Como ya hemos tratado en anteriores artículos, entre las principales novedades de la nueva versión destacan la ampliación de los sectores incluidos en su ámbito de aplicación, requisitos más detallados alineados con las últimas buenas prácticas internacionales o medidas de supervisión de cumplimiento más específicas y activas.
Sin embargo, una de las deficiencias más importantes a corregir con respecto a la Directiva original era garantizar una mayor armonización legal que permitiera proyectos de transposición más homogéneos, evitando que cada país pudiera interpretar las obligaciones definidas por la Directiva a su manera y facilitando así el propio proceso de transposición en cada Estado Miembro.
¿Cuál es el estado actual de la transposición en España?
Con su entrada en vigor a principios de 2023, la Comisión Europea estableció un periodo de transición en el que los distintos Estados Miembros debían proceder con la transposición de la Directiva antes del 17 de Octubre de 2024. Algo más de un año después de esta fecha, el proceso de transposición en España aún no se ha completado.
Como consecuencia de este incumplimiento, la Comisión Europea inició en Noviembre de 2024 procedimientos de infracción contra 23 países, incluyendo España, con el objetivo de presionar a los países afectados a completar cuanto antes la incorporación de la Directiva NIS2 a su ordenamiento jurídico.
Ante esta situación, el Gobierno español se vio obligado a dar un paso importante en su proceso de adaptación en enero de 2025, cuando el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de Ciberseguridad, que pretendía trasladar a la normativa nacional las exigencias establecidas en el ámbito europeo por la Directiva NIS2.
Tras su aprobación inicial, el Anteproyecto de Ley pasó a fase de audiencia e información pública entre enero y febrero de este mismo año, donde ciudadanos, empresas, asociaciones u otros organismos pudieron presentar aportaciones, sugerencias o comentarios sobre su contenido. Sin embargo, a fecha de noviembre 2025, el Anteproyecto de ley sigue en fase de tramitación parlamentaria, por lo que aún no se ha producido su publicación en el Boletín Oficial del Estado.
Esto implica que, a día de hoy, España continúa sin contar con un marco nacional oficial que permita aplicar de forma efectiva las obligaciones establecidas por la Directiva NIS2, lo que implica que las entidades públicas y privadas que operan en sectores esenciales e importantes aún se encuentran en una situación de incertidumbre jurídica.
¿Para cuándo está prevista su incorporación a la legislación española?
Aunque España aún no dispone de una ley nacional aplicable que transponga formalmente la Directiva NIS2, es importante subrayar que esta normativa es vinculante desde enero de 2023 a nivel europeo. Esto implica que, a pesar del retraso en el proceso legislativo español, las organizaciones que se encuentran dentro de su ámbito de aplicación no deben esperar a la publicación de la ley para actuar, si no que se considera esencial anticiparse y comenzar a prepararse cuanto antes para cumplir con las nuevas exigencias.Al mismo tiempo, es fundamental que las organizaciones monitoricen de cerca la evolución legislativa en España, ya que la aprobación del futuro marco nacional está prevista que se produzca antes de la finalización de 2025, por lo que podría anunciarse en cualquier momento.
Anteproyecto de ley, ¿cuáles son los requerimientos que podemos esperar?
Si bien aún no disponemos de la imagen definitiva, es recomendable analizar las características que presenta el Anteproyecto de Ley para hacernos una idea de los requerimientos que podemos llegar a esperar cuando finalice el proceso de aprobación.
Audiencia e información pública del anteproyecto de Ley de coordinación y gobernanza de la ciberseguridad por el que se traspone la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.
- Texto del anteproyecto
- Texto de la Memoria del análisis del impacto normativo
- Anexo I
- Anexo II
- Fecha de publicación: 16 de enero de 2025
- El plazo para la presentación de aportaciones finalizó el día 10 de febrero de 2025
Publicación del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad
en el portal del Ministerio del Interior
En líneas generales, el Anteproyecto de Ley presentado por el Gobierno Español se encuentra alineado con las principales obligaciones definidas por la Directiva NIS2:
▪️Gobernanza – Responsabilidad de la Dirección
▪️Medidas generales para la gestión de riesgos de seguridad.
▪️Responsable de la seguridad de información.
▪️Obligaciones de notificación de incidentes.
¿Cuáles deberán ser las responsabilidades de la alta dirección?
El Artículo 14 del Anteproyecto de Ley refuerza la gobernanza en materia de ciberseguridad, manteniendo las responsabilidades establecidas por la Directiva NIS2 para los órganos de dirección de las entidades esenciales e importantes, haciendo hincapié en la idea de que la ciberseguridad debe ser una cuestión estratégica para las organizaciones.
Dentro de estas responsabilidades, podemos destacar las siguientes:
▪️Aplicar las medidas necesarias para la gestión de riesgos de ciberseguridad, siendo estas
adecuadas al contexto de la organización y proporcionales a los riesgos identificados.
▪️Supervisar la implementación efectiva de las medidas de gestión de riesgos de ciberseguridad,
realizando un seguimiento riguroso de su cumplimiento dentro de la organización.
▪️Asumir la última responsabilidad en caso de incumplimiento.
▪️Recibir formación periódica en materia de ciberseguridad con el fin de tomar decisiones
apropiadas y organizar periódicamente formaciones similares para el resto de los empleados
de la organización con el objetivo de garantizar una cultura de seguridad elevada en toda la
organización.
¿Qué medidas de gestión de riesgos establece el Anteproyecto de ley?
El Artículo 15 del Anteproyecto de Ley establece que las medidas de gestión de riesgos que deberán implantar las entidades esenciales e importantes tomarán como base las contempladas en normas técnicas nacionales, europeas e internacionales equivalentes, incluyendo al menos los requerimientos definidos en el Artículo 21 de la Directiva NIS2.
Las medidas definidas en el Artículo 21 de la Directiva NIS2, y ampliadas en el Reglamento de Ejecución (UE) 2024/2690 publicado por la Comisión Europea el 17 de octubre de 2024, son las siguientes:
| Artículo | Medidas de Gestión de Riesgos |
| Artículo 21.2.a | Políticas de seguridad de los sistemas de información y análisis de riesgos |
| Artículo 21.2.b | Gestión de Incidentes |
| Artículo 21.2.c | Continuidad, copias de seguridad, recuperación en caso de catástrofe y gestión de crisis |
| Artículo 21.2.d | Seguridad de la cadena de suministro y relaciones con proveedores y prestadores de servicios directos |
| Artículo 21.2.e | Adquisición, desarrollo y mantenimiento de redes e información. Gestión de vulnerabilidades |
| Artículo 21.2.f | Políticas para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad |
| Artículo 21.2.g | Prácticas básicas de ciberhigiene y formación de ciberseguridad |
| Artículo 21.2.h | Política y procedimientos de criptografía y cifrado |
| Artículo 21.2.i | Seguridad de los RRHH, políticas de control de acceso y gestión de activos |
| Artículo 21.2.j | Autenticación multifactorial o continua, comunicaciones de voz y comunicaciones de emergencia. |
Responsable de seguridad de la información, ¿cuáles son sus responsabilidades?
Por su parte, el Artículo 16 del Anteproyecto de Ley establece la necesidad de que las entidades esenciales e importantes designen un responsable de seguridad de la información, figura clave para garantizar el cumplimiento de las obligaciones de ciberseguridad y para coordinar todas las acciones relacionadas con la protección de los sistemas y datos de la organización. Entre sus principales funciones, podemos destacar:
▪️Definir e implementar la estrategia de ciberseguridad de la organización.
▪️Evaluar, mitigar y revisar continuamente los riesgos.
▪️Mantener evidencias, políticas y registros actualizados para el cumplimiento de las
obligaciones requeridas por la Directiva.
▪️Fomentar la cultura de ciberseguridad de la organización junto con la alta dirección.
▪️Garantizar el cumplimiento de las obligaciones de notificación, reportando la información
necesaria a las autoridades de control y en los plazos definidos.
¿Qué obligaciones debemos tener en cuenta en relación con la notificación de incidentes de seguridad?
Dentro de las medidas de gestión de riesgos a implementar por las entidades dentro del ámbito de aplicabilidad de NIS2, la Directiva destaca especialmente la obligación de reportar los incidentes de seguridad con impacto significativo, es decir, que hayan causado o puedan causar graves perturbaciones operativas de los servicios que deriven en daños considerables a la entidad afectada o a otras personas físicas o jurídica.
En este sentido, el Artículo 18 del Anteproyecto de Ley establece una serie de acciones alineadas con los requerimientos de la Directiva, que cada organización debe cumplir en caso de verse afectada por un incidente de seguridad de estas características:
▪️Notificación inicial: En un plazo máximo de 24 horas después de la detección del incidente.
▪️Informe intermedio: Debe realizarse en un plazo máximo de 72 horas e incluir una primera
evaluación del impacto y gravedad del incidente.
▪️Informe final: En un plazo máximo de 1 mes después de presentar la primera notificación,
incluyendo una descripción detallada de su impacto, gravedad y medidas adoptadas.
Próximos pasos y recomendaciones
Aunque el proceso de transposición de la Directiva NIS2 a la legislación española aún no haya sido completado, su finalización está prevista para finales de 2025, por lo que su aprobación formal podría producirse en cualquier momento impactando así en numerosas entidades públicas y privadas que se encuentren dentro de su ámbito de aplicabilidad.
Por este motivo, estar al tanto de las principales características de esta Directiva, así como de las adaptaciones que ya han sido presentadas en el Anteproyecto de Ley, facilitará una adaptación más rápida y reducirá el margen de improvisación cuando la normativa entre finalmente en vigor.
Empezar a prepararse permite minimizar riesgos, evitar posibles sanciones y, sobre todo, demostrar una postura proactiva en materia de ciberseguridad y cumplimiento normativo. Por ello, en próximos artículos trataremos en profundidad algunas de las principales vías que las organizaciones pueden emplear para facilitar el cumplimiento con la Directiva NIS2 y establecer planes de acción alineados con otros estándares de seguridad ampliamente reconocidos.
Referencias:
🔗 Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión: https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=es
🔗 Reglamento de Ejecución (UE) 2024/2690 de la Comisión, de 17 de octubre de 2024, por el que se establecen las disposiciones de aplicación de la Directiva (UE) 2022/2555 en lo que respecta a los requisitos técnicos y metodológicos de las medidas para la gestión de riesgos de ciberseguridad: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32024R2690
🔗 Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad: https://www.interior.gob.es/opencms/es/servicios-al-ciudadano/participacion-ciudadana/participacion-publica-en-proyectos-normativos/audiencia-e-informacion-publica/
🔗 Desentrañando las principales novedades de la Directiva NIS2: https://blog.isecauditors.com/2023/02/desentranando-las-principales-novedades-de-la-directiva-nis2.html
🔗 Portal del CCN: https://www.ccn.cni.es/es/normativa/directiva-nis2
🔗 Portal INCIBE: https://www.incibe.es/incibe-cert/sectores-estrategicos/NIS2-necesitas-saber
