A falta de un año para que la futura Ley de Coordinación y Gobernanza de la Ciberseguridad entre en vigor, España sigue corriendo para ponerse al día con la Directiva (UE) 2022/2555 (NIS2).

El Gobierno aprobó el anteproyecto en enero de 2025, pero Bruselas mantiene abierto un procedimiento de infracción por el retraso en la transposición, cuyo plazo expiró el 17 de octubre de 2024.

El mensaje de la Comisión es claro. O se armonizan pronto las reglas o llegarán multas comunitarias adicionales que se sumarían a las sanciones previstas en la propia NIS2, de hasta 10 millones de euros o el 2% de la facturación anual de la empresa infractora.

NIS2 y la cadena de suministro digital

La versión revisada de la directiva amplía su radio de acción de seis a dieciocho sectores críticos, abarcando desde la energía y el transporte hasta la manufactura o la alimentación. El texto exige un programa integral de gestión de riesgos, la notificación de incidentes con prelanzamiento (alerta temprana en 24 horas y reporte completo en 72 horas).

Y también la responsabilidad directa de la alta dirección. Además, introduce una obligación novedosa. Evaluar los riesgos derivados de la cadena de suministro y de los servicios digitales transfronterizos, incluidos aquellos que se apoyan en redes privadas virtuales.

Aquí encajan, por ejemplo, los casinos que aceptan VPN, cuyos servidores pueden estar alojados fuera de la UE y convertirse en vectores de ataque si no se segmentan adecuadamente los accesos administrativos y las pasarelas de pago.

El marco nacional vigente se apoya aún en el Real Decreto-ley 12/2018, que apenas cubre a los operadores de servicios esenciales definidos en la primera NIS. El anteproyecto de enero de 2025 redefine el modelo.

Clasifica a las entidades en sectores críticos y sectores importantes, crea el Centro Nacional de Ciberseguridad como autoridad coordinadora y obliga a nombrar un responsable de seguridad de la información con rango ejecutivo. El texto también refuerza el papel del CSIRT-ES, que asumirá la recepción de incidentes graves y la coordinación con los equipos de respuesta sectoriales.

El INCIBE-CERT gestionó 83.517 incidentes de ciberseguridad en 2023, un 24% más que en 2022. De ellos, más de 22.000 afectaron directamente a empresas españolas, incluidas pymes estratégicas.

Entre los casos más recurrentes destacan el fraude online (28.258 registros), el phishing (14.261) y la detección de 183.000 sistemas vulnerables expuestos a Internet. Las cifras confirman que el tejido empresarial nacional se enfrenta a ataques cada vez más sofisticados mientras espera la plena aplicación de NIS2.

Sanciones y responsabilidad personal de los directivos

La trasposición española replica el régimen sancionador europeo. Hasta 10 millones de euros o el 2% de la facturación global para las infracciones muy graves. Pero la verdadera novedad es la responsabilidad personal.

Los miembros del órgano de administración podrán ser inhabilitados si se demuestra negligencia grave en la adopción de las medidas de ciber-resiliencia. Para mitigar este riesgo, numerosas empresas ya han creado comités de ciberseguridad dependientes del consejo y han iniciado auditorías externas de cumplimiento ENS-NIS2.

España encara la fase decisiva de la Directiva NIS2 con la vista puesta en la práctica diaria, ya no basta con aprobar planes. Hay que desplegarlos. Desde el anuncio del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, las compañías, grandes y pequeñas, han acelerado sus inversiones para evitar sanciones y proteger su reputación.

SOC y modelo Zero Trust

Una de las exigencias más onerosas de la directiva es mantener un centro de operaciones de seguridad permanente capaz de detectar y responder a incidentes rapidamente. En mayo de 2025, un informe de WatchGuard confirmaba que parte de los proveedores de servicios gestionados (MSP) españoles ha optado por un SOC híbrido.

Esa parte interna, parte externalizada, es para equilibrar costes y talento, y cumplir así con la NIS2 sin desbordar sus presupuestos. Telefónica Tech, por ejemplo, ha integrado su red global de ciber-SOC con nodos en Barcelona.

Mientras que compañías medianas del sector agroalimentario se apoyan en plataformas SaaS que ofrecen reglas de correlación preconfiguradas alineadas con el Esquema Nacional de Seguridad. El principio de Zero Trust, no confiar en ningún dispositivo ni usuario por defecto, se ha convertido en la piedra angular de estas arquitecturas.

El último informe Cost of a Data Breach de IBM cifra en 4,4 millones de dólares el impacto medio de una vulneración, y en España la media se sitúa en millones, sobre todo en banca, sanidad y distribución.

Los ciberataques en España aumentan un 35% en 2025, sin embargo, entre las pymes, solo una de cada cuatro dispone de pólizas de ciber-riesgo que cubran la totalidad de los daños operativos y reputacionales, un vacío que la NIS2 pretende cerrar al obligar a implantar controles técnicos en toda la cadena de valor.