España enfrenta sanciones por incumplir la Directiva NIS2 de la UE
Publicado el
España y el incumplimiento de la Directiva NIS2
La Directiva NIS2, actualizada desde 2016, busca establecer un nivel común de seguridad en las redes y sistemas de información dentro de la Unión Europea. Esta normativa, que es de obligado cumplimiento, fue promulgada con el objetivo de mejorar la ciberseguridad en todos los Estados miembros.
La Directiva (UE) 2022/2555, que reemplaza la anterior, fue adoptada en noviembre de 2022 y entró en vigor el 16 de enero de 2023. Desde entonces, los países miembros debían transponer esta normativa a su legislación nacional antes del 17 de octubre de 2024. Sin embargo, España no ha cumplido con este plazo, lo que ha generado la impaciencia de la Unión Europea.
Proceso de transposición en España
A pesar de haber aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad el 14 de enero de 2025, España aún no ha formalizado esta ley. La UE emitió un primer aviso a España el 7 de mayo de 2025 por el incumplimiento de la directiva. Más recientemente, el 4 de marzo de 2026, se ha entregado un dictamen motivado que sirve como aviso formal antes de que se inicie un proceso judicial en el Tribunal de Justicia de la Unión Europea.
Este ultimátum concede a España un plazo de dos meses para corregir su situación y cumplir con sus obligaciones. En caso de que el tribunal determine que España ha fallado en su deber, el país podría enfrentarse a multas económicas, que se acumularían hasta que se cumpla con la normativa.
Requisitos de la Directiva NIS2
Entre las obligaciones impuestas por NIS2, se destaca la necesidad de que las empresas gestionen de forma efectiva los riesgos de ciberseguridad. Además, las organizaciones deben notificar a las autoridades sobre cualquier ciberataque en un plazo máximo de 24 horas y asumir la responsabilidad por los ataques sufridos, lo que afecta directamente a los directivos y al consejo de administración.
La directiva amplía su ámbito de aplicación, incluyendo a más sectores y tipos de entidades, con el fin de ofrecer una protección más extensa a medianas y grandes empresas. Este enfoque busca garantizar que los usuarios finales estén mejor protegidos frente a los ciberataques.
Consecuencias del incumplimiento
El incumplimiento de la Directiva NIS2 por parte de España podría tener graves repercusiones. La Comisión Europea ha señalado que la falta de acción no solo afecta la seguridad nacional, sino que también pone en riesgo la seguridad cibernética de toda la Unión Europea. Si España no actúa rápidamente, podría enfrentar no solo sanciones económicas, sino también una pérdida de confianza en su capacidad para gestionar adecuadamente la ciberseguridad.
En resumen, la situación actual de España respecto a la Directiva NIS2 es crítica. El país debe tomar medidas inmediatas para asegurar la transposición de la normativa y evitar un conflicto legal con la Unión Europea, así como las sanciones que podrían derivarse de este incumplimiento.