Transposición de NIS2 en España: estado real (julio 2026)

España todavía no ha transpuesto la Directiva NIS2. El plazo venció el 17 de octubre de 2024 y, a día de hoy —julio de 2026—, la ley española sigue sin publicarse en el BOE. La Comisión Europea ha agotado la vía diplomática: el 8 de julio de 2026 llevó a España ante el Tribunal de Justicia de la Unión Europea.

Para una empresa afectada, esto genera una confusión peligrosa: si la ley española no existe, ¿tengo que hacer algo? La respuesta corta es . Y este artículo explica por qué.

Cronología del incumplimiento

Fecha Hito
16 de enero de 2023 Entra en vigor la Directiva (UE) 2022/2555 (NIS2)
17 de octubre de 2024 Vence el plazo de transposición para los Estados miembros
28 de noviembre de 2024 La Comisión envía cartas de emplazamiento
14 de enero de 2025 El Consejo de Ministros aprueba el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad
7 de mayo de 2025 La Comisión emite dictamen motivado
8 de julio de 2026 La Comisión lleva a España ante el TJUE, junto a Irlanda, Francia y Países Bajos

El paso al Tribunal no es simbólico: la remisión incluye la petición de sanciones económicas —una cantidad a tanto alzado y multas diarias— hasta que se notifique la transposición completa. El coste del retraso ya no es reputacional; es presupuestario.

Qué es el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

Es el texto con el que España transpondrá NIS2. El Consejo de Ministros lo aprobó el 14 de enero de 2025 y se tramita por el procedimiento de urgencia, con los informes preceptivos de distintos organismos y el dictamen del Consejo de Estado antes de su remisión a las Cortes. A julio de 2026 continúa en tramitación.

Sus dos novedades estructurales son estas:

El Centro Nacional de Ciberseguridad

La ley crea un Centro Nacional de Ciberseguridad, adscrito a la Presidencia del Gobierno, como autoridad nacional competente única para la dirección, el impulso y la coordinación. Actuará además como punto de contacto único para la cooperación intersectorial y transfronteriza, y como autoridad nacional de gestión de crisis de ciberseguridad.

Las autoridades de control, repartidas por sector

La supervisión y ejecución no se concentran en un solo organismo, sino que se reparten:

  • Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad.
  • Ministerio de Defensa, a través del Centro Criptológico Nacional.
  • Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

La consecuencia práctica: su supervisor dependerá del sector en el que opere. Conviene identificarlo desde ya.

Por qué esperar a la ley es un error

Es la tentación natural —«ya me pondré cuando se publique»— y es un error por cuatro razones concretas.

1. La obligación europea ya existe. NIS2 está en vigor. El retraso es del Estado, no de la norma. Y una directiva no transpuesta a tiempo puede desplegar efectos —incluida la responsabilidad del Estado— sin que ello ampare al obligado.

2. La previsión es que no haya periodo transitorio largo. Cuando la ley se publique, lo previsible es que entre en vigor con rapidez. Quien empiece ese día llegará tarde: implantar la gestión de riesgos, la seguridad de la cadena de suministro y un procedimiento de notificación capaz de responder en 24 horas no se hace en unas semanas.

3. El contenido sustantivo ya se conoce. Las obligaciones vienen de la directiva, no de la ley española: las medidas del artículo 21, los plazos de notificación del artículo 23 y la responsabilidad del órgano de dirección del artículo 20 no van a cambiar con la transposición. La ley española define quién supervisa y cómo, no qué hay que hacer.

4. Sus clientes ya se lo están preguntando. La seguridad de la cadena de suministro es una de las medidas obligatorias del artículo 21. Eso significa que las entidades afectadas están exigiendo garantías a sus proveedores — y esa presión contractual llega mucho antes que el BOE.

Qué hacer ahora, sin esperar al BOE

  1. Determinar si está dentro del ámbito: sector de los anexos I o II y umbral de mediana empresa (lo detallamos en nuestra guía sobre a quién aplica NIS2).
  2. Identificar su autoridad de control previsible, según el sector.
  3. Cerrar la brecha del artículo 21: análisis de riesgos, gestión de incidentes, continuidad, cadena de suministro, ciberhigiene y formación.
  4. Montar el procedimiento de notificación: alerta temprana en 24 h, notificación en 72 h, informe final en un mes.
  5. Llevarlo al consejo: el artículo 20 hace responsable al órgano de dirección de aprobar y supervisar las medidas.

Qué implica según el tamaño de su empresa

  • Pyme: confirme primero si el umbral de mediana empresa le deja dentro o fuera; es la decisión que más tiempo y dinero ahorra.
  • Mediana empresa: empiece por el procedimiento de notificación y el análisis de riesgos. Son lo más difícil de improvisar.
  • Gran empresa: su exposición real está en la cadena de suministro y en la evidencia auditable ante un supervisor que ya está identificado por sector. Coordine NIS2 con DORA, el ENS y el EU AI Act en un solo marco.

Demostrar el cumplimiento, no estimarlo

Cuando la ley entre en vigor y llegue la primera inspección, la pregunta no será si su empresa tiene medidas, sino si puede demostrar que funcionan —lo que el artículo 21 llama, literalmente, evaluar la eficacia de las medidas. Las auditorías por muestreo entregan una estimación; un supervisor pide prueba.

Deflank existe para cerrar esa brecha: mediante una metodología de verificación propia, convierte los requisitos aplicables en una prueba demostrable, reproducible y auditable, no en una estimación probabilística. La prueba, no la estimación.


¿Quiere saber si NIS2 le afecta y qué le falta? Solicite un diagnóstico de conformidad NIS2 sin compromiso.

Enlaces internos: [NIS2 (pilar)] · [NIS2: qué es y a quién aplica] · [certificación NIS2].

Contenido informativo; no constituye asesoramiento jurídico. Fuentes: Directiva (UE) 2022/2555; Comisión Europea, paquete de infracciones de julio de 2026; Consejo de Ministros, 14 de enero de 2025 (anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad). Información verificada en julio de 2026: este artículo debe actualizarse en cuanto la ley se publique en el BOE.

Preguntas frecuentes

¿España ha transpuesto ya NIS2?

No. A julio de 2026 la Ley de Coordinación y Gobernanza de la Ciberseguridad sigue en tramitación y no se ha publicado en el BOE.

¿Qué pasó el 8 de julio de 2026?

La Comisión Europea llevó a España —junto a Irlanda, Francia y Países Bajos— ante el Tribunal de Justicia de la UE por no notificar la transposición, solicitando sanciones económicas a tanto alzado y multas diarias.

¿Cuál era el plazo de transposición?

El 17 de octubre de 2024.

¿Qué ley transpondrá NIS2 en España?

La Ley de Coordinación y Gobernanza de la Ciberseguridad, cuyo anteproyecto aprobó el Consejo de Ministros el 14 de enero de 2025.

¿Quién supervisará el cumplimiento?

Un nuevo **Centro Nacional de Ciberseguridad** adscrito a Presidencia como autoridad única de coordinación, con autoridades de control repartidas por sector entre Interior, Defensa (Centro Criptológico Nacional) y Transformación Digital.

¿Debo esperar a que se publique la ley para empezar?

No. Las obligaciones sustantivas provienen de la directiva, ya en vigor, y no se espera un periodo transitorio largo. Además, sus clientes ya exigen garantías por la vía de la cadena de suministro.

Volver a la guía de NIS2