La Comisión Europea ha lanzado un nuevo aviso al Gobierno de España por el retraso en la transposición de la Directiva NIS2, la norma europea que busca reforzar la ciberseguridad de sectores críticos como energía, transporte, sanidad, administración pública, telecomunicaciones o servicios digitales. Según un escrito al que ha podido acceder el diario El Español, la vicepresidenta ejecutiva de la Comisión Europea responsable de Soberanía Tecnológica, Henna Virkkunen, ha advertido de que incorporar esta directiva al ordenamiento jurídico español “no es sólo una obligación legal, es un imperativo estratégico”.

El mensaje llega en un momento especialmente delicado. España continúa sin adaptar plenamente la NIS2 pese a que el plazo europeo venció el 17 de octubre de 2024. Desde entonces, el país se encuentra bajo un procedimiento de infracción abierto por la Comisión Europea, que podría acabar ante el Tribunal de Justicia de la Unión Europea y derivar en multas diarias si el incumplimiento persiste.

Un retraso con impacto estratégico

La Directiva NIS2 no es una norma menor. Su objetivo es elevar el nivel común de ciberseguridad en la Unión Europea, obligando a entidades públicas y privadas de sectores esenciales a reforzar sus controles, notificar incidentes con rapidez, evaluar riesgos en proveedores y asumir responsabilidades más claras en materia de protección digital.

Ad

El Gobierno aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, pero la norma sigue sin culminar su tramitación. El retraso mantiene a España en una situación de debilidad normativa justo cuando los ciberataques contra administraciones, empresas e infraestructuras críticas están creciendo.

Según los datos citados en la información, España registró en 2025 más de 122.000 incidentes de ciberseguridad, un 26 % más que el año anterior, y sufre cerca de 2.000 ciberataques semanales.

La presión europea aumenta

La respuesta de Virkkunen se produjo a raíz de una pregunta parlamentaria del eurodiputado del Partido Popular Juan Ignacio Zoido, que pidió a la Comisión valorar si las brechas de seguridad sufridas por España podían representar un riesgo para el conjunto de la Unión Europea.

La contestación de Bruselas es clara: los ciberataques pueden perturbar infraestructuras críticas y afectar a la estabilidad económica. Por eso, una ciberseguridad sólida no es solo una cuestión nacional, sino una pieza de la seguridad colectiva europea.

La Comisión ya había abierto el expediente de infracción en noviembre de 2024 y emitió un dictamen motivado el 7 de mayo de 2025, considerado la última advertencia antes de acudir al Tribunal de Justicia de la UE. En este contexto, el escrito de Virkkunen eleva la presión política y técnica sobre España.

Incidentes recientes y proveedores de riesgo

El debate sobre la NIS2 coincide con varios episodios que han puesto en cuestión la seguridad digital del Estado. La información menciona la publicación de credenciales vinculadas a sistemas de la Policía Nacional y la Guardia Civil, así como la filtración de datos personales de miembros del Consejo de Seguridad Nacional.

También se recuerda el caso Pegasus, cuando el teléfono del presidente Pedro Sánchez fue infectado con spyware en 2021, con extracción de datos del dispositivo.

Otro de los puntos sensibles es la contratación de proveedores tecnológicos considerados de riesgo. La información señala contratos con Huawei para el mantenimiento de SITEL, el sistema que almacena escuchas judiciales, y el uso de cámaras Hikvision en instalaciones públicas. La ausencia de una transposición completa de la NIS2 mantiene, según el análisis recogido, un vacío en la evaluación formal de riesgos de proveedores tecnológicos.

Qué habría cambiado con la NIS2

La transposición de la directiva habría introducido obligaciones más estrictas en tres áreas clave. En primer lugar, las administraciones y entidades afectadas tendrían que evaluar formalmente a sus proveedores tecnológicos, especialmente en sistemas críticos.

En segundo lugar, la notificación de incidentes debería realizarse en plazos mucho más estrictos, con comunicaciones iniciales en 24 horas. Esto permitiría una respuesta más coordinada y rápida ante filtraciones, intrusiones o ataques a servicios esenciales.

En tercer lugar, la norma refuerza la responsabilidad de los directivos. La ciberseguridad deja de ser únicamente un asunto técnico y pasa a formar parte de la gobernanza corporativa e institucional, con posibles consecuencias para quienes no adopten medidas adecuadas.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre