En los últimos años, la Comisión Europea ha abierto varios expedientes sancionadores al Estado español por no cumplir los plazos de trasposición de varias Directivas Europeas. Recordemos que las Directivas, a diferencia de los Reglamentos, no son de aplicación directa y deben ser incorporadas a los ordenamientos jurídicos nacionales según considere cada Estado Miembro teniendo éstos libertad para adoptar las leyes, decretos, reglamentos o cualquier otra norma jurídica nacional que les permita alcanzar los objetivos establecidos en las correspondientes Directivas.
El último ejemplo de retraso por parte de nuestro país en la trasposición de una Directiva que ha terminado en sanción, lo hemos conocido a principios de este mismo mes agosto y es que el Tribunal de Justicia de la Unión Europea (TJUE) ha impuesto a España una multa de más de seis millones de euros por no haber transpuesto en plazo la Directiva (UE) 2019/1158 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a la conciliación de la vida familiar y la vida profesional de los progenitores y los cuidadores, y por la que se deroga la Directiva 2010/18/UE del Consejo.
Otro ejemplo reciente de Directiva que ha sufrido retrasos en su implementación en el ordenamiento jurídico español lo tenemos en la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo de 25 de noviembre de 2020 relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE, cuya fecha límite de transposición era la del 25 de diciembre de 2022.
En relación con la Directiva NIS 2 [1], que busca fortalecer la ciberseguridad de las infraestructuras críticas y servicios esenciales en la Unión Europea ampliando el alcance de la llamada Directiva NIS 1 [2] y establece requisitos de seguridad más estrictos, el plazo de trasposición finalizó el pasado 17 de octubre de 2024.
¿A qué riesgos se enfrenta España por no haber transpuesto, diez meses después de la fecha límite impuesta por la Unión Europea, la Directiva NIS 2?
Con carácter general, el retraso en la trasposición de las Directivas Europeas no solo lleva aparejado el riesgo económico de poder ser sancionado por parte del TJUE sino que genera una gran inseguridad jurídica a los sujetos obligados de la norma al no disponer de un marco legislativo nacional de aplicación claramente definido que les permita adaptarse de forma concreta.
En el caso de NIS 2, debido al objeto que regula, los riesgos que están corriendo los Estados Miembros que todavía no la han transpuesto en sus legislaciones nacionales, son todavía mayores porque esta Directiva busca fundamentalmente la implementación de medidas para aumentar el nivel de seguridad en las redes y sistemas de información de las empresas obligadas –sectores de alta criticidad– y mejorar la gestión de riesgos cibernéticos así como el establecimiento de mecanismos comunes de ciberdefensa en la Unión Europea que permita garantizar la continuidad y la integridad de los servicios digitales ante cualquier amenaza o incidente de seguridad, por ello, la falta de obligaciones concretas y homogéneas a nivel nacional puede aumentar la vulnerabilidad de las organizaciones obligadas a su cumplimiento incrementando al mismo tiempo su riesgo de sufrir ciberataques al no disponer de mecanismos adecuados de prevención y gestión de riesgos ni de políticas adecuadas de seguridad que exige la normativa europea.
España en la cuerda floja
A principios del mes de mayo del año 2025, la Comisión Europa envió un dictamen motivado a los Estados Miembros que en dicha fecha todavía no habían transpuesto la Directiva NIS 2, otorgándoles un plazo de dos meses para responder y adoptar las medidas necesarias. En el supuesto de incumplimiento, la Comisión podría optar por remitir los asuntos al TJUE.
En el caso de nuestro país, aunque el Consejo de Ministros aprobó el 14 de enero de 2025, es decir, antes de recibir el dictamen motivado por parte de la Comisión, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad [3] (“Anteproyecto de Ciberseguridad”) buscando precisamente alinear el ordenamiento jurídico español a NIS 2, a fecha de agosto 2025, el Anteproyecto de Ciberseguridad no ha sido aprobado ni publicado en el BOE.
La situación de incumplimiento en la que se encuentra España –hace más de diez meses que debía haber transpuesto la Directiva NIS 2– se agrava, además, porque en el Anteproyecto de Ciberseguridad se establecen ciertos plazos desde la entrada en vigor del mismo para cumplir con determinados requerimientos de NIS 2 (como, la designación de los responsables de seguridad de las empresas, la creación y la puesta en marcha del Centro Nacional de Ciberseguridad o la elaboración de la Estrategia Nacional de Ciberseguridad), por lo que incluso tras la aprobación y publicación en el BOE de esta Ley, nuestro país todavía necesitará varios meses para dar pleno cumplimiento a determinadas obligaciones impuestas por NIS 2. Bruselas ya ha activado el procedimiento de infracción contra España, veremos cómo acaba.
Próximos pasos
NIS 2 ya es de aplicación en la Unión Europea por lo que, a pesar de que lo más probable es que el Anteproyecto de Ciberseguridad se apruebe antes de finales de año al tramitarse por el procedimiento de urgencia o, como muy tarde, durante el primer trimestre de 2026, las empresas no deberían esperar a su entrada en vigor para comenzar a cumplir con las exigencias de NIS 2 sino que deberían empezar ya mismo, si no han empezado aún, a implementar los requerimientos de esta Directiva adaptando, por ejemplo, sus políticas de seguridad a estándares europeos ya definidos. En otras palabras, no es necesario que el Anteproyecto de Ciberseguridad sea aprobado para que las organizaciones se puedan alinear, por ejemplo, con algún estándar de ciberseguridad como puede ser la ISO 27001 o, en el caso concreto de España, el Esquema Nacional de Seguridad ya que ello les puede permitir desarrollar, de algún modo, procesos clave en materia de seguridad para poder mejorar su capacidad de respuesta y recuperación operativa en caso de un ciberataque y poder demostrar, llegado el momento, el cumplimiento de medidas destinadas a la gestión de riesgos de ciberseguridad.
El uso cada vez mayor de la tecnología en los distintos sectores económicos y la rápida evolución y sofisticación de los ataques tecnológicos, hace necesario que se tenga que mejorar y fortalecer la capacidad de respuesta y la cooperación entre todos los actores implicados en la protección digital y, para lograrlo, los Estados Miembros tienen que terminar de transponer la Directiva NIS 2 en sus legislaciones nacionales porque es la única manera de tratar de garantizar un elevado nivel común de ciberseguridad en la Unión Europea (España no es el único país de la Unión que se encuentra en estado de incumplimiento). Las obligaciones establecidas por la Directiva NIS 2 se unen a las establecidas ya por otras regulaciones europeas de reciente aplicación como pueden ser las establecidas en el llamado Reglamento Dora [4] que están cambiando el panorama de la ciberseguridad y la gestión de riesgos en la Unión Europea.
Para terminar y centrándonos en el caso español, señalar que la implementación de las medidas que finalmente se establezcan en la futura Ley de Ciberseguridad española plantea grandes retos para las empresas e implicará, sin duda, un esfuerzo en términos económicos pero también supone una oportunidad para crear un entorno digital más robusto y seguro y permitirá fortalecer la resiliencia operativa de las empresas que operan en sectores críticos ante ciberataques, fallos tecnológicos y amenazas digitales.
[1] Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2). Texto completo: https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=es. La Directiva NIS 1 es conocida por ser la primera ley europea sobre ciberseguridad entró en vigor en el año 2016 y fue derogada con la entrada en vigor de la Directiva NIS 2.
[2] Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Texto completo: https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=CELEX:32016L1148
[3] Texto completo del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad: https://www.interior.gob.es/opencms/pdf/servicios-al-ciudadano/participacion-ciudadana/Participacion-publica-en-proyectos-normativos/Audiencia-e-informacion-publica/01_2025_Anteproyecto_ley_coordinacion_gobernanza_ciberseguridad.pdf
[4] Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011. Texto completo: https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=CELEX:32022R2554
