compliance · 10 min de lectura
NIS2 vence el 17 de octubre y España no transpone: qué aplica mientras tanto
El 17 de octubre de 2024 expira el plazo para transponer la Directiva (UE) 2022/2555. España llega sin ley aprobada y sin anteproyecto del Consejo de Ministros. Lo que se sabe del calendario nacional, qué obligaciones aplican mientras tanto vía ENS y NIS1, y dónde están los gaps.
· Manuel López Pérez · compliance
17 de octubre de 2024. Plazo límite que el Art. 41 de la Directiva (UE) 2022/2555 fijó para que los Estados miembros adoptaran y publicaran las disposiciones necesarias para transponer NIS2 a derecho nacional. El día siguiente, 18 de octubre, las normas nacionales debían ser aplicables.
España llega al deadline sin ley aprobada y sin anteproyecto del Consejo de Ministros publicado para tramitación. Lo único en el expediente abierto es la consulta pública previa del 21 de septiembre de 2023, gestionada por el Ministerio del Interior. Entre esa consulta y octubre de 2024 no hay aprobación del Consejo de Ministros, no hay texto enviado a las Cortes, no hay publicación en el BOE.
Este post es lectura operativa, no asesoramiento jurídico. Para cualquier decisión vinculante, consultar texto oficial DOUE/BOE y abogado especializado.
Qué es NIS2 en una frase
La Directiva (UE) 2022/2555 sustituye a la NIS1 de 2016 (Directiva 2016/1148). Cambia tres cosas estructurales:
- Amplía el ámbito. NIS1 distinguía operadores de servicios esenciales y proveedores digitales en sectores tasados. NIS2 introduce entidades esenciales y entidades importantes y suma sectores: gestión de residuos, fabricación de alimentos, química, espacio, investigación, infraestructuras digitales más amplias, servicios postales y mensajería. Anexos I (esenciales) y II (importantes).
- Endurece obligaciones. Gestión de riesgos como board-level responsibility, gestión de la cadena de suministro, reporte de incidentes en plazos cortos (24 h notificación inicial, 72 h informe intermedio, 1 mes informe final), supervisión activa por la autoridad competente.
- Establece sanciones administrativas. Hasta €10M o 2 % facturación global para entidades esenciales; hasta €7M o 1,4 % para entidades importantes. Responsabilidad personal de los miembros del órgano de dirección si no actúan con diligencia (Art. 20).
NIS2 entró en vigor el 16 de enero de 2023. El Art. 41 dio a los Estados miembros 21 meses para transponer. El plazo expira el 17 de octubre de 2024.
Estado de la transposición en España a 17 de octubre de 2024
No hay ley, no hay anteproyecto aprobado. La cronología documentable:
- 21 de septiembre de 2023: Ministerio del Interior abre la consulta pública previa del Anteproyecto de Ley de transposición de NIS2. Expediente
05_2023(PDF Interior). Es el paso preceptivo previo a la elaboración del texto. No tiene efecto vinculante. - Entre octubre de 2023 y octubre de 2024: no hay aprobación del anteproyecto por el Consejo de Ministros. No hay envío a las Cortes. No hay publicación de borrador para audiencia pública post-consulta.
- 17 de octubre de 2024: vence el plazo. España incumple.
El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el vehículo previsto para transponer NIS2 + Directiva CER (2022/2557), no será aprobado por el Consejo de Ministros hasta enero de 2025, ya con el deadline pasado y el procedimiento de infracción incoado.
Qué pasa cuando una directiva expira sin transponer
Dos consecuencias en planos distintos.
Plano comunitario: procedimiento de infracción
La Comisión Europea puede abrir un procedimiento de infracción contra el Estado incumplidor (Art. 258 TFUE). Pasos típicos:
- Carta de emplazamiento al Estado (Comisión a Gobierno).
- Dictamen motivado si la respuesta no es satisfactoria.
- Demanda ante el TJUE.
- Sentencia y eventual sanción pecuniaria si la sentencia no se ejecuta (Art. 260 TFUE: suma a tanto alzado + multa coercitiva diaria).
España no es el único Estado incumplidor en NIS2: en noviembre de 2024 la Comisión abrirá procedimiento contra 23 Estados miembros que no han notificado la transposición completa, incluyendo Bélgica, Francia, Alemania, Italia, Países Bajos, Polonia y España, entre otros.
Plano nacional: efecto directo vertical limitado
Una directiva no transpuesta en plazo puede tener efecto directo vertical si cumple tres condiciones (jurisprudencia Van Duyn, Becker, Marshall): el plazo ha vencido, la disposición es suficientemente clara, precisa e incondicional, y la invocación es contra una autoridad pública (no entre particulares).
Para NIS2 esto significa, en la práctica:
- Un particular o entidad puede invocar disposiciones claras de NIS2 frente a un órgano del Estado. Útil en contadísimos escenarios (p. ej. impugnar una actuación de la autoridad competente que contradiga la Directiva).
- No genera obligaciones nuevas sobre las entidades reguladas frente a particulares ni frente a la Administración hasta que haya norma interna que las traspase.
- No habilita sanciones sobre las entidades reguladas: las multas del Art. 34 NIS2 requieren ley nacional que las introduzca en el ordenamiento. España no puede sancionar hoy con el régimen NIS2 porque no hay régimen nacional vigente.
La consecuencia operativa para una entidad esencial/importante española en octubre de 2024: las obligaciones NIS2 todavía no son exigibles directamente. Sigue vigente el régimen NIS1.
Marco aplicable mientras tanto
Dos normas conviven:
Real Decreto-Ley 12/2018 — transposición de NIS1
RD-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, desarrollado por el RD 43/2021. Define:
- Operadores de servicios esenciales (OSE) en los sectores NIS1: energía, transporte, banca, infraestructura financiera, sanidad, suministro de agua, infraestructura digital.
- Proveedores de servicios digitales (PSD): cloud computing, motores de búsqueda, marketplaces.
Obligaciones: medidas de seguridad, notificación de incidentes a INCIBE-CERT (sector privado) o CCN-CERT (sector público). El régimen sancionador establece infracciones leves, graves y muy graves con cuantías hasta €1M.
Sigue vigente, sigue siendo aplicable. Mientras NIS2 no esté transpuesta, NIS1 es el marco que las autoridades competentes (INCIBE, CCN-CERT, autoridades sectoriales) utilizan para supervisión y, si procede, sanción.
Real Decreto 311/2022 — Esquema Nacional de Seguridad (ENS)
RD 311/2022, de 3 de mayo. Es el marco de seguridad del sector público español. Aplica obligatoriamente a:
- Toda entidad pública (AGE, CCAA, EELL, organismos vinculados).
- Operadores del sector privado que prestan servicios al sector público.
- Proveedores tecnológicos que tratan información del sector público.
El ENS se estructura en tres niveles (básico, medio, alto) con 75 medidas de seguridad. El CCN-CERT supervisa cumplimiento.
El CCN sostiene que el RD 311/2022 contiene “todos los requisitos de la Directiva NIS2” en lo que se refiere a su ámbito (sector público + proveedores). En la práctica, una entidad pública que cumpla ENS al nivel adecuado para sus servicios ya cumple gran parte de NIS2. Para una entidad privada en sector NIS2 que no toque sector público, el ENS es voluntario y no cubre.
Tabla de gaps ENS → NIS2
Lo que el ENS sí cubre y lo que no, frente a NIS2:
| Obligación NIS2 | ENS (RD 311/2022) | Gap |
|---|---|---|
| Política de gestión de riesgos (Art. 21.2.a) | op.pl.1 Análisis de riesgos | Cubierto |
| Gestión de incidentes (Art. 21.2.b) | op.exp.7 Gestión de incidentes | Cubierto en cuanto a proceso; ENS no fija plazos de 24 h / 72 h / 1 mes |
| Continuidad de actividad y gestión de copias (Art. 21.2.c) | op.cont.1 a op.cont.4 | Cubierto |
| Seguridad de la cadena de suministro (Art. 21.2.d) | op.ext.1 a op.ext.4 | Cubierto para externalización; NIS2 exige evaluación específica de proveedores críticos y vulnerabilidades de cadena |
| Adquisición, desarrollo y mantenimiento (Art. 21.2.e) | mp.sw.*, mp.s.* | Cubierto |
| Políticas y procedimientos para evaluar eficacia (Art. 21.2.f) | op.pl.2 Arquitectura de seguridad, op.mon.* | Cubierto |
| Formación e higiene cibernética básica (Art. 21.2.g) | mp.per.3 Concienciación, mp.per.4 Formación | Cubierto |
| Criptografía y cifrado (Art. 21.2.h) | mp.info.3, mp.com.* | Cubierto |
| Seguridad de RRHH, control de acceso, gestión de activos (21.2.i) | org.*, op.acc.*, op.exp.* | Cubierto |
| MFA, comunicaciones seguras, voz/video/texto cifrado (21.2.j) | op.acc.5 Mecanismo de autenticación, mp.com.2 Protección integridad | Parcialmente cubierto; NIS2 exige MFA por defecto donde proceda y comunicaciones de emergencia seguras |
| Responsabilidad del órgano de dirección (Art. 20) | Política de seguridad aprobada por dirección | Gap importante: NIS2 establece responsabilidad personal por incumplimiento, formación obligatoria del board |
| Notificación al CSIRT/autoridad competente (Art. 23) | Notificación incidentes ENS | Gap: NIS2 fija plazos rígidos (24 h alerta temprana / 72 h notificación / 1 mes informe final) que ENS no detalla así |
| Registro de incidentes significativos | Implícito en gestión de incidentes | Gap: NIS2 exige criterios de incidente “significativo” tasados (Art. 23.3) |
| Régimen sancionador con cuantías NIS2 | Sanciones LRJSP / régimen administrativo general | Gap completo: las multas €10M / 2 % facturación de NIS2 no existen hasta que haya ley de transposición |
| Inscripción en registro nacional de entidades | No aplica | Gap: NIS2 (Art. 27) exige registro de entidades esenciales/importantes a cargo de la autoridad competente |
Qué tiene que hacer una entidad esencial/importante mientras tanto
No esperar. Aunque el régimen NIS2 sancionador no esté vigente, hay trabajo preparatorio que no se puede comprimir en tres meses cuando la ley salga del BOE. En orden de prioridad:
- Inventario y clasificación. ¿En qué Anexo (I esencial / II importante) cae tu organización? ¿Superas los umbrales de tamaño que NIS2 fija como criterio supletorio (Art. 2.1)? Para los grandes es obvio; para medianos cerca de los umbrales el ejercicio es no trivial.
- Mapeo ENS → NIS2 si tienes obligación de ENS. Si tu organización ya está categorizada en ENS nivel medio o alto, identifica los gaps de la tabla anterior y cuáles requieren trabajo nuevo (responsabilidad del board, plazos rígidos de reporte, evaluación de proveedores críticos).
- Procedimiento de notificación de incidentes con plazos NIS2. Adelantar el SLA interno a 24/72/30. El cambio es organizativo (decisión, comunicación interna, contacto con CSIRT) más que técnico.
- Plan de cadena de suministro. Inventario de proveedores críticos, contractual con cláusulas de seguridad, evaluación periódica. NIS2 lo exige y ENS lo cubre solo parcialmente.
- Formación del órgano de dirección. Art. 20 NIS2 obliga a que los miembros del órgano de dirección reciban formación periódica en ciberseguridad. Si tu junta directiva nunca ha tenido una sesión de threat model, agendarla.
- Designar responsable de seguridad que pueda actuar como interlocutor con la autoridad competente cuando exista. ENS ya lo exige para el sector público.
El elefante en la sala: AESIA, INCIBE, CCN, autoridades sectoriales
NIS2 (Art. 8) obliga a designar una o varias autoridades competentes nacionales y un punto de contacto único con la UE. España no ha publicado todavía la arquitectura institucional definitiva: el reparto previsto en el anteproyecto que se conocerá en enero de 2025 incluye INCIBE (entidades importantes), CCN (sector público + entidades esenciales del Estado), Departamento de Seguridad Nacional, y autoridades sectoriales (banca: BdE; mercados financieros: CNMV; energía: CNMC; etc.).
Hasta que el anteproyecto se apruebe y publique, ese reparto es preliminar. Cualquier entidad esencial/importante necesita rastrear cuál será su autoridad competente y empezar contacto temprano cuando se confirme.
Calendario realista de lo que viene
- Q4 2024: Comisión abre procedimientos de infracción contra los Estados incumplidores. Sin efecto operativo inmediato sobre las entidades reguladas.
- Enero 2025: Consejo de Ministros aprobará el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Audiencia pública 30 días.
- 2025: tramitación parlamentaria. Plazo no comprometido por el Gobierno; las leyes ordinarias bajo tramitación urgente pueden completarse en 4-9 meses.
- 2025-2026: BOE y entrada en vigor. A partir de aquí empieza el plazo de adaptación que la ley fije (NIS2 no establece plazo de adaptación tras transposición; depende de lo que el legislador nacional decida).
- Sanciones NIS2 plenamente aplicables: probablemente a partir de 2026, sin compromiso firme.
En este intervalo, la presión sobre las entidades esenciales/importantes no es regulatoria, es estructural. Los grandes proveedores con clientes en otros Estados miembros (Alemania transpone con NIS2UmsuCG, Francia con el proyecto de ley de febrero 2024) ya están sujetos en esas jurisdicciones. Una multinacional con presencia en varios países UE va a tener que cumplir NIS2 efectivo en países que sí transpongan, antes de que aplique en España.
Coordinación con otras regulaciones del stack
NIS2 no vive sola. El stack de compliance europeo aplicable a una entidad de tecnología en 2024-2025:
- GDPR (Reglamento (UE) 2016/679). Privacidad. Vigente desde 2018.
- NIS2 (Directiva (UE) 2022/2555). Ciberseguridad. Pendiente transposición.
- DORA (Reglamento (UE) 2022/2554). Resiliencia operativa digital sector financiero. Aplicable desde el 17 de enero de 2025, no requiere transposición (es reglamento).
- CER (Directiva (UE) 2022/2557). Resiliencia de entidades críticas. Mismo deadline de transposición que NIS2; misma situación en España.
- AI Act (Reglamento (UE) 2024/1689). Entrada en vigor 1 de agosto de 2024, aplicabilidad escalonada hasta 2027. Reglamento, no requiere transposición.
Los solapamientos requieren mapping específico por entidad. Una entidad financiera grande puede tener obligaciones simultáneas bajo NIS2, DORA y AI Act sobre el mismo sistema.
Referencias
- Directiva (UE) 2022/2555 — texto NIS2: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Real Decreto-Ley 12/2018 — transposición NIS1: https://www.boe.es/buscar/act.php?id=BOE-A-2018-12257
- Real Decreto 43/2021 — desarrollo NIS1: https://www.boe.es/buscar/act.php?id=BOE-A-2021-1192
- Real Decreto 311/2022 — Esquema Nacional de Seguridad: https://www.boe.es/buscar/act.php?id=BOE-A-2022-7191
- Consulta pública previa anteproyecto NIS2 (21-sep-2023, Ministerio del Interior): https://www.interior.gob.es/opencms/pdf/servicios-al-ciudadano/participacion-ciudadana/Participacion-publica-en-proyectos-normativos/Consulta-publica-previa/05_2023_consulta_publica_Anteproyecto_Ley_transposicion_Directiva_nis_2.pdf
- INCIBE-CERT, FAQ NIS2: https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2
- Centro Criptológico Nacional, Directiva NIS2: https://www.ccn.cni.es/es/normativa/directiva-nis2
- Comisión Europea, NIS2 transposition tracker: https://digital-strategy.ec.europa.eu/en/policies/nis-transposition
- Análisis previo en este blog: EU AI Act: acuerdo político y calendario.
