NIS2 para Compliance (Entrada 2) España ante NIS2: lo que ya está en vigor, lo que falta y lo que las empresas deben asumir desde hoy

NIS2 para Compliance (Entrada 2)

España ante NIS2: lo que ya está en vigor, lo que falta y lo que las empresas deben asumir desde hoy

La Directiva NIS2 debía estar traspuesta en todos los Estados miembros el 17 de octubre de 2024. España no cumplió ese plazo. Desde entonces, el país vive en un escenario híbrido: parte del marco está en vigor, parte está en construcción y parte depende directamente del texto europeo.

Para los profesionales de Compliance, esta situación genera una pregunta esencial: ¿qué obligaciones son ya exigibles y cuáles dependen de la futura ley española?

Esta entrada ofrece una visión clara, ordenada y operativa del estado actual de la transposición en España.

1. España incumplió el plazo: consecuencias y contexto

La Comisión Europea abrió procedimiento de infracción contra España por no haber traspuesto NIS2 en plazo. Esto no es un mero trámite:

• aumenta la presión política y regulatoria,
• acelera la necesidad de aprobar la ley nacional,
• y refuerza la idea de que las obligaciones esenciales ya deben cumplirse.

En este contexto, las organizaciones españolas no pueden esperar a la norma definitiva. La Directiva marca un estándar europeo que ya condiciona la supervisión y la diligencia debida.

2. Qué se ha aprobado ya: transposición parcial y refuerzo del marco existente

Aunque España no ha completado la transposición, sí ha avanzado en tres frentes:

2.1. Real Decreto‑ley 7/2025 (transposición parcial)

Este RDL incorpora elementos esenciales:

• definiciones básicas,
• categorías de entidades (esenciales e importantes),
• obligaciones generales de gestión del riesgo,
• primeros mecanismos de coordinación institucional,
• bases del régimen de supervisión.

Es un texto puente: no completa la transposición, pero activa el marco mínimo necesario para que las organizaciones empiecen a adaptarse.

2.2. Refuerzo del Esquema Nacional de Seguridad (ENS)

Aunque no es una norma de transposición, el ENS actualizado se ha convertido en la columna vertebral técnica sobre la que se apoyará la futura ley. Para muchas organizaciones, cumplir ENS equivale a cubrir buena parte de los controles que NIS2 exige.

2.3. Actividad de INCIBE y CCN‑CERT

Ambos organismos han publicado:

• guías,
• criterios preliminares,
• recomendaciones,
• y canales de notificación.

No sustituyen a la ley, pero sí orientan la práctica.

3. Qué falta por aprobar: el núcleo de la transposición

La pieza clave pendiente es la Ley de Ciberseguridad (nombre provisional), cuyo anteproyecto fue aprobado en 2025 pero aún no ha culminado su tramitación.

3.1. La futura Ley de Ciberseguridad debe definir:

• la autoridad competente única o el modelo de autoridades coordinadas,
• el régimen sancionador completo,
• los procedimientos oficiales de notificación,
• el registro de entidades esenciales e importantes,
• la coordinación entre CCN, INCIBE, CNPIC y reguladores sectoriales,
• las reglas específicas para la cadena de suministro,
• los mecanismos de auditoría y supervisión.

Sin esta ley, el marco español está operativo pero incompleto.

4. Qué obligaciones de NIS2 ya aplican en España (aunque falte la ley)

Aquí está el punto crítico para Compliance: la ausencia de transposición completa no suspende las obligaciones esenciales de NIS2.

Las organizaciones deben cumplir ya con:

• la responsabilidad del órgano de dirección,
• la gestión de riesgos,
• las políticas de seguridad,
• la seguridad en la cadena de suministro,
• la notificación temprana de incidentes,
• la cooperación con autoridades,
• la documentación y evidencia del cumplimiento.

Estas obligaciones derivan directamente del texto europeo y del principio de diligencia debida.

5. Qué riesgos afrontan las organizaciones españolas en este escenario híbrido

La falta de transposición completa no reduce el riesgo; lo aumenta. Las organizaciones se enfrentan a:

5.1. Riesgo regulatorio

La futura ley será exigente y tendrá efectos inmediatos. Quien no haya avanzado sufrirá un impacto abrupto.

5.2. Riesgo reputacional

Los incidentes recientes en España (sanidad, energía, transporte, banca, administraciones públicas) han elevado la sensibilidad social y mediática.

5.3. Riesgo contractual

Los grandes operadores ya están exigiendo garantías NIS2 a sus proveedores. La cadena de suministro se está regulando de facto antes de la ley.

5.4. Riesgo de responsabilidad del órgano de dirección

La Directiva establece responsabilidad directa. No es prudente esperar a la ley para activar mecanismos de supervisión.

6. Qué deberían estar haciendo ya las empresas españolas

Aunque esta parte se desarrollará en profundidad en la Entrada 4, aquí adelantamos los pilares esenciales:

• Mapear si la organización es esencial o importante.
• Integrar NIS2 en el sistema de Compliance.
• Actualizar el mapa de riesgos con un capítulo específico de ciberseguridad.
• Establecer un protocolo de notificación en 24h/72h/1 mes.
• Revisar contratos con proveedores críticos.
• Formar al órgano de dirección.
• Alinear controles con el ENS.
• Preparar evidencia documental.

NIS2 exige anticipación. La inacción es, en sí misma, un incumplimiento.

7. Conclusión: España está en transición, pero el cumplimiento no puede esperar

La transposición incompleta no es una excusa para la inacción. NIS2 ya marca el estándar europeo y la diligencia debida exige actuar.

España avanza, pero lentamente. Las organizaciones deben avanzar más rápido. El Compliance tiene aquí un papel decisivo:

• ordenar,
• priorizar,
• documentar,
• y preparar a la organización para un marco que será exigente desde el primer día.

En la próxima entrada analizaremos las obligaciones de NIS2 explicadas para Compliance, con un enfoque práctico y no técnico.