no tienen obligaciones formales de seguridad de la cadena de suministro
- No hay un registro público de incidentes que permita evaluar el alcance real de las brechas
- La ciudadania no recibe notificación cuando sus datos pueden haber sido comprometidos en un ataque a infraestructura pública
Como perito que ha trabajado en incidentes que afectan a administraciones públicas, puedo confirmar que la falta de un marco legal claro complica enormemente la respuesta forense. Y no es un problema abstracto: afecta directamente a la capacidad de investigar el ataque, identificar a los responsables y prevenir incidentes futuros. Cuando no hay obligación de preservar evidencia, cuando no hay plazos de notificación, cuando no hay un responsable de seguridad designado formalmente, la investigación forense parte con desventaja.
Ponlo en perspectiva: INCIBE gestiono 122.223 ciberincidentes en 2025, un 26% más que el año anterior. La propia Comision Mixta de Seguridad Nacional admitio que España ni siquiera sabe cuantos ciberataques recibe al dia. Y pese a todo esto, la ley que debería coordinar la respuesta nacional sigue sin aprobarse.
Requisitos NIS2 que España no esta cumpliendo: análisis artículo por artículo
Para que se entienda la magnitud de lo que nos estamos perdiendo, voy a desglosar los cuatro pilares fundamentales de NIS2 y comparar lo que exige la directiva con lo que tiene España ahora mismo.
Es un ejercicio que hago habitualmente con mis clientes para que entiendan la brecha entre donde deberían estar y donde estan. Y es un ejercicio que resulta especialmente revelador cuando lo haces con una empresa que cree que “esta más o menos bien” en ciberseguridad.
Spoiler: ninguna empresa española que he auditado cumple los cuatro pilares.
Artículo 20: Gobernanza de la ciberseguridad
NIS2 exige que los órgaños de dirección de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad, supervisen su implementacion y puedan ser considerados personalmente responsables por incumplimientos. No es un matiz: los directivos responden con su cargo.
Lo que exige NIS2: Formación obligatoria en ciberseguridad para el orgaño de dirección. Aprobacion formal de la estrategia de seguridad. Responsabilidad personal del CEO/consejo.
Lo que tiene España ahora: Sin obligación legal de formación en ciberseguridad para directivos. Sin responsabilidad personal definida por ley. La mayoria de consejos de administración no tratan la ciberseguridad como punto del orden del dia.
Artículo 21: Medidas de gestión de riesgos de ciberseguridad (10 sub-medidas)
Este es el artículo central de NIS2. Establece 10 medidas técnicas y organizativas mínimás que toda entidad afectada debe implementar. Las enumero todas porque cada una de ellas representa un vacio que las empresas españolas tienen ahora mismo:
| Sub-medida Art. 21.2 | Requisito NIS2 | Situación actual en España |
|---|---|---|
| (a) Análisis de riesgos y seguridad SI | Politicas de análisis de riesgos documentadas y actualizadas | Sin obligación legal. Solo el ENS para AAPP |
| (b) Gestión de incidentes | Protocolos de detección, respuesta y recuperación | Voluntario. Menos del 30% de PYMEs tienen plan |
| (c) Continuidad de actividades | Planes de continuidad, copias de seguridad, DR | Sin requisito legal general. Solo sectores regulados |
| (d) Seguridad cadena de suministro | Evaluación de proveedores, cláusulas contractuales | Ninguna obligación. Cada empresa decide |
| (e) Seguridad en adquisición y desarrollo | Seguridad en desarrollo software, parcheado | Sin requisito legal. Buenas prácticas voluntarias |
| (f) Evaluación eficacia medidas | Auditorias periodicas, tests de penetración | Voluntario fuera de sectores regulados |
| (g) Practicas básicas ciberhigiene y formación | Formación empleados, politicas de contraseñas | Sin obligación. Menos del 20% de PYMEs forman |
| (h) Politicas y procedimientos de criptografia | Cifrado de datos, gestión de claves | Sin requisito general. Solo RGPD “medidas adecuadas” |
| (i) Seguridad recursos humaños y control acceso | Control de accesos, gestión identidades, activos | Sin marco legal específico |
| (j) Autenticación multifactor y comunicaciones seguras | MFA, comunicaciones cifradas en emergencias | Voluntario. Adopcion MFA inferior al 40% en PYMEs |
Diez medidas. Diez vacios legales. Y las empresas españolas navegando a ciegas intentando adivinar cuales de estas medidas acabaran siendo obligatorias y con que nivel de exigencia.
En mis informes periciales, cuando analizo un incidente de ciberseguridad en una empresa que debería estar bajo el alcance de NIS2, siempre incluyo una seccion que evalua el cumplimiento de estas 10 medidas.
El resultado es casí siempre desolador.
La empresa medía española cumple 2 o 3 de las 10. Las mejor preparadas, 5 o 6. Ninguna que haya auditado cumple las 10 porque, sin un marco legal que las defina con precision, ni siquiera saben que estandar aplicar.
El análisis de riesgos — medida (a) — es la que menos se cumple. La mayoria de las PYMEs que audito no tienen un inventario actualizado de sus activos de información, mucho menos un análisis formal de las amenazas que los afectan. “Tenemos antivirus” no es un análisis de riesgos. “Tenemos firewall” no es un análisis de riesgos. Un análisis de riesgos es un documento estructurado que identifica que tienes, que puede ir mal, con que probabilidad, con que impacto, y que haces para mitigarlo.
La gestión de incidentes — medida (b) — es la segunda peor. La frase más común que escucho cuando llego a una empresa tras un incidente es: “No sabiamos que hacer.” Y no me refiero a empresas pequeñas. He auditado empresas con 200 empleados que no tenian un plan de respuesta a incidentes documentado.
La seguridad de la cadena de suministro — medida (d) — es la gran olvidada. Casí ninguna empresa evalua la seguridad de sus proveedores antes de contratarlos. Los contratos no incluyen cláusulas de ciberseguridad. No se piden certificaciones ni evidencias de auditorias. Y luego, cuando el proveedor sufre una brecha y compromete los datos de sus clientes, todos se preguntan como ha podido pasar.
Artículo 23: Notificación de incidentes
Este artículo establece un régimen de notificación en tres fases que no tiene equivalente en el derecho español actual:
| Fase de notificación | Plazo NIS2 | Contenido exigido | Equivalente español actual |
|---|---|---|---|
| Alerta temprana | 24 horas desde detección | Sospecha de incidente significativo, posible causa, impacto transfronterizo | No existe obligación general |
| Notificación de incidente | 72 horas desde detección | Evaluación inicial, gravedad, impacto, indicadores de compromiso | Solo RGPD (72h para datos personales) |
| Informe intermedio | A peticion del CSIRT | Actualizaciones de estado | Sin equivalente |
| Informe final | 1 mes desde notificación | Descripcion detallada, causa raiz, medidas de mitigación, impacto transfronterizo | Sin equivalente |
Cuando trabajo en un caso de ransomware y pregunto a la empresa si ha notificado el incidente a alguna autoridad, la respuesta más común es: “A quien se lo notifico?”
Y tienen razón.
Fuera de los datos personales (AEPD, 72 horas) y de ciertos sectores regulados (banca via Banco de España, energia via CNMC), no hay una obligación clara de notificación de ciberincidentes en España.
La empresa puede contactar con INCIBE-CERT, pero no esta obligada a hacerlo. Puede llamar al CCN-CERT si es administración pública, pero si es privada, depende del sector.
NIS2 crearia un sistema de notificación unificado, con plazos claros (24h/72h/1 mes), canales definidos y un CSIRT de referencia para cada tipo de entidad. Crearia esa obligación para más de 5.700 entidades en 18 sectores.
Pero sin transposición, seguimos en la anarquia. Cada empresa decide si notifica, a quien, cuando y como. Y la mayoria decide no notificar, por miedo a las consecuencias reputacionales. El resultado es que no tenemos datos fiables sobre la magnitud real de los ciberincidentes en España. INCIBE gestiona 122.223, pero eso es solo la punta del iceberg: los que se reportan voluntariamente. La cifra real podría ser 5 o 10 veces mayor.
Artículo 24: Certificación y normalizacion
NIS2 establece que los Estados miembros pueden exigir el uso de productos, servicios y procesos certificados conforme al marco europeo de certificación de ciberseguridad (Cybersecurity Act). Esto incluye esquemás como:
- EUCC: Esquema europeo de certificación de ciberseguridad para productos TIC
- EUCS: Esquema europeo de certificación para servicios cloud
- EU5G: Esquema de certificación para redes 5G
España, sin transposición, no puede exigir estas certificaciones ni crear los mecanismos nacionales de supervision que la directiva contempla.
El resultado es que las empresas españolas no tienen un marco de referencia claro sobre que certificaciones necesitan. Algunas optan por ISO 27001, otras por SOC 2, otras por ENS. Pero ninguna de estas es la certificación oficial de ciberseguridad que NIS2 contempla.
En mis informes periciales, cuando evaluo la postura de seguridad de una empresa, siempre pregunto que certificaciones tiene. La respuesta más común: “Ninguna, pero tenemos un antivirus.” Esa respuesta no va a ser aceptable cuando NIS2 entre en vigor.
Impacto en los 18 sectores: quien esta afectado y cuanto
NIS2 amplia drasticamente el alcance respecto a la primera directiva NIS de 2016. De 7 sectores pasa a 18. De unas pocas decenas de operadores esenciales en España a más de 5.700 entidades. Es el salto regulatorio más importante en ciberseguridad que ha visto Europa.
Sectores de alta criticidad (entidades esenciales)
| Sector | Ejemplos de empresas españolas afectadas | Sanción máxima | Riesgo principal sin NIS2 |
|---|---|---|---|
| Energia | Iberdrola, Endesa, Repsol, Naturgy, REE, Enagaz | 10M euros o 2% | Ataques a redes electricas y gaseoductos |
| Transporte | Renfe, Aena, Puertos del Estado, Abertis | 10M euros o 2% | Sabotaje infraestructura transportes |
| Banca | Santander, BBVA, CaixaBank, Bankinter | 10M euros o 2% | Fraude financiero, BEC, robo datos |
| Infraestructura mercados financieros | BME (Bolsas y Mercados Españoles), Iberclear | 10M euros o 2% | Manipulación mercados |
| Sanidad | Hospitales públicos SAS/SERMAS, Quironsalud, HM | 10M euros o 2% | Ransomware hospitalario, datos pacientes |
| Agua potable y residual | Canal Isabel II, EMASA, Agbar | 10M euros o 2% | Contaminacion suministro |
| Infraestructura digital | Telefonica, Orange, MasMovil, centros de datos | 10M euros o 2% | Caida telecomunicaciones |
| Administración pública | Ministerios, CCAA, ayuntamientos grandes | 10M euros o 2% | Paralizacion servicios públicos |
| Espacio | INTA, Hisdesat, GMV | 10M euros o 2% | Interferencia satelites |
Sectores críticos (entidades importantes)
| Sector | Ejemplos de empresas españolas afectadas | Sanción máxima | Riesgo principal sin NIS2 |
|---|---|---|---|
| Servicios postales | Correos, SEUR, MRW, Nacex | 7M euros o 1,4% | Interrupcion logistica |
| Gestión de residuos | Urbaser, FCC Medio Ambiente, Cespa | 7M euros o 1,4% | Paralizacion recogida |
| Fabricacion productos críticos | Gestamp, Técnicas Reunidas, CAF | 7M euros o 1,4% | Sabotaje industrial |
| Productos quimicos | Cepsa, Ercros, La Seda | 7M euros o 1,4% | Incidentes industriales |
| Producción y distribucion alimentos | Mercadona, Dia, Ebro Foods, Viscofan | 7M euros o 1,4% | Contaminacion cadena alimentaria |
| Proveedores digitales | Indra, Accenture España, startups SaaS | 7M euros o 1,4% | Compromiso clientes |
| Investigación | CSIC, universidades, centros I+D | 7M euros o 1,4% | Robo propiedad intelectual |
| Gestión servicios TIC (B2B) | Everis/NTT, Capgemini, SaaS españoles | 7M euros o 1,4% | Ataque cadena suministro |
| Fabricacion dispositivos medicos | Grifols, equipamiento hospitalario | 7M euros o 1,4% | Dispositivos comprometidos |
Esas más de 5.700 entidades no son solo grandes corporaciones.
Son hospitales comarcales. Son ayuntamientos de ciudades medianas. Son empresas de transporte regional. Son proveedores de software que dan servicio a infraestructuras críticas.
He trabajado con una empresa de 30 empleados que desarrolla el software de gestión de una red de abastecimiento de agua. Esa empresa, sin saberlo, esta dentro del alcance de NIS2 como proveedor crítico de una entidad esencial. Y no tiene ni plan de respuesta a incidentes ni responsable de seguridad designado.
Multiplica ese caso por miles y tendras una foto de la realidad española.
Lo que me resulta más preocupante es que muchas de estas entidades ni siquiera saben que NIS2 les afecta. Sin una autoridad competente designada — que España no tiene porque no ha transpuesto la directiva —, no hay nadie que les notifique que estan dentro del alcance. En Belgica, el CCB tiene un portal donde las empresas pueden comprobar si les aplica NIS2. En Italia, la ACN ha creado un registro. En España, nada. Cero. Una empresa española que quiera saber si NIS2 le afecta tiene que contratar a un abogado o a un consultor que lea la directiva en el Diario Oficial de la UE y la interprete caso a caso. Es absurdo.
Comparacion internacional: como lo han hecho otros paises
Para entender la magnitud del fracaso español, basta con comparar lo que han hecho nuestros vecinos europeos. No es que hayan tenido más tiempo. Tuvieron el mismo plazo. La diferencia es que ellos lo han usado.
Belgica: la alumna aventajada
Belgica aprobo su ley de transposición NIS2 (Loi NIS2) en abril de 2024, seis meses antes del plazo. El Centre for Cybersecurity Belgium (CCB) público guías de implementacion, creo un portal de autoregistro para entidades afectadas y establecio un programa de apoyo a PYMEs. Las empresas belgas llevan casí dos años operando bajo el nuevo marco.
Italia: justo a tiempo con la ACN al frente
Italia aprobo el Decreto Legislativo 138/2024 en octubre de 2024, el mismo mes que vencia el plazo. La Agenzia per la Cybersicurezza Nazionale (ACN) fue designada como autoridad única. Italia fue especialmente diligente en la clasificacion de entidades y en la creacion de un registro nacional de entidades esenciales e importantes.
Francia: la ANSSI como modelo de referencia
Francia presento su proyecto de ley de transposición NIS2 al Parlamento en 2025 y, aunque no ha completado la transposición, la ANSSI (Agence Nationale de la Securite des Systemes d’Information) ya ha publicado un marco de referencia completo con requisitos técnicos, guías sectoriales y un programa de acompanamiento. Las empresas francesas saben que se espera de ellas incluso antes de que la ley este aprobada.
Alemania: la NIS2UmsuCG y el BSI IT-Grundschutz
Alemania ha seguido un camino más complejo. La NIS2-Umsetzungsgesetz (NIS2UmsuCG) se ha retrasado por las elecciones y la fragmentacion politica, pero el BSI (Bundesamt fur Sicherheit in der Informationstechnik) ya ha actualizado su IT-Grundschutz para alinearlo con los requisitos de NIS2. Las empresas alemanas tienen un marco técnico de referencia desde hace años que cubre la mayor parte de las exigencias de NIS2.
Paises Bajos: enfoque pragmatico
Los Paises Bajos adoptaron un enfoque pragmatico publicando una guía de pre-implementacion en 2024 que permitia a las empresas empezar a adaptarse antes de la aprobacion formal de la ley. El NCSC-NL (National Cyber Security Centre) creo un portal de autodiagnostico donde las empresas pueden evaluar si estan en el alcance de NIS2 y que medidas deben tomar.
| Pais | Ley aprobada | Autoridad competente | Portal de autoregistro | Guias PYMEs | Programa apoyo |
|---|---|---|---|---|---|
| Belgica | Abril 2024 | CCB | Si | Si | Si |
| Italia | Octubre 2024 | ACN | Si | Si | Si |
| Hungria | Mayo 2024 | SZTFH | Si | Parcial | No |
| Croacia | Julio 2024 | CARNET/SOA | Si | Parcial | No |
| Francia | En tramitación | ANSSI | No (en desarrollo) | Si | Si |
| Alemania | En tramitación | BSI | No (en desarrollo) | Si (IT-Grundschutz) | Si |
| Paises Bajos | En tramitación | NCSC-NL | Si (autodiagnostico) | Si | Si |
| España | Anteproyecto | Sin designar | No | No | No |
La comparación habla por si sola.
España no solo no ha aprobado la ley. No ha designado autoridad competente única. No ha creado un portal de registro. No ha publicado guías para PYMEs. No ha creado ningun programa de apoyo.
INCIBE hace un trabajo extraordinario con los recursos que tiene, pero sin el marco legal de NIS2, sus recomendaciones son voluntarias. Y lo voluntario, en ciberseguridad, no funciona.
Lo se porque lo veo cada semana. Cuando visito una empresa que ha sufrido un incidente y les pregunto si seguian las recomendaciones de INCIBE, la respuesta más común es: “No sabiamos que INCIBE existia.” O peor: “Si, pero como no es obligatorio, no lo implementamos.” La regulación no es un capricho burocratico. Es el único mecanismo que funciona para que las empresas inviertan en seguridad.
Un ejemplo concreto: la ANSSI francesa público en 2025 una guía de 120 páginas con los requisitos técnicos de NIS2 adaptados a las PYMEs francesas. Incluye listas de verificación, herramientas recomendadas, configuraciones de referencia y un cuestionario de autodiagnostico. El BSI aleman tiene algo parecido con su IT-Grundschutz. El CCB belga tiene un portal interactivo.
España no tiene nada comparable. Y no lo tendrá hasta que se transponga la directiva, porque sin ley no hay autoridad competente, y sin autoridad competente no hay guías oficiales.
El paralelo con el RGPD: la leccion que España no aprendio
Hay quienes me dicen que exagero. Que NIS2 es “otra directiva mas” y que las empresas se adaptaran cuando toque. A esos les pregunto: os acordais de lo que paso con el RGPD?
El Reglamento General de Protección de Datos (Reglamento 2016/679) se aprobo en abril de 2016 y entro en aplicación en mayo de 2018. España aprobo la LOPDGDD (Ley Organica 3/2018) en diciembre de 2018, siete meses después. Pero incluso con esos siete meses de retraso, la transicion fue caotica.
| Hito RGPD | Fecha | Impacto en España |
|---|---|---|
| Aprobacion reglamento | Abril 2016 | Periodo de adaptacion de 2 años |
| Aplicación directa | Mayo 2018 | Panico en empresas. Avalancha de consultoria |
| LOPDGDD española | Diciembre 2018 | 7 meses de retraso. Adaptacion acelerada |
| Primeras multas AEPD | 2019 | Millones en sanciones. CaixaBank 6M, Vodafone 8,15M |
| Consolidacion | 2020-2025 | AEPD como referente europeo. +300M en multas acumuladas |
El RGPD transformo la cultura empresarial española en materia de privacidad. Antes de 2018, la protección de datos era un trámite administrativo que se delegaba en el becario. Despues del RGPD, es un asunto de consejo de administración con presupuesto dedicado y DPO profesional. Ese cambio no se produjo por concienciacion: se produjo por miedo a las multas.
NIS2 va a tener un impacto aun mayor por tres razones:
Primera: el alcance es más amplio. NIS2 afecta a 18 sectores completos, no solo al tratamiento de datos personales. Cualquier empresa mediana en un sector crítico esta dentro. El RGPD afectaba a todas las empresas que tratan datos personales (es decir, todas), pero en la práctica las sanciones se concentraban en las grandes. NIS2, por su clasificacion sectorial, afecta de lleno a medianas empresas industriales, sanitarias, logisticas y tecnologicas que nunca habian tenido que preocuparse por regulación de ciberseguridad.
Segunda: las sanciones son comparables pero los incidentes son más frecuentes. Hasta 10 millones de euros o 2% de facturacion global — cifras similares al RGPD. Pero mientras una brecha de datos personales puede pasar desapercibida durante meses, un ataque de ransomware paraliza la empresa inmediatamente. La visibilidad del incumplimiento es mucho mayor.
Tercera: la responsabilidad es personal. NIS2 permite inhabilitar a directivos. El RGPD sancionaba a la empresa como persona jurídica. NIS2 puede sancionar al CEO, al CTO, al director financiero — a cualquier miembro del orgaño de dirección que no haya supervisado adecuadamente la ciberseguridad. Esto cambia completamente la dinamica. Ya no es “la empresa paga la multa y sigue”. Es “el directivo pierde su puesto.”
He vivido la transicion del RGPD desde dentro, ayudando a empresas a documentar sus tratamientos de datos y a preparar sus sistemás para cumplir.
El patrón fue siempre el mismo:
- Las que se prepararon con antelacion (2016-2017) gastaron entre 5.000 y 30.000 euros
- Las que esperaron al último momento (abril-mayo 2018) pagaron entre 50.000 y 200.000 euros por adaptaciones de emergencia
- Las que no se prepararon acabaron en expedientes de la AEPD
Los precios de consultoria de RGPD se multiplicaron por 3 en los seis meses previos a mayo de 2018. Los abogados especializados tenian listas de espera de meses. Los DPOs certificados pasaron de cobrar 30.000 euros anuales a 60.000. Era un mercado de vendedor y las empresas que llegaron tarde pagaron el precio.
Con NIS2 será igual. O peor, porque además de la multa regulatoria, el incidente de ciberseguridad trae consigo la parada operativa, la pérdida de datos, el daño reputacional y la pérdida de clientes.
Los consultores de ciberseguridad que ahora cobran tarifas razonables por proyectos de adecuacion NIS2 triplicaran sus precios cuando la ley se apruebe y las empresas corran a cumplir. Los CISOs externos que ahora estan disponibles tendrán listas de espera. Los peritos informáticos como yo tendremos más trabajo del que podamos asumir.
Mi consejo: contrata ahora, que los precios son razonables y los profesionales estan disponibles. Cuando llegue la ley, será demasiado tarde para conseguir un buen profesional a un precio justo.
5 casos de mi experiencia profesional donde NIS2 habría cambiado el resultado
Voy a compartir cinco casos reales — anonimizados por confidencialidad — de mi práctica como perito forense donde la existencia de un marco NIS2 transpuesto habría supuesto una diferencia fundamental. No son casos hipoteticos. Son empresas españolas reales que he auditado o para las que he elaborado informes periciales.
Caso 1: ransomware sin protocolo de notificación
Una empresa industrial mediana del sur de España con 120 empleados sufrio un ataque de ransomware que cifro todos sus sistemás de producción. El atacante exigia 200.000 euros en Bitcoin. La empresa tardo 9 días en comunicar el incidente a las autoridades porque “no sabian a quien avisar” y “esperaban resolverlo internamente”.
Cuando finalmente contactaron con INCIBE y me contrataron como perito, habian perdido evidencia forense crítica: los logs del firewall se habian sobrescrito, las copias de seguridad estaban comprometidas y el servidor de correo habia sido reiniciado tres veces. Con NIS2, habrían tenido la obligación de notificar en 24 horas al CSIRT nacional. Ese CSIRT les habría proporcionado indicadores de compromiso, apoyo técnico y coordinacion con otros afectados (resulto que el mismo grupo atacante habia comprometido a otras dos empresas del mismo sector esa misma semana).
Coste real: 340.000 euros (parada de producción + rescate parcial + recuperación + peritaje).
Coste estimado con NIS2: 60.000-80.000 euros (respuesta coordinada rápida, evidencia preservada, sin rescate).
Lo más frustrante de este caso es que la empresa tenia buenas intenciones. Querian resolver el problema internamente para no “hacer ruido”. Pero esa mentalidad — resolver en silencio, no involucrar a las autoridades — es precisamente lo que NIS2 pretende cambiar. La notificación obligatoria no es un castigo. Es una herramienta de coordinacion que permite al CSIRT alertar a otras empresas del mismo sector y proporcionar apoyo técnico especializado.
Caso 2: ataque a la cadena de suministro
Una empresa de alimentacion que provee a grandes superficies contrato un servicio de gestión logistica en la nube. El proveedor SaaS sufrio una brecha de seguridad que expuso datos de inventario, rutas de transporte y credenciales de acceso de 40 clientes. Mi cliente se entero del incidente tres semanas después, cuando un periodista le llamo para pedirle declaraciones sobre la filtracion.
NIS2 (artículo 21.2.d) exige evaluar la seguridad de la cadena de suministro e incluir cláusulas de ciberseguridad en los contratos con proveedores. Ademas, el proveedor SaaS, como gestor de servicios TIC B2B, habría tenido obligación de notificar el incidente en 24 horas. Mi cliente habría sabido del problema tres semanas antes y habría podido cambiar credenciales, auditar accesos y proteger sus datos.
Coste real: Perdida de un contrato con gran superficie valorado en 180.000 euros anuales por “falta de diligencia en la gestión de proveedores”.
Coste estimado con NIS2: Incidente gestionado, contrato mantenido, coste de auditoria 15.000 euros.
Este caso me enseno algo importante que ahora transmito a todos mis clientes: la cadena de suministro es tu perimetro de seguridad real. No importa cuantos firewalls tengas si tu proveedor cloud tiene las puertas abiertas. NIS2 lo entiende. El artículo 21.2.d no es una recomendación vaga: exige evaluación de seguridad de proveedores directos, requisitos contractuales de ciberseguridad y procedimientos de adquisición segura. Es el artículo más transformador de toda la directiva.
Caso 3: brecha hospitalaria sin gestión de incidentes
Un hospital comarcal sufrio un ataque que comprometio el sistema de historias clinicas electrónicas. Los atacantes accedieron a datos de 12.000 pacientes. El hospital no tenia plan de respuesta a incidentes, no tenia responsable de seguridad designado y no tenia copias de seguridad verificadas (las copias existian pero nadie las habia probado en 18 meses).
Cuando me llamaron para el peritaje, la situación era crítica: sin acceso a historiales, el personal medico atendía con papel y boligrafo. Los quirofaños programados se cancelaron durante 5 días. Un paciente tuvo que ser derivado de urgencia a otro hospital porque no se podía acceder a su historial de alergias.
NIS2 habría obligado a ese hospital a tener un plan de respuesta documentado y probado (art. 21.2.b), copias de seguridad verificadas (art. 21.2.c) y un responsable de seguridad con autoridad (art. 20). Nada de esto existia.
Coste real: Incalculable (riesgo para vidas humanas). Economicamente, más de 500.000 euros en recuperación, sanciones AEPD y daño reputacional.
Coste estimado con NIS2: Incidente contenido en horas, no días. Sin cancelacion de cirugias.
Los ciberataques a hospitales en España son un problema creciente. Mas de 2.400 ataques semanales al sector sanitario mundial según datos de Check Point. Y los hospitales españoles son objetivos especialmente atractivos porque combinan tres factores: datos altamente sensibles, sistemás legacy sin actualizar y urgencia operativa que favorece el pago de rescates.
Este caso me afecto personalmente. Cuando ves que un paciente es derivado de urgencia porque un hospital no puede acceder a su historial de alergias, la ciberseguridad deja de ser un problema técnico y se convierte en un problema de salud pública. NIS2 clasifica a la sanidad como sector de alta criticidad por una razón. Y España sigue sin implementar las protecciones que la directiva exige.
Caso 4: PYME sin gestión de riesgos
Una empresa de servicios tecnologicos con 60 empleados que desarrolla software para ayuntamientos me contrato para evaluar su postura de seguridad después de que un competidor sufriera un ataque. La auditoria revelo: sin politica de contraseñas (credenciales por defecto en 3 sistemas), sin segmentación de red, sin cifrado de datos en reposo, sin formación en ciberseguridad para empleados, sin plan de respuesta.
Esta empresa entra en el alcance de NIS2 como proveedor de servicios TIC a administraciones públicas. Sin NIS2 transpuesta, no habia ningun incentivo legal para que invirtiera en seguridad. “Funcionamos bien, nunca nos ha pasado nada” fue la respuesta literal del gerente cuando le explique las deficiencias.
Seis meses después, les paso.
Un ataque de phishing comprometio la cuenta de correo del CTO. El atacante, con esas credenciales, accedio al repositorio de código y a los entornos de producción de tres ayuntamientos clientes. El daño fue masivo.
El peritaje que elabore revelo que el phishing era básico — un correo que suplantaba a un proveedor cloud con un enlace a una página de login falsa. Cualquier empleado con formación básica en ciberseguridad lo habría detectado. Pero nadie tenia esa formación. No habia MFA en la cuenta de correo del CTO. No habia separacion de privilegios entre el correo y los entornos de producción. Todo estaba conectado con las mismás credenciales.
Coste real: Perdida de los tres contratos municipales (420.000 euros anuales), demanda civil de un ayuntamiento, reputacion destruida.
Coste estimado con NIS2: La auditoria obligatoria habría detectado las deficiencias. Coste de remediacion: 25.000 euros. MFA habría costado 0 euros implementar. La formación, 2.000 euros para 60 empleados. Total prevención: 27.000 euros vs 420.000 euros anuales de ingresos perdidos.
Caso 5: fallo de proveedor cloud sin plan de continuidad
Una entidad financiera mediana dependía de un único proveedor cloud para su plataforma de banca online. El proveedor sufrio una caida de 72 horas por un error en una actualizacion. La entidad no tenia plan de continuidad, no tenia proveedor alternativo y no tenia copias de datos en otra infraestructura.
Durante esas 72 horas, 40.000 clientes no pudieron acceder a sus cuentas. Las redes sociales se llenaron de quejas. La prensa público la noticia. El regulador financiero abrio una investigación.
NIS2 (artículo 21.2.c) exige planes de continuidad de actividades, incluyendo gestión de copias de seguridad y recuperación de desastres. La entidad habría tenido que evaluar la dependencia de un único proveedor y establecer medidas de mitigación.
Coste real: 280.000 euros en compensaciones a clientes, multa regulatoria y migracion de emergencia a multiples proveedores.
Coste estimado con NIS2: Conmutacion automática a proveedor alternativo. Caida de minutos, no días.
La leccion aquí es clara: la dependencia de un único proveedor es un riesgo de negocio que NIS2 obliga a evaluar y mitigar. No es un requisito técnico esoterico. Es sentido común empresarial elevado a obligación legal. Si tu banco online depende de un único data center y ese data center cae, tus 40.000 clientes se quedan sin servicio. Es inaceptable. Y es exactamente lo que paso.
Estos cinco casos tienen un denominador común: la ausencia de un marco legal que obligue a las empresas a prepararse antes del incidente. NIS2 es ese marco. Y España lleva 17 meses sin implementarlo.
Cuando presento estos casos en conferencias o los uso como referencia en informes periciales, siempre hago la misma pregunta a la audiencia: “Cuantos de vosotros teneis un plan de respuesta a incidentes documentado y probado?” En una sala de 100 directivos, normalmente levantan la maño 5 o 6. Esos 5 o 6 son los que sobrevivirian a un ataque serio. Los otros 94 son los que me llamarian a mi después.
No es una exageracion. Es una observación empirica basada en centenares de auditorias y peritajes. La empresa española medía no esta preparada para un ciberincidente serio. Y sin NIS2, no tiene ningun incentivo legal para cambiar esa realidad.
Que deben hacer las empresas ahora mismo: 10 pasos concretos
En mi trabajo como consultor y perito, veo dos tipos de empresas: las que se preparan antes del incidente y las que me llaman después. Las segundas siempre pagan mas. Con NIS2 ocurrira lo mismo: las que se anticipen tendrán ventaja competitiva; las que esperen al último momento sufriran las prisas.
He tenido clientes que me preguntan: “Jonathan, que normativa aplico si NIS2 no esta transpuesta?”
Mi respuesta es siempre la misma: aplica NIS2 directamente. Usa la directiva como guía.
Cuando la ley española finalmente se apruebe, será una transposición de NIS2 y las diferencias serán menores. Los Estados miembros pueden ser más estrictos que la directiva, pero no más laxos. Lo que no cambiara son los 10 requisitos fundamentales del artículo 21.
Preparate para esos 10 requisitos y estaras cubierto. Es lo que yo hago con mis clientes: cogemos la directiva, artículo por artículo, y creamos un plan de accion basado en los requisitos europeos. Cuando la ley española se apruebe, solo habrá que ajustar los detalles de implementacion nacional. El 90% del trabajo ya estará hecho.
Evalua si tu empresa esta dentro del alcance de NIS2 Consulta la lista de 18 sectores y el criterio de tamaño (más de 50 empleados o facturacion superior a 10 millones de euros en sectores regulados). Cuidado: aunque tengas menos de 50 empleados, si eres proveedor crítico de una entidad esencial, estas dentro. He trabajado con una empresa de 12 empleados que desarrolla firmware para dispositivos medicos y que entra en NIS2 por esta via. Si no estas seguro, consulta con un profesional.
Designa un responsable de seguridad de la información NIS2 exige que alguien tenga responsabilidad directa. No tiene por que ser un CISO a tiempo completo, pero si alguien con formación y autoridad para tomar decisiones. En las PYMEs que asesoro, normalmente es el CTO o el responsable de IT con una formación adicional de 40-60 horas. El coste de esa formación ronda los 1.500-3.000 euros. Comparalo con el coste de no tener a nadie cuando llegue un incidente.
Realiza una evaluación de riesgos formal No basta con saber que “tenemos antivirus”. NIS2 exige una politica de análisis de riesgos documentada. Eso significa identificar tus activos críticos, las amenazas que los afectan, las vulnerabilidades que podrían explotar y las medidas que tienes para mitigarlas. Un análisis de riesgos básico para una PYME de 50-100 empleados cuesta entre 3.000 y 8.000 euros con un consultor externo. Lo he visto pagar por si mismo en el primer incidente que previene.
Implementa un plan de respuesta a incidentes Notificación en 24 horas, informe detallado en 72 horas, informe final en un mes. Estos plazos vendran en la ley y no habrá margen de improvisacion. El plan debe estar documentado, distribuido al equipo clave y probado al menos una vez al año con un ejercicio de simulación (tabletop exercise). He participado como facilitador en decenas de estos ejercicios y el patrón es siempre el mismo: la primera vez que lo haces, descubres que tu plan tiene agujeros enormes. Mejor descubrirlos en un simulacro que durante un incidente real.
Audita tu cadena de suministro NIS2 extiende la responsabilidad a los proveedores. Si dependes de un proveedor tecnologico que no cumple, el responsable eres tu. Empieza por hacer una lista de tus proveedores críticos — los que, si fallaran, pararian tu negocio — y evalua su postura de seguridad. Pide certificaciones, politicas de seguridad, resultados de auditorias. Si no te los dan, plantea cambiar de proveedor. He visto contratos de centenares de miles de euros sin una sola cláusula de ciberseguridad. Eso es inaceptable en 2026.
Implementa copias de seguridad verificadas y plan de continuidad No basta con tener copias de seguridad. Hay que verificar que funcionan. He auditado empresas que tenian copias de seguridad automáticas configuradas desde hace años y que nunca habian probado una restauracion. Cuando llego el ransomware, descubrieron que las copias estaban corruptas. Regla de oro: copia 3-2-1 (3 copias, 2 medios diferentes, 1 fuera de las instalaciones) y restauracion de prueba trimestral.
Forma a tus empleados en ciberhigiene básica El 85% de las brechas de seguridad tienen un componente humano. NIS2 exige formación en ciberhigiene y en los procedimientos de la organización. No es un curso online de 2 horas al año: es formación continua, simulaciones de phishing, politicas de contraseñas robustas y autenticación multifactor. En las empresas que asesoro, implementamos campanas de phishing simulado trimestrales. La tasa de click baja del 30% al 5% en 12 meses.
Implementa autenticación multifactor en todos los sistemás críticos NIS2 (artículo 21.2.j) exige MFA y comunicaciones seguras. Si todavia accedes a tu correo corporativo, tu VPN o tu panel de administración con solo usuario y contraseña, estas expuesto. MFA no es perfecto, pero reduce el riesgo de compromiso de cuenta en un 99,9% según datos de Microsoft. El coste de implementar MFA es practicamente cero con soluciónes como las de Google, Microsoft o aplicaciones TOTP.
Preserva la evidencia digital desde el día uno Cuando llegue un incidente — y con la situación actual no es cuestion de si, sino de cuando — necesitaras evidencia forense admisible. Un perito informático puede ayudarte a establecer los protocolos antes de que los necesites. Esto incluye configurar la retención de logs, activar el registro de eventos en sistemás críticos y documentar la cadena de custodía de la evidencia digital.
Documenta todo lo que hagas La documentación es tu mejor defensa ante una eventual inspeccion. Si puedes demostrar que estabas trabajando activamente en la adaptacion a NIS2 antes de que la ley entrara en vigor, tu posición será infinitamente mejor que la de quien no hizo nada. Los informes periciales, las auditorias de seguridad y los planes de respuesta documentados son evidencia de diligencia debida. He declarado como perito en casos donde la diferencia entre una sanción millonaria y una amonestacion fue la existencia de documentación que demostraba que la empresa habia actuado con diligencia.
Cada uno de estos pasos tiene un coste. Pero comparado con las sanciones de NIS2 — o peor, con el coste de una brecha de datos sin plan de respuesta — es una inversion mínima.
Y lo más importante: estas medidas te protegen independientemente de cuando se apruebe la ley. Porque los ciberataques no esperan al BOE.
Consejo profesional
Si solo puedes hacer tres cosas ahora mismo, haz estas:
Implementa MFA en todos los accesos críticos (correo, VPN, panel administración). Coste: 0 euros. Tiempo: 1 dia. Reduccion riesgo: 99,9% de compromiso de cuentas.
Documenta un plan de respuesta a incidentes básico. No tiene que ser perfecto. Tiene que existir. Quien llama a quien, que se hace primero, como se preserva la evidencia, cuando se notifica a las autoridades. Coste: tu tiempo. Tiempo: 1 semana.
Verifica tus copias de seguridad. Haz una restauracion de prueba. Ahora. Si no funciona, arreglalo antes de que necesites usarla de verdad.
Estas tres medidas, que cuestan practicamente cero euros, habrían evitado o mitigado 4 de los 5 casos que he descrito arriba.
El angulo del ciberseguro: NIS2 cambia las reglas del juego
Hay una dimension de NIS2 que no se discute lo suficiente y que afecta directamente al bolsillo de las empresas: el seguro de ciberriesgos.
En mi experiencia como perito, el patrón se repite una y otra vez: la empresa sufre el ataque, llama al seguro, el seguro pide documentación de medidas de seguridad previas, la empresa no puede demostrar que tenia un plan, y la indemnizacion se reduce drasticamente o se deniega.
Las aseguradoras han endurecido drasticamente sus requisitos en los últimos tres años. Munich Re, Swiss Re y las principales aseguradoras europeas ya exigen a sus clientes medidas alineadas con NIS2 para mantener la cobertura. En la práctica, esto significa:
| Requisito aseguradora | Antes de NIS2 | Con NIS2 transpuesta |
|---|---|---|
| MFA en sistemás críticos | Recomendado | Obligatorio para cobertura |
| Plan de respuesta a incidentes | Valorado positivamente | Requisito mínimo |
| Copias de seguridad verificadas | Variable | Obligatorio, con evidencia de tests |
| Formación empleados | No evaluado | Evidencia de formación anual |
| Evaluación proveedores | No evaluado | Documentación de due diligence |
| Prima anual PYME | 3.000-8.000 euros | 2.000-5.000 euros (con cumplimiento NIS2) |
| Prima anual gran empresa | 50.000-200.000 euros | 30.000-120.000 euros (con cumplimiento NIS2) |
| Tasa de denegacion siniestros | 15-20% | Estimada 5-8% (con documentación NIS2) |
Las empresas que demuestren cumplimiento NIS2 pueden obtener reducciones de prima de entre el 20% y el 40%. He visto casos concretos donde la reduccion de prima del ciberseguro pago por si sola el coste de la adaptacion a NIS2 en menos de dos años.
Y al reves: las empresas que no puedan demostrar un nivel mínimo de madurez en ciberseguridad se van a encontrar con que las aseguradoras les deniegan la cobertura o les cobran primás prohibitivas.
El ciberseguro ya no es un producto que se compra rellenando un formulario. Es un producto que requiere evidencia de madurez en seguridad. NIS2 proporciona el marco de referencia para esa evidencia.
Voy a compartir un caso que lo ilustra perfectamente. Un cliente mio, una empresa de logistica con 80 empleados, tenia un ciberseguro con una cobertura de 500.000 euros. Sufrio un ataque de ransomware que paralizo sus operaciones durante 10 días. Coste total: unos 280.000 euros entre parada operativa, recuperación de sistemás y peritaje forense.
Cuando reclamo al seguro, la aseguradora pidio evidencia de tres cosas: plan de respuesta a incidentes, copias de seguridad verificadas y formación en ciberseguridad para empleados. La empresa no tenia ninguna de las tres documentadas. La aseguradora pago solo el 40% del siniestro — unos 112.000 euros — alegando “falta de medidas de seguridad razonables”.
Con NIS2 transpuesta, esa empresa habría tenido las tres cosas documentadas. El seguro habría pagado el 100%. Y probablemente el ataque ni siquiera habría tenido exito, porque la formación en ciberhigiene habría evitado el phishing que lo inicio.
Las aseguradoras lo tienen claro: NIS2 es el nuevo mínimo. Las empresas que lo cumplan tendrán mejores condiciones. Las que no, pagaran más o directamente no tendrán cobertura.
Coste de compliance vs coste de no-compliance
Voy a poner cifras a la decisión que tiene que tomar cada empresa, porque es lo que mejor funciona para convencer a los consejos de administración:
Coste de prepararse para NIS2
| Tamaño empresa | Inversion estimada | Concepto principal | Tiempo estimado |
|---|---|---|---|
| PYME (50-100 empleados) | 15.000-40.000 euros | Análisis riesgos + plan respuesta + formación + auditorias | 6-9 meses |
| Mediana (100-500 empleados) | 40.000-120.000 euros | CISO externo + programa compliance + herramientas | 9-12 meses |
| Grande (500+ empleados) | 120.000-500.000 euros | CISO interno + SOC + programa integral | 12-18 meses |
Coste de no prepararse
| Concepto | Coste estimado | Fuente |
|---|---|---|
| Sanción NIS2 (entidad esencial) | Hasta 10.000.000 euros | Directiva 2022/2555, art. 34 |
| Sanción NIS2 (entidad importante) | Hasta 7.000.000 euros | Directiva 2022/2555, art. 34 |
| Coste medio brecha de datos en España | 3.600.000 euros | IBM Security 2025 |
| Coste medio parada por ransomware en PYME | 150.000-500.000 euros | Sophos 2025 |
| Responsabilidad personal del administrador | Inhabilitacion + responsabilidad patrimonial | Directiva 2022/2555, art. 20 |
| Coste de preparación de emergencia (vs planificada) | 3x-5x el coste planificado | Experiencia propia en 50+ proyectos |
| Perdida de contrato por no cumplir NIS2 | Variable — he visto casos de 200.000+ euros | Experiencia propia |
| Daño reputacional | Incalculable — he visto empresas perder el 30% de clientes | Ponemon 2025 |
| Incremento prima ciberseguro sin compliance | +30-60% anual | Munich Re 2025 |
La matematica es sencilla. Prepararse cuesta ordenes de magnitud menos que sufrir las consecuencias de no hacerlo.
Para una PYME de 80 empleados, la inversion en preparación NIS2 ronda los 25.000 euros. El coste medio de un único incidente de ransomware en una empresa de ese tamaño supera los 200.000 euros. La sanción máxima de NIS2 es de 7 millones de euros (entidad importante) o 10 millones (entidad esencial). La responsabilidad personal del administrador no tiene precio.
Y con un gobierno que lleva 17 meses de retraso, las empresas no pueden depender de que alguien les avise a tiempo. Tienes que tomar la decisión tu. Ahora.
Un dato que comparto con mis clientes y que suele cambiar la conversacion: el 57% de las PYMEs españolas que pagan un rescate de ransomware no recuperan todos sus datos. Y España es ya el sexto pais del mundo más atacado por ransomware. Estas no son estadisticas abstractas. Son empresas reales que cierran o sufren daños irreparables porque no tenian un plan de respuesta. NIS2 esta disenada precisamente para evitar esto.
Mi opinion profesional sobre esta situación
Llevo años trabajando como perito informático forense en casos que van desde fraudes bancarios hasta ciberataques a infraestructuras críticas. Y lo que veo con NIS2 me recuerda a lo que ocurrio con el RGPD en 2018: las empresas que esperaron al último momento sufrieron un tsunami de multas y costes de adaptacion acelerada. Las consultoras hicieron su agosto cobrando precios desorbitados por adaptaciones de emergencia. Los abogados acumularon expedientes sancionadores. Y los peritos informáticos como yo recibimos una avalancha de encargos de empresas que necesitaban demostrar compliance de la noche a la manana.
Pero hay una diferencia fundamental. Con el RGPD, España aprobo la LOPDGDD solo siete meses después de la fecha limite. Con NIS2, no solo no hemos aprobado la ley: estamos siendo investigados por la Comision Europea por no hacerlo. El mensaje que esto envia a las empresas españolas es devastador: el propio Estado que debería protegerlas y guiarlas en materia de ciberseguridad no cumple con sus propias obligaciones europeas.
Los ciberataques a Moncloa son la mejor ilustracion posible de esta paradoja. Un gobierno que no cumple con NIS2 sufre las consecuencias de exactamente aquello que NIS2 pretende prevenir. He escrito un análisis detallado de esos ataques que recomiendo leer en conjuncion con este artículo.
Tambien quiero senalar algo que no se discute lo suficiente: el impacto en la confianza internacional. Cuando una empresa española compite por un contrato con una empresa alemana, holandesa o francesa, la pregunta sobre el cumplimiento regulatorio surge inevitablemente. Y no poder demostrar que operas bajo un marco NIS2 transpuesto es una desventaja competitiva real. He visto licitaciones públicas en las que se exige cumplimiento NIS2 como requisito previo. Las empresas españolas no pueden demostrar ese cumplimiento porque su propio gobierno no ha creado el marco para ello.
El ecosistema de ciberseguridad español — CISOs, consultores, peritos, abogados especializados — esta preparado. Las herramientas existen, la formación existe, los profesionales existen. Lo que falta es la voluntad politica de aprobar una ley que llevamos 17 meses esperando.
Hay quien argumenta que la ciberseguridad no debería depender de leyes, que las empresas deberían protegerse por puro sentido común.
Es un argumento bonito pero profundamente ingenuo.
Si el sentido común funcionara, no tendriamos 122.223 ciberincidentes al año en España. Si el sentido común funcionara, las PYMEs no usarian “123456” como contraseña. Si el sentido común funcionara, los hospitales tendrían copias de seguridad verificadas.
Pero el sentido común no funciona. No en ciberseguridad. No cuando el coste de protegerse es inmediato y visible, y el coste de no hacerlo es futuro e incierto.
La regulación existe porque el mercado, por si solo, no genera los incentivos suficientes para que las empresas inviertan en seguridad. NIS2 crea esos incentivos. Convierte la inversion en ciberseguridad de gasto discrecional a obligación legal.
Y España lleva 17 meses sin aplicarlos.
Los tres escenarios posibles
Escenario optimista: ley aprobada en 2026 El anteproyecto se tramita como proyecto de ley antes de fin de año. Las empresas tendrían un periodo de adaptacion de 6-12 meses. Es posible pero no esta garantizado dado el calendario parlamentario y la fragmentacion politica.
Escenario probable: retraso hasta 2027 La ley se aprueba en 2027. Bruselas lleva a España ante el Tribunal de Justicia de la UE y solicita multas coercitivas. Las empresas españolas quedarian en desventaja competitiva frente a las de paises que ya aplican NIS2 desde hace tres años.
Escenario crítico: efecto directo de la directiva Si el retraso se prolonga, el TJUE podría reconocer efecto directo a determinadas disposiciones de NIS2. Esto significaria que las obligaciones serían exigibles directamente, sin ley nacional, para las entidades que operan en sectores regulados. Es una posibilidad jurídica real que los tribunales europeos han aplicado en otros ámbitos.
Si gestionas una empresa en los sectores afectados, mi recomendación es clara: no esperes al gobierno. Prepara tu organización como si NIS2 ya estuviera en vigor. Porque cuando finalmente lo este, los plazos de adaptacion serán cortos y las sanciones, inmediatas.
Y un último apunte que me parece relevante: la responsabilidad personal de los administradores. NIS2 introduce la posibilidad de inhabilitar a los directivos de entidades esenciales que no cumplan con las obligaciones de ciberseguridad. Esto no es una amenaza teorica. En Alemania, que ya ha transpuesto parcialmente la directiva, los consejos de administración ya estan incorporando la ciberseguridad como punto fijo del orden del dia. En España, la mayoria de los consejos ni siquiera lo mencionan. Y cuando llegue la ley, tendrán que ponerse al día de golpe.
Es una situación que genera una frustracion profunda en todo el sector. Los profesionales de ciberseguridad llevamos años alertando de que España necesita un marco regulatorio serio. NIS2 era esa oportunidad. Y la estamos desperdiciando.
El impacto en el tejido económico español
Quiero cerrar esta seccion con una reflexion que rara vez se hace pero que me parece fundamental.
El retraso en NIS2 no solo afecta a la ciberseguridad. Afecta a la competitividad del pais.
Las empresas españolas que exportan servicios digitales a otros paises de la UE se encuentran en una situación imposible. Sus clientes europeos les exigen cumplimiento NIS2. Pero España no ha creado el marco para que puedan demostrarlo. No hay certificaciones nacionales. No hay registro de entidades conformes. No hay autoridad que valide el cumplimiento.
He visto licitaciones europeas en las que se descarto a empresas españolas por no poder acreditar un marco NIS2 nacional. No porque no cumplieran tecnicamente — muchas de ellas tenian medidas de seguridad impecables —, sino porque no podian presentar la documentación oficial que los paises con NIS2 transpuesta exigen.
El coste económico de esta situación es imposible de cuantificar, pero es real. Cada contrato perdido, cada cliente que elige a un proveedor belga o italiaño en lugar de uno español, cada licitacion en la que no podemos competir en igualdad de condiciones, es un coste directo del retraso legislativo.
Y hay otro efecto perverso: la fuga de talento. Los profesionales de ciberseguridad españoles — CISOs, consultores, peritos — ven que en otros paises hay un marco regulatorio que da sentido a su trabajo, que crea demanda de sus servicios, que dignifica su profesion. En España, la ciberseguridad sigue siendo un gasto discrecional que las empresas recortan cuando aprieta el presupuesto. NIS2 cambiaria eso. Pero sin NIS2, los mejores profesionales emigran a paises donde su trabajo tiene respaldo legal.
Un mensaje para los que toman las decisiones
Si alguin del equipo legislativo del gobierno lee esto — que lo dudo, pero la esperanza es lo último que se pierde —, quiero transmitir un mensaje claro.
Cada día que pasa sin transponer NIS2:
- Una empresa española pierde un contrato europeo por no poder acreditar cumplimiento
- Una PYME sufre un ciberataque sin tener la obligación de notificarlo ni las herramientas para responder
- Un hospital opera sin las medidas mínimás de ciberseguridad que la directiva exige
- Un directivo toma decisiones sin saber que pronto podrá ser personalmente responsable
- Los contribuyentes acumulamos más deuda en forma de futuras multas del TJUE
Esto no es un problema técnico. Es un problema politico. Y la solución es aprobar la ley. Ahora. No manana. No en el próximo periodo de sesiones. Ahora.
Para una guía detallada sobre las obligaciones concretas de NIS2, consulta mi análisis completo de la ley y sus requisitos.
Tu empresa necesita prepararse para NIS2
Evaluación de cumplimiento NIS2, plan de respuesta a incidentes y protocolos de preservación de evidencia digital. No esperes a que la ley te pille sin preparación.
Más informaciónPreguntas frecuentes
Puede la UE multar directamente a España por no transponer NIS2?
Si, y el proceso ya esta muy avanzado. El procedimiento de infracción tiene cinco fases que he detallado en la seccion correspondiente de este artículo:
- Carta de emplazamiento — completada en noviembre 2024
- Dictamen motivado — completado en mayo 2025
- Recurso ante el TJUE — inminente
- Sentencia con multas
- Posible segundo procedimiento
Para NIS2, la Comision puede solicitar multas directamente en la primera sentencia gracias al artículo 260.3 del TFUE. No necesita una segunda sentencia. Esto es un cambio importante introducido por el Tratado de Lisboa que muchos desconocen.
Para España, las multas coercitivas se estiman en más de 100.000 euros diarios. La suma a tanto alzado podría alcanzar los 20-30 millones de euros.
No es un escenario hipotetico. En 2024, el TJUE ya condeno a España a pagar 15 millones de euros por no transponer a tiempo la Directiva de blanqueo de capitales, con una multa coercitiva adicional de 89.000 euros diarios.
El precedente existe. Es español. Y es reciente.
Si NIS2 no esta transpuesta, pueden sancionarme como empresa?
Mientras no exista ley nacional, no hay base jurídica para sancionar directamente a las empresas por incumplimiento de NIS2 en España.
Sin embargo, esto no significa que puedas ignorar la ciberseguridad. El marco legal actual sigue vigente:
- RGPD/LOPDGDD: Obligaciones de seguridad de datos personales, con multas de hasta 20M euros
- Ley 8/2011: Protección de Infraestructuras Criticas (para operadores designados)
- ENS (RD 311/2022): Esquema Nacional de Seguridad (para administración pública y proveedores)
- PCI DSS: Sector de pagos con tarjeta
- Normativa sectorial: Banco de España, CNMC, etc.
Ademas, cuando la ley se apruebe, las empresas tendrán plazos cortos de adaptacion. Las que no se hayan preparado no podrán cumplir a tiempo.
Y hay un matiz jurídico importante que muchos ignoran: si tu empresa opera en un Estado miembro que ya ha transpuesto NIS2, puedes ser sancionado por ese pais. No necesitas tener sede alli. Basta con que prestes servicios en su territorio.
Como afecta esto a las empresas españolas que operan en otros paises de la UE?
Si tu empresa presta servicios en Francia, Alemania, Italia o cualquier otro Estado miembro que ya ha transpuesto NIS2, estas sujeto a las obligaciones de NIS2 en ese pais. Independientemente de lo que haga España.
El derecho europeo permite que las autoridades competentes de un Estado miembro actuen sobre entidades que prestan servicios en su territorio. Esto es especialmente relevante para:
- Empresas SaaS que venden a clientes en la UE
- Proveedores de servicios gestionados (MSP) con clientes europeos
- Empresas de servicios cloud que alojan datos de entidades europeas
- Consultoras tecnologicas que trabajan para clientes en otros paises
- Proveedores de ciberseguridad que dan servicio a entidades esenciales europeas
He visto a empresas españolas de tecnología que perdieron contratos con clientes alemanes porque no podian demostrar cumplimiento NIS2. No porque no tuvieran medidas de seguridad — las tenian —, sino porque no existia un marco nacional español que las respaldara.
La inaccion del gobierno español tiene un coste competitivo directo para las empresas que operan en el mercado único europeo. Y ese coste crece cada día que pasa sin transposición.
Cuanto tiempo tendremos para adaptarnos cuando se apruebe la ley?
El anteproyecto de la Ley de Coordinacion y Gobernanza de la Ciberseguridad contempla un periodo de adaptacion que dependera de si la entidad es esencial o importante.
Sin embargo, dado el retraso acumulado (17 meses), es probable que los plazos sean más cortos de lo habitual. El gobierno sabe que esta bajo presion de Bruselas y querrra demostrar que las empresas españolas cumplen lo antes posible.
La experiencia del RGPD sugiere que el gobierno podría dar entre 6 y 12 meses. Pero con el RGPD, las empresas tuvieron 2 años de aviso previo (desde la aprobacion del reglamento en 2016 hasta su aplicación en 2018). Con NIS2, cuando la ley se apruebe, las empresas habrán tenido como mucho unos meses de preaviso.
Mi recomendación: no esperes al periodo de adaptacion. Empieza ahora. Cada mes que inviertas en preparación ahora te ahorrara tres meses de prisas cuando la ley se apruebe. Y llegaras con ventaja competitiva frente a los que esperen al último momento.
Que pasa si soy proveedor de una entidad esencial pero tengo menos de 50 empleados?
NIS2 tiene un criterio de tamaño general (más de 50 empleados o 10 millones de facturacion), pero incluye excepciones importantes.
Independientemente del tamaño, estan dentro del alcance:
- Proveedores de servicios DNS
- Registros de nombres de dominio de primer nivel (TLD)
- Proveedores de servicios de confianza (certificados digitales, firma electrónica)
- Proveedores de redes públicas de comunicaciones electrónicas
- Cualquier entidad que los Estados miembros identifiquen individualmente como crítica
Pero hay un efecto cascada que muchos no ven: las entidades esenciales tienen la obligación de evaluar a sus proveedores. Esto significa que aunque tu empresa de 20 empleados no entre formalmente en NIS2, si tu cliente es una entidad esencial (un hospital, un banco, una empresa energetica), te exigira cumplimiento NIS2 contractualmente.
He visto ya cláusulas contractuales de grandes empresas españolas que exigen a sus proveedores “cumplimiento con los requisitos de la Directiva NIS2” como condición para renovar contratos. Es un efecto multiplicador: NIS2 afecta directamente a 5.700 entidades, pero indirectamente a decenas de miles de proveedores.
NIS2 se aplica a la administración pública española?
Si. NIS2 incluye expresamente a la administración pública como sector de alta criticidad.
En España, esto afectaria a:
- Ministerios y organismos de la Administración General del Estado
- Comunidades autonomás y sus organismos dependientes
- Ayuntamientos de ciudades grandes y medianas
- Organismos públicos: AEAT, Seguridad Social, SEPE, etc.
- Empresas públicas: Renfe, Correos, Aena, etc.
La ironia es evidente: el gobierno que no transpone la ley sería una de las primeras entidades obligadas a cumplirla.
Pero más alla de la ironia, la realidad es preocupante. Muchas administraciones públicas españolas tienen un nivel de madurez en ciberseguridad muy bajo. Los ciberataques a Moncloa de febrero-marzo 2026 lo demostraron.
El ENS (Esquema Nacional de Seguridad, RD 311/2022) cubre parte de los requisitos de NIS2 para la administración pública. Pero NIS2 va más alla en tres aspectos fundamentales: obligaciones de notificación con plazos estrictos, gobernanza con responsabilidad personal de los directivos y supervision por una autoridad externa independiente. El ENS no tiene nada de eso.
Que diferencia hay entre NIS2 y la Directiva CER?
NIS2 (Directiva 2022/2555) se centra en la ciberseguridad — protección de redes y sistemás de información.
La Directiva CER (Directiva 2022/2557) se centra en la resiliencia física de las infraestructuras críticas — protección contra riesgos naturales, terrorismo, sabotaje y accidentes.
Ambas directivas:
- Se aprobaron el mismo día (14 de diciembre de 2022)
- Tenian el mismo plazo de transposición (17 de octubre de 2024)
- Ambas estan sin transponer en España
- Son complementarias: una entidad crítica podría necesitar cumplir con ambas
En la práctica, un hospital debería cumplir NIS2 para proteger sus sistemás informáticos y CER para proteger sus instalaciones físicas, suministro electrico y cadena de suministro de medicamentos. Sin ninguna de las dos transpuestas, opera en un doble vacio regulatorio.
Que relación tiene NIS2 con DORA para el sector financiero?
DORA (Reglamento 2022/2554) es el Reglamento de Resiliencia Operativa Digital para el sector financiero.
Hay una diferencia jurídica fundamental: DORA es un reglamento europeo, no una directiva. Esto significa que se aplica directamente en todos los Estados miembros sin necesidad de transposición. DORA entro en aplicación en enero de 2025 y ya es vinculante para todas las entidades financieras españolas.
Las entidades financieras deben cumplir tanto DORA como NIS2, aunque DORA prevalece como lex specialis en el ámbito financiero.
En la práctica:
- Si tu empresa es un banco, aseguradora o entidad de pago: DORA es tu marco principal
- NIS2 actua como red de seguridad en lo que DORA no cubra
- Los proveedores de servicios TIC del sector financiero (no financieros ellos mismos) caen bajo NIS2
- Si eres una fintech que además presta servicios a entidades no financieras, necesitas cumplir ambos
He leido que la directiva tiene efecto directo. Que significa exactamente?
El efecto directo es un principio del derecho europeo que permite a los particulares invocar directamente disposiciones de una directiva ante los tribunales nacionales cuando el Estado miembro no la ha transpuesto a tiempo.
Para que una disposicion tenga efecto directo, debe cumplir tres requisitos:
- Ser clara en su contenido
- Ser precisa en sus obligaciones
- Ser incondicional (no depender de medidas nacionales de implementacion)
Algunas disposiciones de NIS2 podrían cumplir estos requisitos. En particular:
- Los plazos de notificación del artículo 23 (24h/72h/1 mes) son claros, precisos e incondicionales
- La obligación de designar un responsable del artículo 20 es igualmente clara
- La lista de sectores afectados de los Anexos I y II no deja margen de interpretacion
Pero es una cuestion jurídica compleja que dependera de la interpretacion del TJUE caso a caso.
Lo que si es seguro — y esto lo uso habitualmente en mis informes periciales — es que un juez español podría usar NIS2 como criterio interpretativo del nivel de diligencia exigible a una empresa. Si una empresa es demandada por negligencia tras un ciberataque, el juez puede razonar: “NIS2 define el estandar europeo de diligencia en ciberseguridad. Aunque no este transpuesta en España, es el marco de referencia. Esta empresa no cumplia ni una de las 10 medidas del artículo 21. Por tanto, actuo sin diligencia.”
No es teoria. He visto a jueces españoles usar directivas no transpuestas como criterio interpretativo en otros ámbitos. Y lo harán también con NIS2.
Que diferencia hay entre este artículo y la guía de obligaciones NIS2?
Este artículo analiza el procedimiento de infracción de la UE contra España y sus consecuencias politicas, económicas y empresariales. Es una pieza de opinion crítica y análisis de contexto.
Si lo que necesitas es una guía práctica sobre que obligaciones concretas tendrá tu empresa cuando NIS2 entre en vigor, consulta mi análisis detallado con plazos, sectores afectados, requisitos técnicos y pasos de preparación.
Ambos artículos son complementarios: este explica el “por que estamos donde estamos” y el otro explica el “que tienes que hacer”.
Preguntas relacionadas
Si has llegado hasta aquí, estos artículos complementan el análisis:
Cuales son las obligaciones concretas de NIS2 para empresas españolas y como prepararse paso a paso — la guía práctica que complementa este artículo
Como afectaron los ciberataques a Moncloa a la seguridad de datos de altos cargos del gobierno — el caso que demuestra por que NIS2 era urgente
Por que España sufre 3 ciberataques graves al dia y que sectores son los más afectados — el contexto de amenazas que hace NIS2 imprescindible
Que revela el balance de INCIBE 2025 con 122.223 ciberincidentes sobre la madurez de ciberseguridad en España — las cifras que el gobierno debería haber tenido en cuenta
Por que el 57% de las PYMEs que pagan ransomware no recuperan sus datos y como evitarlo — la realidad de las empresas sin plan de respuesta
Que servicios de consultoria y asesoramiento en ciberseguridad necesita tu empresa para cumplir con NIS2 — como puedo ayudarte a prepararte
Este artículo refleja mi opinion profesional basada en la experiencia acumulada como perito informático forense. Los casos descritos han sido anonimizados por confidencialidad. Las cifras de coste son estimaciones basadas en datos públicos y en mi experiencia directa con empresas españolas. Las referencias a normativa europea son precisas a fecha de publicacion (marzo 2026).
Si tu empresa necesita prepararse para NIS2, puedes contactarme directamente para una evaluación inicial sin compromiso.
Referencias y fuentes
- El Español (11 marzo 2026). “España, a la cabeza de la UE en directivas sin transponer: 101 normás pendientes”. elespañol.com
- Redes Zone (marzo 2026). “España incumple la transposición de NIS2: procedimiento de infracción de la UE”. redeszone.net
- Computing.es (2026). “La Directiva NIS2 y el retraso español en ciberseguridad”. computing.es
- European Commission (noviembre 2024). “NIS2 Directive - Transposition status and infringement procedures”. digital-strategy.ec.europa.eu
- La Moncloa (14 enero 2025). “Anteproyecto de Ley de Coordinacion y Gobernanza de la Ciberseguridad”. lamoncloa.gob.es
- CCN-CERT (2026). “Informes de ciberamenazas y respuesta a incidentes en la administración pública”. ccn-cert.cni.es
- INCIBE (2025). “Balance de ciberseguridad 2025: 122.223 ciberincidentes gestionados”. incibe.es
- BOE (2025). “Estrategia de Ciberseguridad Nacional y Consejo de Seguridad Nacional”. boe.es
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Union. eur-lex.europa.eu
- IBM Security (2025). “Cost of a Data Breach Report 2025 - Spain”. ibm.com/security
- Interior.gob.es (2025). “Trámite de audiencia pública - Anteproyecto de Ley de Ciberseguridad”. interior.gob.es
- Tribunal de Justicia de la Union Europea (2024). Sentencia C-292/23 - España, incumplimiento Directiva blanqueo capitales. curia.europa.eu
- Tribunal de Justicia de la Union Europea (2024). Sentencia C-823/21 - Hungria, incumplimiento Directiva asilo. curia.europa.eu
- ANSSI - Agence Nationale de la Securite des Systemes d’Information (2025). “Transposition NIS2 en France - cadre de reference”. cyber.gouv.fr
- BSI - Bundesamt fur Sicherheit in der Informationstechnik (2025). “NIS2-Umsetzungsgesetz und IT-Grundschutz”. bsi.bund.de
- ACN - Agenzia per la Cybersicurezza Nazionale (2024). “Decreto Legislativo 138/2024 - Recepimento Direttiva NIS2”. acn.gov.it
- Centre for Cybersecurity Belgium (2024). “Loi NIS2 - Cadre belge de cybersecurite”. ccb.belgium.be
- NTT Data (febrero 2026). “Global Threat Intelligence Report H2 2025 - Spain: 3 major cyberattacks per day”. nttdata.com
- Sophos (2025). “The State of Ransomware 2025 - SMB Recovery Statistics”. sophos.com
- Munich Re (2025). “Cyber Insurance Market Outlook 2025: NIS2 compliance and premium impact”. munichre.com
- Microsoft Security (2025). “Multi-factor authentication: 99.9% effectiveness against account compromise”. microsoft.com/security
- El Correo Gallego (febrero 2026). “El Estado no conoce cuantos ciberataques recibe España cada dia”. elcorreogallego.es
- Thales (2025). “Data Threat Report 2025 - Spain 6th most ransomware-targeted country”. thalesgroup.com
- Veeam (2025). “Data Protection Trends Report 2025 - Ransomware recovery statistics”. veeam.com
- Tratado de Funcionamiento de la Union Europea, artículos 258-260 - Procedimientos de infracción. eur-lex.europa.eu
