En los dos últimos años la transposición a la legislación nacional de NIS2, dirigida a extremar la protección de los datos de compañías e instituciones en “sectores críticos”, ha sido protagonista de muchas conversaciones en el mercado de la ciberseguridad. Y ha sido vista como una auténtica oportunidad de negocio para fabricantes y partners especializados.
En el recuerdo está la entrada en vigor del Reglamento General de Protección de Datos (GDPR), que tanto movió el mercado hace siete años. Y eso ha llevado al mercado tecnológico a pensar en una reedición de aquel bum, aunque esta vez acotado a empresas (sobre todo medianas y grandes) de sectores críticos como energía, banca, sanidad, transporte, alimentación o gestión de aguas, entre otros. Sin embargo, la transposición de NIS2 a España se ha ido retrasando, lo que ha desinflado la oportunidad en torno a ella para proveedores y revendedores de tecnología.
Recordemos los tiempos. En principio, la Directiva NIS2 (UE 2022/2555) entró oficialmente en vigor en enero de 2023 y debía haberse transpuesto a las leyes nacionales antes del 17 de octubre de 2024. Sin embargo, España no completó ese proceso en plazo, lo que ha generado procedimientos de infracción y ha conllevado avisos de la Comisión Europea por no notificar la transposición completa.
En enero de 2025, se aprobó un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad con el objetivo de hacer realidad el aterrizaje de NIS2 en el ordenamiento jurídico español, pero al día de hoy sigue sin estar publicado en el BOE ni completamente aprobado. Según informes legales y de consultoras, el borrador aún puede modificarse en tramitación parlamentaria y su entrada en vigor efectiva está todavía pendiente. No obstante, el mercado espera la versión española de NIS2 a lo largo de 2026.
¿Qué implicaciones tiene este retraso? Legalmente, al ser una directiva y no un reglamento, NIS2 no produce obligaciones directas sobre empresas en territorio español ni es vinculante hasta que no esté recogida en el derecho nacional. Esta situación ha generado incertidumbre jurídica e inseguridad en las empresas obligadas a su cumplimiento. Y, por lo tanto, ha frenado la transición de miles compañías que se verían afectadas.
NIS2 sigue estando en el horizonte, a pesar de todo
En cualquier caso, y a pesar de no estar en vigor, muchas empresas saben que NIS2 está en el horizonte y que tarde o temprano deberán reforzar la protección de su información en este sentido. Entre otras cosas, NIS2 obliga a las empresas a tener políticas rigurosas de análisis y gestión de riesgos, continuidad de negocio o seguridad de la cadena de suministro.
Además, contempla la obligación de que los directivos de las compañías de los llamados sectores críticos aprueben y supervisen la puesta en práctica de medidas para prevenir y minimizar el impacto de los incidentes en caso de producirse. Y responsabiliza a estos directivos en caso de negligencia grave tras un incidente cibernético. Asimismo, exige la comunicación de incidentes a las autoridades en un plazo de 24 a 72 horas.
