NIS2 en España: qué obligaciones llegan en 2026 (y por qué esperar a la ley es un error)

El 17 de octubre de 2024 venció el plazo para que España transpusiera la Directiva (UE) 2022/2555, conocida como NIS2. El 7 de mayo de 2025 la Comisión Europea envió un dictamen motivado a 19 Estados miembros, España entre ellos, por no haber notificado la transposición completa. Y a fecha de hoy el aviso ya no es uno solo: el 19 de mayo de 2026 la Comisión remitió un segundo requerimiento formal exigiendo transponer "con urgencia", dentro del expediente de infracción INFR(2024)0270, el paso previo a llevar al Estado ante el Tribunal de Justicia de la UE (Moncloa, junio 2026). A junio de 2026, la ley que cierra el círculo sigue en el Congreso. Si su organización está afectada y lleva año y medio esperando un texto definitivo para moverse, tiene un problema de calendario que ya no se arregla solo.

Para dimensionar la urgencia: España registró más de 122.000 incidentes de ciberseguridad en 2025, un 26% más que el año anterior, y el CCN-CERT estima cerca de 2.000 ataques semanales contra el sector público. El reloj regulatorio y el reloj de la amenaza corren en la misma dirección.

 

El estado real de la transposición: incertidumbre, no parálisis

Conviene separar lo que está cerrado de lo que aún flota. El vehículo legislativo principal en España es el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado por el Consejo de Ministros el 14 de enero de 2025 (DSN, 2025). Ese texto es el que incorpora formalmente NIS2 al ordenamiento jurídico español, crea el Centro Nacional de Ciberseguridad (CNC) y reparte las autoridades de control por sectores. Un matiz que muchos resúmenes pasan por alto: el CNC todavía no existe; lo crea la futura ley. A día de hoy el único punto de contacto único ante la UE y ENISA es el Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional. A fecha de este artículo el anteproyecto sigue en tramitación parlamentaria, sin mayoría suficiente para avanzar y sin aprobación definitiva.

El Real Decreto-ley 7/2025 ha transpuesto en parte la NIS2, y regula medidas urgentes de refuerzo del sistema eléctrico y establece obligaciones para las empresas.

Bruselas ya ha pasado del aviso al expediente, y del primer aviso al segundo. La amenaza de multa coercitiva diaria ante el Tribunal de Justicia de la UE presiona el calendario, y hay una fecha concreta que vigilar: en septiembre de 2026 la Comisión evaluará los progresos. Si para entonces la ley no está aprobada, el caso irá con toda probabilidad a Luxemburgo, donde las sanciones diarias dejan de ser hipótesis (las estimaciones de prensa apuntan a cifras del orden de decenas de miles de euros al día).

Quien diseñe su plan asumiendo que "esto se retrasará a 2027" está apostando contra la Comisión Europea. Mala apuesta.

Gestión de riesgos NIS2

A quién aplica y con qué números

NIS2 amplía de forma notable el perímetro respecto a la NIS original, hasta cubrir 18 sectores. El criterio general que recoge el anteproyecto sigue el de la directiva: entidades de los sectores de los Anexos I y II con 50 o más empleados o más de 10 millones de euros de volumen de negocio, con excepciones que arrastran a empresas más pequeñas en sectores críticos (DSN, registros de dominios de primer nivel, prestadores cualificados de servicios de confianza, administraciones públicas).

La clasificación importa por dos motivos. Marca el régimen de supervisión —proactivo para las esenciales, reactivo para las importantes— y marca las sanciones. Según el marco de la directiva trasladado al anteproyecto, las entidades esenciales se exponen a multas de hasta 10 millones de euros o el 2 % del volumen de negocio mundial; las importantes, hasta 7 millones o el 1,4 % (Directiva 2022/2555, arts. 34-35). El que sea mayor. Sectores nuevos respecto a NIS: gestión de residuos, alimentación, fabricación, servicios postales, productos químicos, investigación.

Un consejo práctico: el ejercicio de autoclasificación no es trivial y muchas organizaciones lo hacen mal. Si su empresa tiene filiales o presta servicios a una entidad esencial, el alcance puede salpicarle por la cadena de suministro aunque su tamaño no le incluyera de forma directa.

El núcleo que ya puede —y debe— abordarse hoy

Aquí está el argumento central. Aunque la ley no esté cerrada, las obligaciones de fondo de NIS2 son estables desde diciembre de 2022, porque vienen de la propia directiva y no de su transposición. Esperar al texto español para empezar a trabajarlas es confundir el envoltorio con el contenido.

Tres bloques son previsibles y deberían estar ya en marcha:

Gestión de riesgos. 

El artículo 21 de la directiva exige medidas técnicas y organizativas: análisis de riesgos, gestión de incidentes, continuidad de negocio y copias de seguridad, seguridad de la cadena de suministro, cifrado, control de accesos y, donde proceda, autenticación multifactor. Nada de esto cambiará con la redacción final del articulado español. Quien tenga un programa de seguridad serio ya está al 70 % del camino.

Notificación de incidentes. 

El esquema de plazos es el que conviene memorizar, porque es operativo y poco negociable. Ante un incidente significativo: alerta temprana en 24 horas desde que se tiene conocimiento, notificación detallada en 72 horas con evaluación inicial de impacto e indicadores de compromiso, e informe final en un mes (Directiva 2022/2555, art. 23; INCIBE-CERT). El reloj de las 24 horas arranca cuando hay motivos razonables para creer que ocurrió un incidente importante, no cuando termina la forense. Ese matiz hunde a muchos equipos: si su runbook de respuesta no contempla notificar con investigación a medias, llegará tarde.

Responsabilidad de la dirección. 

Es el cambio cultural de NIS2 y el que más resistencia genera. La directiva responsabiliza directamente a los órganos de dirección de aprobar y supervisar las medidas, y les obliga a formarse para entender los riesgos (art. 20). En la práctica, un consejo puede responder en el plano personal si la entidad sufre un incidente grave por no haber aprobado las medidas exigidas. La ciberseguridad deja de ser una partida del CISO para convertirse en una obligación fiduciaria. Si su comité de dirección no ha recibido formación específica, ese es el primer hueco que un supervisor mirará.

La cadena de suministro deja de ser un anexo

Hay un punto de NIS2 que el retraso español ha vuelto muy visible: la evaluación de proveedores tecnológicos. La directiva obliga a valorar la seguridad de la cadena de suministro y a tener en cuenta a los proveedores de alto riesgo. El debate público en España —contratos con fabricantes señalados por la UE como de riesgo, cámaras y equipos de origen cuestionado en infraestructuras sensibles— ilustra el tipo de revisión que NIS2 fuerza una vez en vigor (estas referencias proceden de cobertura de prensa y conviene tomarlas como contexto, no como hechos jurídicamente cerrados). El mensaje para una organización afectada es concreto: la diligencia sobre quién le presta servicios críticos, con qué auditorías y bajo qué cláusulas, es ya parte del cumplimiento, no un extra.

No confunda NIS2 con todo lo demás

El error opuesto a la inacción es duplicar el trabajo. NIS2 convive con otras normas y no siempre manda ella. Para el sector financiero, DORA es lex specialis: en materia de riesgo TIC prevalece sobre NIS2, aunque las áreas no tecnológicas de NIS2 puedan seguir aplicando. El Reglamento de Ciberresiliencia (CRA), en vigor desde el 10 de diciembre de 2024 (Reglamento (UE) 2024/2847), apunta a productos con elementos digitales, no a la prestación de servicios, con sus obligaciones principales aplicables desde finales de 2027; complementa, no sustituye. Y en España, el Esquema Nacional de Seguridad (ENS) —Real Decreto 311/2022— sigue siendo la referencia para el sector público y sus proveedores tecnológicos.

La lectura correcta: aproveche lo que ya tiene. Una entidad con ENS certificado o con DORA en marcha no parte de cero. Mapee controles entre marcos antes de lanzar un proyecto nuevo y se ahorrará gastar dos veces en el mismo control.

 

Ciberseguridad NIS2Qué hacer en lo que queda de 2026

La recomendación es directa. No espere a la ley. Haga ahora un diagnóstico de aplicabilidad —¿está dentro?, ¿esencial o importante?—, un análisis de brecha contra el artículo 21, y ponga en marcha el circuito de notificación de incidentes con los plazos de 24/72 horas ensayados, no solo escritos. Forme al consejo este trimestre. Y revise sus contratos críticos: NIS2 ya está condicionando pliegos, SLAs y exigencias de auditoría en la compra pública y privada, aunque la ley nacional no esté publicada (Computing, marzo 2026). Cuando el texto definitivo entre en vigor, previsiblemente este año,  y, posiblemente, de una sanción evitada.

En A3Sec hacemos exactamente ese punto de partida: una evaluación de brecha (gap assessment) NIS2 que le dice, sin humo, dónde está y qué le falta para el día en que la autoridad de control llame a la puerta. 

NIS2

  •