La Directiva NIS2 de la Unión Europea busca reforzar la ciberseguridad en sectores esenciales. Su transposición al derecho español debía estar completa en octubre de 2024. Sin embargo, aunque el Gobierno aprobó un anteproyecto de ley en enero de 2025 para establecer el marco nacional de ciberseguridad, la demora ya ha provocado un dictamen motivado de la Comisión Europea en mayo de 2025. Este aviso formal sitúa al país ante la inminente amenaza de una sanción, dejando un marco normativo incompleto que genera incertidumbre entre muchos operadores.
NIS2 impone obligaciones que impactan directamente la gestión diaria de los sistemas informáticos, buscando elevar el nivel de seguridad común en la UE. El requisito fundamental que exige es conocer con precisión qué sistemas, aplicaciones y servicios están en uso y en qué condiciones se encuentran. Solo con este conocimiento actualizado es posible evaluar los riesgos de manera fiable y aplicar medidas de protección proporcionadas.
La directiva establece un enfoque sistemático hacia la gestión de vulnerabilidades, demandando que la detección de fallos, su priorización y la aplicación de parches sigan un proceso ordenado y documentado. Lo esencial es poder demostrar que la corrección se realiza con criterios coherentes y dentro de plazos razonables, un cambio que obliga a muchas entidades a pasar de un mantenimiento reactivo a un modelo continuo y supervisado.
También se otorga una importancia capital a la observación continua del funcionamiento diario de los sistemas. Registrar eventos y conservar la información necesaria para el análisis post-incidente y la detección de comportamientos anómalos deja de ser una recomendación para convertirse en una obligación estructural. Esto garantiza que, ante un problema grave, existan datos suficientes para reaccionar con rapidez y evitar la repetición del fallo. La misma lógica de verificación se aplica a los planes de continuidad, que exigen copias de seguridad fiables y procedimientos probados de recuperación de sistemas.
Un elemento central de NIS2 es el control de la relación con los proveedores tecnológicos. La directiva exige que la dependencia de servicios de terceros esté controlada. Esto obliga a evaluar el grado de exposición al riesgo que genera un proveedor específico, revisar cómo protege sus propios sistemas y establecer garantías contractuales que cubran todo el ciclo de prestación del servicio.
El núcleo operativo se completa con la obligación de notificar incidentes en plazos muy breves. Las organizaciones deben comunicar, en un plazo de veinticuatro horas tras su detección, que se ha producido un incidente significativo, y ampliar la información a medida que avanza la investigación. Esta comunicación temprana es fundamental para coordinar respuestas, compartir alertas de forma eficiente y prevenir que un mismo ataque se propague rápidamente por sectores económicos completos.
El retraso español mantiene a muchos operadores en una situación incómoda: conocen las exigencias de la directiva europea, pero carecen del marco nacional definitivo que concrete autoridades, procedimientos y criterios sectoriales. Una de las novedades institucionales que se espera del anteproyecto de ley es la creación del proyectado Centro Nacional de Ciberseguridad, concebido como la autoridad nacional encargada de la dirección, impulso y gestión de crisis de ciberseguridad. Esta falta de concreción, incluso en las estructuras clave, obstaculiza la planificación. Mientras la norma nacional se materializa, el camino más sensato para las organizaciones es comenzar a aplicar los principios esenciales de NIS2, ya que son prácticas de seguridad necesarias y, en todo caso, obligatorias.
