Directiva NIS2: navegando entre la fragmentación regulatoria en Europa

Por este motivo, analizamos las novedades recientes respecto a la Directiva NIS2 y su transposición en Alemania y Portugal, aprovechando también para comentar cuáles son las implicaciones que pueden tener ante la realidad española de cara a los próximos meses:

1. Principales novedades de transposición en Alemania y Portugal

Alemania:

Tras retrasos significativos motivados en parte por procesos políticos internos y la caída del Bundestag en 2025, Alemania ha aprobado su ley de implementación de NIS2 —generalmente conocida como el NIS2 Implementation Act (NIS2-Umsetzungsgesetz)— que se publicó el 5 de diciembre y entró en vigor al día siguiente, el 6 de diciembre de 2025.

El texto alemán incorpora matices nacionales, como el cambio de los conceptos de entidades esenciales e importantes a categorías propias de entidades “especialmente importantes” y entidades “importantes”. Igualmente, establece reglas para determinar la aplicabilidad en actividades que puedan considerarse “negligibles” respecto al negocio principal. Estas variaciones pueden suponer diferencias de transposición respecto al texto europeo, generando retos de conformidad legal para las organizaciones que realizan su actividad tanto en Alemania como en otros países.

La transposición alemana se caracteriza por una aplicación sin periodos de gracia significativos y por reforzar obligaciones de supervisión, gestión de riesgos y reporting en el contexto de una legislación nacional que también integra otras normativas sectoriales. Alemania no solo adopta la Directiva, sino que endurece la vigilancia sobre la «negligencia grave» de la alta dirección.

Así, aquellas empresas que cuenten con entidades bajo el ámbito de aplicación de la normativa alemana, la alta dirección (Geschäftsführer) estará bajo una lupa legal mucho más potente que en otras jurisdicciones, con una capacidad de delegación de responsabilidad muy limitada.

Portugal:

Por su parte, Portugal ha finalizado y publicado su ley de transposición de NIS2 mediante el Decreto-Lei n.º 125/2025 el 4 de diciembre de 2025, estableciendo un Nuevo Regime Jurídico da Cibersegurança que transpone NIS2 al ordenamiento nacional. Este decreto ley amplía el número de entidades sujetas, refuerza obligaciones de gestión de riesgos y notificación de incidentes.

En lo que respecta a su entrada en vigor, destacar que esta se realizará progresivamente, con efectos principales a partir del segundo trimestre de 2026 tras el periodo de entrada en vigor y desarrollo de normas de ejecución.

Sin embargo, a diferencia de la complejidad federal alemana, la norma portuguesa es pragmática pero estricta en el régimen sancionador. En este caso, han puesto especial énfasis en la notificación de incidentes, alineándose estrictamente con las ventanas de «alerta temprana» de 24 horas, requisitos de gestión de riesgos obligatorios y responsabilidades documentadas a nivel de dirección y órganos de gobierno. También se establecen sanciones cuantiosas para entidades esenciales e importantes, con multas que pueden alcanzar hasta 10 millones de euros o un 2% de porcentaje de facturación.

De este modo, para las empresas que tienen presencia en España y Portugal esto implica que la interoperabilidad de los SOC (Centros de Operaciones de Seguridad) entre ambos países debe ser total. No se puede permitir que un incidente detectado en Lisboa tarde días en ser reportado por burocracia interna corporativa.

2. España: estado de la transposición y el anteproyecto de Ley

España no llegó a tiempo a la fecha de octubre de 2024, una situación que, aunque no ideal, es común en nuestro historial de transposiciones complejas. Ante esta situación, en la actualidad nos regimos por el Anteproyecto de Ley que reforma la Ley de Seguridad de las Redes y Sistemas de Información.Aunque técnicamente el anteproyecto no está en vigor, sería un error estratégico esperar a su publicación en el BOE para actuar. El texto del anteproyecto es lo suficientemente maduro como para dictar la que consideramos que podría ser nuestra hoja de ruta actual.

Principales requerimientos del anteproyecto español

El borrador español mantiene la esencia de la Directiva, pero con matices que los CISOs y los Consejos de Administración deben conocer:

1. Ampliación del ámbito de aplicación (Entidades esenciales e importantes). Se elimina la distinción antigua de «operadores de servicios esenciales» basada en designación individual. Ahora, si cumples criterios de tamaño (mediana/gran empresa) y sector (anexos I y II), estás dentro.

• Sectores nuevos: Seguridad privada e Industria nuclea.

2. Responsabilidad personal del órgano de Dirección. La ley española hará responsables a los administradores y directivos de la aprobación de las medidas de ciberseguridad y de la supervisión de su implementación.

• El detalle: se exige formación obligatoria en ciberseguridad para el Consejo. La ignorancia técnica ya no exime de culpa en caso de brecha.

3. Medidas y controles basados en el ENS. Esto no solo ha generado presión regulatoria, sino también una oportunidad para consolidar un marco más robusto y alineado con las mejores prácticas europeas. Dentro de este contexto, las autoridades españolas han estado trabajando en la alineación del Esquema Nacional de Seguridad (ENS) con los requisitos de NIS2, presentando avances ante órganos de cooperación europeos.

4. Notificación de incidentes en tres fases. El esquema es exigente y requiere una madurez operativa alta:

• 24 horas: alerta temprana (indicando si hay sospecha de acto malintencionado).
• 72 horas: notificación del incidente (evaluación inicial de gravedad e impacto).
• 1 mes: informe final.

5. Seguridad en la cadena de suministro.Ya no basta con proteger «la casa». Las empresas reguladas deberán exigir (y auditar) niveles de seguridad equivalentes a sus proveedores directos. Esto creará un «efecto cascada» que afectará a miles de PYMES españolas que son proveedoras de entidades reguladas.

3. Conclusiones y próximos pasos recomendados

Con todo ello, el mensaje del anteproyecto es claro para los responsables y órganos de dirección de las empresas españolas: NIS2 no es una checklist de seguridad, es una normativa de responsabilidad corporativa. La falta de la ley final aprobada en España no congela el riesgo ni la expectativa del mercado.

El avance de países como Alemania y Portugal demuestra que los requisitos de NIS2 no solo serán exigibles, sino que tenderán a converger hacia estándares estrictos de gobierno, gestión de riesgos y supervisión, por lo que las organizaciones con operaciones transfronterizas deberían buscar un modelo de cumplimiento armonizado que cubra el “mínimo común denominador” europeo.

Para una empresa sujeta a la normativa NIS2 en España, los próximos pasos recomendados serían:

1. Determinar con claridad la aplicabilidad, mapeando sectores, servicios y tamaño para identificar si la entidad será clasificada como esencial o importante, y extender el análisis a filiales en otras jurisdicciones NIS2.
2. Realizar un gap Assessment frente a los requisitos de NIS2 y del anteproyecto español, tomando como referencia marcos consolidados (por ejemplo, ISO 27001, ENS o NIST CSF) y las especificaciones del reglamento de ejecución.
3. Definir un modelo de gobernanza de ciberseguridad que involucre al consejo y la alta dirección, formalizando roles, responsabilidades y reporting, así como un plan de formación específico para los órganos de administración.
4. Desarrollar o actualizar el marco de gestión de incidentes y las capacidades de monitorización y respuesta, asegurando la capacidad de cumplir los plazos de notificación y de colaborar fluidamente con las autoridades nacionales.
5. Integrar la ciberseguridad de la cadena de suministro en el sistema de gestión de riesgos corporativos, revisando contratos con proveedores críticos y estableciendo criterios mínimos de seguridad y derechos de auditoría alineados con NIS2.

En definitiva, abordar estos pasos de forma anticipada permite llegar a la aprobación definitiva de la ley española con una postura de cumplimiento avanzada, reducir el riesgo de sanciones y, sobre todo, posicionar la ciberseguridad como palanca de confianza y resiliencia en un entorno regulatorio europeo crecientemente exigente.