España, a contrarreloj con la NIS 2
El objetivo es ambicioso: reforzar la ciberresiliencia en toda la Unión Europea, armonizar los estándares de protección y mejorar la capacidad de respuesta frente a amenazas digitales
El 17 de octubre de 2024 debía marcar un punto de inflexión en la política europea de ciberseguridad. En esa fecha vencía el plazo para que los Estados miembros de la Unión Europea incorporaran a sus ordenamientos jurídicos la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un nivel común elevado de ciberseguridad en toda la Unión (NIS 2).
El objetivo de la NIS 2 es ambicioso: reforzar la ciberresiliencia en toda la Unión Europea, armonizar los estándares de protección y mejorar la capacidad de respuesta frente a unas amenazas digitales cada vez más sofisticadas y persistentes. Sin embargo, un año después de su entrada en vigor, España aún no ha culminado ese proceso.
El 14 de enero de 2025, el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, destinado a adaptar la normativa española a las exigencias de la NIS II. Se trata de un paso importante, pero llega con meses de retraso respecto al calendario europeo. Esta situación genera incertidumbre jurídica y retrasa la puesta en marcha de medidas esenciales tanto en el sector público como en el privado.
Una de las principales razones por las que la Unión Europea y, en consecuencia, los Estados miembros han puesto el foco en la Directiva NIS 2 es el creciente riesgo que afronta una sociedad altamente conectada, en la que los ciberataques se han multiplicado y perfeccionado, afectando a infraestructuras críticas, servicios esenciales y cadenas de suministro globales. Un ejemplo reciente fue el apagón eléctrico ocurrido en España el 28 de abril de 2025, que evidenció la vulnerabilidad de los sistemas más sensibles, especialmente aquellos legalmente catalogados como críticos.
Este tipo de incidentes subraya la urgencia de contar con marcos normativos sólidos y eficaces, capaces de prevenir, detectar y responder ante amenazas que pueden paralizar servicios básicos y comprometer la seguridad nacional. Todo ello refleja la importancia estratégica de la NIS 2 en una realidad cada vez más interconectada y profundamente digitalizada.
Dentro de las novedades de la NIS 2 se encuentra la ampliación de su ámbito de aplicación, que incorpora sectores hasta ahora excluidos, como la gestión de residuos, la administración pública, la industria química, la alimentación y la manufactura de productos considerados críticos para el funcionamiento de la sociedad y la economía. De esta forma, se reconoce que la ciberseguridad no puede limitarse a unos pocos sectores “esenciales”, sino que debe integrarse en todo el tejido productivo y administrativo, dado que la interconexión entre sectores hace que cualquier vulnerabilidad pueda tener efectos en cadena.
Asimismo, la norma introduce una nueva clasificación de las organizaciones afectadas. Por un lado, están las entidades esenciales, que operan en sectores especialmente críticos y están sujetas a una supervisión más rigurosa y continua. Por otro, las entidades importantes, organizaciones relevantes desde el punto de vista económico o social, pero con menor criticidad sistémica, cuya supervisión se centra en la respuesta a incidentes o en la detección de posibles incumplimientos. Esta distinción busca equilibrar la protección integral del sistema con un uso eficiente de los recursos de supervisión.
La NIS 2 también establece un marco más homogéneo de requisitos de ciberseguridad aplicable a todas las entidades cubiertas. Entre estos se incluyen la implementación de políticas de análisis de riesgos y seguridad de la información, la gestión de incidentes, la continuidad del negocio y la recuperación ante desastres, así como la seguridad en la cadena de suministro y el uso de sistemas de cifrado y autenticación segura.
Finalmente, la directiva refuerza la gobernanza y la cooperación entre los Estados miembros, exigiendo la creación de estrategias nacionales de ciberseguridad y una mayor coordinación con la Unión Europea para garantizar una respuesta eficaz y coherente frente a los incidentes y amenazas transfronterizas.
La NIS 2 marca un antes y un después en la política de ciberseguridad europea. Su correcta y rápida aplicación no solo reforzará la capacidad de defensa de los Estados miembros, sino que contribuirá a consolidar una Europa digital más segura, resiliente y competitiva. El aniversario de su entrada en vigor, más que un motivo de celebración, debería interpretarse como un recordatorio de la urgencia de actuar y de consolidar un marco normativo que refuerce de forma efectiva la ciberseguridad.