NIS2 y ciberseguridad en España: en qué punto está la transposición y cómo afecta a las empresas

España continúa pendiente de completar la transposición de la Directiva NIS2, la reforma europea que eleva el nivel común de ciberseguridad en sectores críticos y estratégicos de la Unión Europea (UE). El plazo oficial de transposición venció el 17 de octubre de 2024 y, aunque el Gobierno español aprobó en enero de 2025 el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el marco nacional todavía no está plenamente vigente.

Para las empresas, este retraso no equivale a una pausa. El contenido esencial de NIS2 ya está definido a escala europea y sus exigencias empiezan a trasladarse al mercado a través de contratos, auditorías, homologaciones de proveedores y requisitos de clientes, especialmente en organizaciones con actividad internacional o integradas en cadenas de suministro críticas.

NIS2 refuerza una idea clave: las organizaciones deberán demostrar gobernanza, capacidad de respuesta, continuidad de negocio y control efectivo sobre su infraestructura digital. La ciberseguridad deja de entenderse solo como una cuestión de herramientas y la red adquiere un papel estratégico.

Este retraso no es una mera cuestión formal: la Comisión ha activado los mecanismos de presión legal, hasta el punto de que, tras el dictamen de mayo de 2025, ya ha advertido que remitirá el caso al Tribunal de Justicia de la UE si la demora continúa.

Es preciso aclarar que la Directiva NIS2, en tanto que directiva europea, no es hoy directamente exigible a las empresas privadas españolas. Requiere transposición a derecho nacional para imponer obligaciones concretas y sanciones en nuestro ordenamiento jurídico.

Sin embargo, el retraso legislativo no deja a las organizaciones en una zona de confort. Existen tres motivos por los que las empresas españolas deberían revisar su posición:

1. Otras normativas ya vigentes cubren parte del mismo terreno. El Esquema Nacional de Seguridad (ENS), el RGPD y la Ley de Protección de Infraestructuras Críticas. Todas ellas comparten elementos relacionados con la gestión de riesgos, la protección de la información, la continuidad de servicio y la notificación de incidentes.

2. El mercado ya está aplicando estándares NIS2 contractualmente. Organismos públicos, grandes clientes y operadores multinacionales empiezan a trasladar exigencias de ciberseguridad a sus proveedores, integradores y socios tecnológicos a través de contratos, pliegos, auditorías y procesos de homologación.

   Esto significa que una empresa que presta servicios de conectividad, cloud, soporte, mantenimiento o gestión de red puede encontrarse con requisitos alineados con NIS2 antes incluso de que la ley española esté plenamente aprobada.

3. El contenido de la directiva ya es conocido: evaluación y gestión de riesgos, seguridad de la cadena de suministro, continuidad de negocio, detección y notificación de incidentes, protección de sistemas y responsabilidad de los órganos de dirección.

   Preparar estas capacidades requiere tiempo. Esperar a la publicación definitiva de la norma nacional puede reducir el margen de adaptación y aumentar el riesgo de incumplimiento cuando el nuevo marco empiece a aplicarse.

La Directiva NIS2 sustituye a la primera Directiva NIS de 2016 y amplía de forma significativa el alcance de la ciberseguridad regulada en Europa. Su objetivo es establecer un nivel común elevado de ciberseguridad en toda la Unión Europea, reforzando la protección de sectores esenciales para la economía y la sociedad.

La directiva afecta a 18 sectores críticos y estratégicos, entre ellos energía, transporte, sanidad, banca, agua, infraestructuras digitales, servicios TIC, alimentación, manufactura, química, gestión de residuos, servicios postales, investigación y determinados servicios digitales.

NIS2 distingue entre dos categorías de entidades:

• Las entidades esenciales son las grandes empresas de los sectores de alta criticidad, los prestadores de servicios de confianza, los proveedores DNS, las redes públicas de comunicaciones electrónicas y las entidades de la Administración Pública.
• Las entidades importantes abarcan el resto de medianas empresas, aquellas con más de 50 empleados o más de 10 millones de euros de facturación anual, que operen en cualquiera de los 18 sectores afectados, incluidos proveedores TIC, fabricantes, logística, investigación y servicios digitales.

Para las empresas afectadas, la directiva impone obligaciones concretas y demostrables:

• la gestión integral del riesgo,
• la gestión de crisis y notificación de incidentes significativos,
• la seguridad de la cadena de suministro,
• la continuidad de negocio,
• la protección de redes y sistemas,
• el uso de medidas de cifrado cuando proceda,
• la formación en ciberseguridad,
• la gobernanza interna con implicación directa de la alta dirección.

El cambio más relevante es que la NIS2 introduce una visión más exigente de la responsabilidad empresarial: la ciberseguridad pasa a formar parte de la gobernanza de la organización y exige implicación directa de los órganos de dirección.

El régimen sancionador refuerza la gravedad del incumplimiento: las multas pueden alcanzar los 10 millones de euros o el 2% de la facturación global para entidades esenciales, y hasta 7 millones o el 1,4% para entidades importantes, con responsabilidad directa de los órganos de dirección si no se han adoptado las medidas adecuadas.

La aplicación de NIS2 avanza a distintas velocidades dentro de la UE. Algunos países ya han completado la transposición y operan con marcos nacionales plenamente vigentes, mientras otros, como España, siguen en desarrollo legislativo. Esta situación genera una Europa a dos ritmos con impactos directos para grupos empresariales, operadores multinacionales y proveedores tecnológicos que trabajan en varios mercados europeos.

Entre los Estados que aparecen como más avanzados o con transposición completada figuran Bélgica, Croacia, Hungría, Italia, Letonia y Lituania. A mayo de 2026, cinco Estados miembros aún no han completado la transposición de NIS2: España, Francia, Irlanda, Luxemburgo y Países Bajos. Todos ellos se encuentran en procedimiento legislativo, con borradores o anteproyectos en distintas fases de tramitación parlamentaria. Todos estos países fueron objeto del dictamen motivado de la Comisión de mayo de 2025.

En este contexto regulatorio, SAIWALL Secure SD-WAN, la solución SD-WAN de SAIMA SYSTEMS, puede convertirse en una palanca tecnológica para preparar a las empresas ante NIS2. Su valor está en traducir las exigencias de la directiva en capacidades reales de red: visibilidad, segmentación, cifrado, resiliencia, control centralizado y capacidad de respuesta ante incidentes.

NIS2 no exige solo políticas internas o documentación. También reclama medidas técnicas y organizativas eficaces. Para empresas con múltiples sedes, usuarios distribuidos, entornos cloud o proveedores externos, la red es el espacio donde muchas de esas medidas deben aplicarse y supervisarse.

Una arquitectura SD-WAN bien diseñada ayuda a proteger las comunicaciones entre sedes, reforzar la continuidad del negocio, mejorar la visibilidad del tráfico y aplicar políticas de seguridad de forma centralizada. Prepararse para NIS2 no consiste solo en definir políticas de seguridad; es necesario también contar con una infraestructura capaz de aplicarlas, supervisarlas y demostrar su cumplimiento.