Transposición de NIS2 en 2026: situación de cada Estado miembro de la UE (y qué implica para el negocio transfronterizo)

Lo esencial

La Directiva NIS2 (Directiva (UE) 2022/2555) obligaba a cada Estado miembro a transponer la norma a su ordenamiento nacional antes del 17 de octubre de 2024. La fecha pasó y solo Bélgica, Croacia, Italia y Lituania la cumplieron en plazo. A mayo de 2026, 22 de los 27 Estados miembros han adoptado legislación de transposición, mientras que cinco —España, Francia, Irlanda, Luxemburgo y Países Bajos— continúan en procedimiento legislativo. La Comisión Europea abrió procedimientos de infracción contra 23 Estados miembros en noviembre de 2024 y elevó dictámenes motivados contra 19 de ellos el 7 de mayo de 2025. Para las empresas que operan transfronterizamente, esto se traduce en fechas de entrada en vigor distintas, autoridades competentes distintas, vías de notificación de incidentes distintas y estructuras sancionadoras distintas, todo ello sobre una misma directiva. Este artículo cartografía el estado verificado en los 27 Estados miembros con fuentes primarias, identifica las trampas concretas del cumplimiento transfronterizo y propone un marco práctico para operar bajo este mosaico.

Por qué la brecha de transposición es un problema empresarial, no una curiosidad jurídica

NIS2 es una directiva, no un reglamento. A diferencia del RGPD, que se aplica de manera idéntica en toda la UE desde una única fecha de eficacia, las directivas deben transponerse al derecho interno de cada Estado miembro antes de surtir efecto. Cada país decide qué autoridad la aplica, cómo se notifican los incidentes en la práctica y qué entidades quedan calificadas como «esenciales» o «importantes» más allá de los mínimos de la directiva (el artículo 2, apartado 2, permite expresamente la ampliación del ámbito subjetivo).

Sobre el papel, este diseño tiene sentido: cada Estado miembro conoce mejor su propia estructura administrativa. En la práctica, genera una notable complejidad operativa para cualquier empresa con actividad en más de un país. Un proveedor de servicios TI con clientes en Alemania, Italia y Polonia debe ahora navegar tres normas de transposición que parten de la misma directiva, pero divergen en su detalle procedimental. Una plataforma SaaS con usuarios en toda la UE debe saber a qué autoridad nacional corresponde la notificación cuando se produce un incidente: conforme al artículo 26, la respuesta depende del establecimiento principal, sin perjuicio de que los establecimientos secundarios puedan activar obligaciones paralelas.

El plazo de octubre de 2024 estaba pensado para forzar la armonización. No lo logró. A mayo de 2026, cinco Estados miembros tienen aún proyectos pendientes de aprobación, y la Comisión Europea ha emitido dictámenes motivados contra 19 (segunda fase del procedimiento de infracción, inmediatamente anterior a la remisión al Tribunal de Justicia de la UE). Bulgaria fue remitida al TJUE según informes del sector. Las empresas no pueden interpretar el retraso como benevolencia: una vez aprobada la ley nacional, varios Estados miembros han establecido periodos de transición cortos o inexistentes.

La conclusión práctica: conocer el texto de la directiva no basta. Debe conocer SU norma nacional de transposición y la de cada país donde opere.

Estado verificado de la transposición por Estado miembro (mayo de 2026)

El siguiente cuadro recoge, para cada uno de los 27 Estados miembros, la norma de transposición, la fecha de publicación en el boletín oficial, la entrada en vigor y la autoridad competente designada. Cada entrada se ha verificado contra el boletín oficial nacional o el sitio oficial de la autoridad competente (véase el apartado de Fuentes). Es un panorama en movimiento: verifique la posición específica antes de tomar decisiones de cumplimiento.

Transpuesto y en vigor (19 Estados miembros)

• Bélgica — Loi/Wet de 26 de abril de 2024 que transpone NIS2, publicada en el Moniteur belge / Belgisch Staatsblad el 17 de mayo de 2024; en vigor el 18 de octubre de 2024. Autoridad competente: Centre for Cybersecurity Belgium (CCB). Bélgica fue el primer Estado en habilitar la notificación por portal y se apoya en el marco CyFun® como vía de cumplimiento.
• Bulgaria — Закон за изменение и допълнение на Закона за киберсигурност, Boletín del Estado nº 17 de 13 de febrero de 2026; en vigor desde el 13 de febrero de 2026. Coordinador: Coordinador Nacional de Ciberseguridad. Bulgaria fue remitida al TJUE por la Comisión en mayo de 2025, según diversas fuentes del sector, antes de la aprobación de la ley.
• Croacia — Zakon o kibernetičkoj sigurnosti, Narodne novine nº 14/2024 de 14 de febrero de 2024; en vigor el 15 de febrero de 2024. Primer Estado miembro en transponer, ocho meses antes del plazo. Autoridad competente: Nacionalni centar za kibernetičku sigurnost (NCSC-HR), dentro de la SOA.
• Chipre — Network and Information Systems Security (Amendment) Law L. 60(I)/2025, publicada el 25 de abril de 2025. Autoridad competente: Digital Security Authority (DSA). Objeto de un dictamen motivado de la Comisión el 7 de mayo de 2025 (emitido antes de completarse la notificación de la publicación).
• Chequia — Zákon č. 264/2025 Sb. o kybernetické bezpečnosti, Sbírka zákonů de 4 de agosto de 2025; en vigor el 1 de noviembre de 2025. Nueva ley autónoma (no una modificación de la anterior Ley 181/2014). Autoridad competente: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Notificación de incidentes en 24 horas; plazo de registro a finales de diciembre de 2025.
• Dinamarca — Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (LOV nr. 434 de 6 de mayo de 2025), Lovtidende de 7 de mayo de 2025; en vigor el 1 de julio de 2025. Autoridad competente: Center for Cybersikkerhed (CFCS) bajo el Forsvarets Efterretningstjeneste, con autoridades sectoriales para ámbitos específicos. Plazo de registro el 1 de octubre de 2025 a través de Virk con MitID.
• Estonia — Küberturvalisuse seaduse ja teiste seaduste muutmise seadus, Riigi Teataja diciembre de 2025; en vigor el 1 de enero de 2026. Autoridad competente: Riigi Infosüsteemi Amet (RIA). Ámbito ampliado de aproximadamente 3.500 a entre 5.500 y 7.000 entidades. Periodo transitorio de tres años para el cumplimiento pleno.
• Finlandia — Kyberturvallisuuslaki (Säädöskokoelma 124/2025), aprobada el 13 de marzo de 2025; en vigor el 8 de abril de 2025. Modelo descentralizado: autoridades supervisoras sectoriales, con la Liikenne- ja viestintävirasto Traficom albergando el Centro Nacional de Ciberseguridad como punto único de contacto. Plazo de registro el 8 de mayo de 2025; modelo operativo de gestión de riesgos exigible el 8 de julio de 2025.
• Alemania — NIS-2-Umsetzungsgesetz (NIS2UmsuCG), BGBl. 2025 I Nr. 301, publicada el 5 de diciembre de 2025; en vigor el 6 de diciembre de 2025. Aprobación del Bundestag el 13 de noviembre de 2025; del Bundesrat el 21 de noviembre de 2025. Autoridad competente: Bundesamt für Sicherheit in der Informationstechnik (BSI). Aproximadamente 29.500 entidades en 18 sectores. El retraso de 14 meses respecto al plazo se debió al colapso de la coalición «Ampel» a finales de 2024.
• Grecia — Νόμος 5160/2024, ΦΕΚ A' 188 de 27 de noviembre de 2024; en vigor el 28 de noviembre de 2024. Autoridad competente: Εθνική Αρχή Κυβερνοασφάλειας (Autoridad Nacional de Ciberseguridad — NCSA), creada por la Ley 5086/2024 y supervisada por el Ministro de Gobernanza Digital. Decisiones ministeriales de aplicación 1645/2025 y 1689/2025 dictadas durante 2025.
• Hungría — 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (Ley LXIX de 2024 sobre la Ciberseguridad de Hungría), Magyar Közlöny nº 130 de 20 de diciembre de 2024; en vigor el 1 de enero de 2025. Deroga la Ley XXIII de 2023. Autoridad competente: Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH). Decreto Gubernamental de aplicación 418/2024.
• Italia — Decreto Legislativo 4 settembre 2024, n. 138, Gazzetta Ufficiale Serie Generale n. 230 de 1 de octubre de 2024; en vigor el 16 de octubre de 2024. Autoridad competente: Agenzia per la Cybersicurezza Nazionale (ACN), con autoridades sectoriales. Italia ha incorporado más sectores que el mínimo de la directiva y opera un registro anual rotatorio a través de la plataforma de ACN desde el 1 de diciembre de 2024.
• Letonia — Nacionālās kiberdrošības likums (NKDL), Latvijas Vēstnesis junio de 2024; en vigor el 1 de septiembre de 2024. Autoridad competente: Nacionālais kiberdrošības centrs (Centro Nacional de Ciberseguridad) en el Ministerio de Defensa; CERT.LV gestiona la respuesta a incidentes. Registro de autoidentificación previsto para el 1 de abril de 2025; designación del responsable de ciberseguridad y primera autoevaluación para el 1 de octubre de 2025.
• Lituania — Kibernetinio saugumo įstatymas (modificada), Teisės aktų registras julio de 2024; en vigor el 18 de octubre de 2024. Autoridad competente: Nacionalinis kibernetinio saugumo centras (NKSC) bajo el Ministerio de Defensa Nacional. Reglamento gubernamental de aplicación adoptado el 6 de noviembre de 2024 que define los requisitos técnicos y organizativos.
• Polonia — Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, Dziennik Ustaw de 2 de marzo de 2026; en vigor el 2 de abril de 2026. Aprobación del Sejm el 23 de enero de 2026; del Senat el 28 de enero de 2026; firma presidencial el 19 de febrero de 2026. Los CSIRT (CSIRT GOV, CSIRT MON, CSIRT NASK) operan bajo el Ministro de Asuntos Digitales. Periodo de adaptación de 12 meses hasta el 2 de abril de 2027.
• Rumanía — Ordonanța de Urgență 155/2024, Monitorul Oficial 1334 de 30 de diciembre de 2024; en vigor en enero de 2025. Aprobada y modificada por la Ley 124/2025, en vigor el 10 de julio de 2025. Autoridad competente: Directoratul Național de Securitate Cibernetică (DNSC). Rumanía transpuso vía ordenanza de urgencia para sortear la presión del plazo; el plazo de registro de 30 días se activó en septiembre de 2025.
• Eslovaquia — Zákon č. 366/2024 Z. z., Zbierka zákonov de 19 de diciembre de 2024; en vigor el 1 de enero de 2025. Modifica la Ley 69/2018 sobre Ciberseguridad en lugar de sustituirla. Autoridad competente: Národný bezpečnostný úrad (NBÚ); SK-CERT gestiona la respuesta a incidentes. Aproximadamente 10.000 entidades en el ámbito subjetivo; registro JISKB exigible antes del 1 de marzo de 2025; cumplimiento pleno antes del 31 de diciembre de 2026.
• Eslovenia — Zakon o informacijski varnosti (ZInfV-1), Uradni list RS št. 40/25 de 4 de junio de 2025; en vigor el 19 de junio de 2025. Una sola ley transpone también el Cyber Solidarity Act y el Cybersecurity Act (Reglamento 2025/38). Autoridad competente: Urad Vlade Republike Slovenije za informacijsko varnost (URSIV); SI-CERT gestiona la respuesta a incidentes. Objeto del procedimiento de infracción de la Comisión abierto en mayo de 2025. Primer plazo de autorregistro el 19 de diciembre de 2025.
• Suecia — Cybersäkerhetslag (SFS 2025:1506), promulgada en diciembre de 2025; en vigor el 15 de enero de 2026. Deroga la anterior Information Security Act (2018:1174). Modelo descentralizado y sectorial: autoridades supervisoras sectoriales (como PTS para telecomunicaciones), con MSB (Myndigheten för samhällsskydd och beredskap) como coordinador. La ordenanza complementaria de ciberseguridad designa los órganos de supervisión.

Transpuesto pero con entrada en vigor pendiente

• Austria — Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), BGBl. I Nr. 94/2025 de 23 de diciembre de 2025; entrada en vigor el 1 de octubre de 2026 (vacatio legis de nueve meses). Autoridad competente: Bundesministerium für Inneres (BMI). Contexto importante: un proyecto anterior denominado «NISG 2024» fue RECHAZADO por el Consejo Nacional el 3 de julio de 2024; un nuevo gobierno de coalición tuvo que presentar el proyecto en segundo intento, lo que explica el largo retraso.
• Portugal — Decreto-Lei n.º 125/2025, Diário da República de 4 de diciembre de 2025; entrada en vigor el 3 de abril de 2026 (aplazamiento de 120 días). Aprueba el nuevo Regime Jurídico da Cibersegurança. Autoridad competente: Centro Nacional de Cibersegurança (CNCS). Periodo de adaptación de 12 meses: las entidades pueden solicitar una exención sancionadora temporal durante el primer año si acreditan un esfuerzo de cumplimiento de buena fe.

Transpuesto (instrumento publicado, comienzo ministerial pendiente)

• Malta — Measures for a High Common Level of Cybersecurity across the European Union (Malta) Order, 2025 — Subsidiary Legislation 460.41 (Legal Notice 71 of 2025), publicada el 8 de abril de 2025. Autoridad competente: Critical Infrastructure Protection (CIP) Department dentro del Ministerio del Interior. Las disposiciones sustantivas resultarán exigibles en las fechas que el Ministro fije mediante avisos de comienzo.

En procedimiento legislativo (cinco Estados miembros)

• Francia — Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (la «Resilience Bill»), que combina NIS2, la Directiva CER sobre resiliencia de entidades críticas y DORA en una única ley de transposición. Primera lectura en el Senado en marzo de 2025; voto de la comisión especial de la Asamblea Nacional el 10 de septiembre de 2025. Adopción definitiva ahora prevista durante la sesión extraordinaria de julio de 2026; decretos de aplicación de la ANSSI esperados en el segundo trimestre de 2026. Autoridad competente designada: Agence nationale de la sécurité des systèmes d'information (ANSSI). La ANSSI publicó el Référentiel Cyber France (ReCyF) el 17 de marzo de 2026 como documento técnico preparatorio de referencia.
• Irlanda — National Cyber Security Bill 2024 (Esquema general publicado el 30 de agosto de 2024). Las elecciones generales irlandesas de 2024 interrumpieron el calendario legislativo; el escrutinio prelegislativo continúa. Objeto de un dictamen motivado de la Comisión el 7 de mayo de 2025. Autoridad competente designada en el proyecto: National Cyber Security Centre (NCSC), con reguladores sectoriales como ComReg.
• Luxemburgo — Projet de loi 8364, depositado en la Chambre des Députés el 13 de marzo de 2024; opinión complementaria del Consejo de Estado en diciembre de 2025. Pendiente de aprobación por la Cámara a mayo de 2026. Objeto de un dictamen motivado de la Comisión el 7 de mayo de 2025. Autoridad competente designada en el proyecto: Institut Luxembourgeois de Régulation (ILR).
• Países Bajos — Cyberbeveiligingswet (Cbw), Wetsvoorstel 36764. La Tweede Kamer la aprobó el 15 de abril de 2026; voto pendiente en la Eerste Kamer. Entrada en vigor prevista el 1 de julio de 2026. Nota: la ley se denomina Cyberbeveiligingswet, NO una «Wbni2» — sustituye a la Wbni vigente en lugar de continuar el nombre. La ley complementaria Wet weerbaarheid kritieke entiteiten (Wwke) transpone en paralelo la Directiva CER. Autoridad competente: Nationaal Cyber Security Centrum (NCSC), bajo el Ministerio de Justicia y Seguridad, con reguladores sectoriales.
• España — Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. El Consejo de Ministros aprobó el anteproyecto el 14 de enero de 2025; pendiente de debate parlamentario en las Cortes Generales a mayo de 2026. Objeto de un dictamen motivado de la Comisión el 7 de mayo de 2025; procedimiento de infracción abierto en noviembre de 2024. El anteproyecto crea un nuevo Centro Nacional de Ciberseguridad (CNC) bajo la Secretaría General de la Presidencia, mientras que CCN-CERT, INCIBE-CERT y ESPDEF-CERT continúan con sus funciones sectoriales.

Topes sancionadores en los Estados miembros

Casi todas las normas de transposición aplican literalmente los topes mínimos de la directiva: entidades esenciales — 10.000.000 € o el 2 % del volumen de negocios mundial total anual, lo que sea mayor; entidades importantes — 7.000.000 € o el 1,4 % del volumen de negocios mundial total anual, lo que sea mayor (artículo 34, apartados 4 y 5, de NIS2). Las variaciones nacionales son limitadas y de carácter procedimental, no afectan al techo: Hungría añade una estructura administrativa adicional de 50–350 millones de HUF, y Rumanía expresa los topes tanto en euros como en porcentaje. Cuando los Estados miembros han permitido que máximos sectoriales históricos previos a NIS2 sigan operando (por ejemplo, en energía o telecomunicaciones), suelen aplicarse en paralelo a los topes de NIS2 sin desplazarlos. Tome los mínimos de la directiva como hipótesis base de modelización y verifique con asesoramiento jurídico nacional cualquier capa específica del país.

Actividad de la Comisión Europea en materia de infracciones

El 28 de noviembre de 2024 la Comisión envió cartas de emplazamiento a 23 Estados miembros por no haber notificado plenamente la transposición de NIS2 (todos salvo Bélgica, Croacia, Italia y Lituania). El 7 de mayo de 2025 elevó el procedimiento a dictámenes motivados contra 19 Estados miembros: Bulgaria, Chequia, Dinamarca, Alemania, Estonia, Irlanda, España, Francia, Chipre, Letonia, Luxemburgo, Hungría, Países Bajos, Austria, Polonia, Portugal, Eslovenia, Finlandia y Suecia. Bulgaria fue remitida al TJUE según informes del sector. A medida que los Estados miembros han ido adoptando legislación de transposición a lo largo de 2025 y en 2026, varios de esos dictámenes motivados han quedado superados por los hechos; otros (especialmente para los cinco Estados miembros aún pendientes) siguen vivos.

El campo de minas del cumplimiento transfronterizo

Si su organización opera en varios Estados miembros de la UE, estas son las trampas concretas que crea el actual mosaico.

Trampa 1: ¿a qué autoridad competente corresponde la notificación?

Conforme al artículo 23 de NIS2, los incidentes significativos activan una alerta temprana en 24 horas, una notificación del incidente en 72 horas y un informe final en un mes. El artículo 26 fija las reglas de jurisdicción: una entidad queda generalmente sometida a la jurisdicción del Estado miembro donde esté establecida; para entidades que operen en varios Estados miembros, el «establecimiento principal» es el Estado miembro donde se adopten predominantemente las decisiones de gestión de riesgos de ciberseguridad. Cuando esa ubicación no pueda determinarse o esté fuera de la Unión, la jurisdicción recae sobre el Estado miembro donde se realicen las operaciones de ciberseguridad y, como último criterio supletorio, sobre el Estado miembro con el mayor número de empleados. Las entidades extracomunitarias que presten servicios incluidos en el ámbito deben designar un representante conforme al artículo 26, apartado 3.

Implicación práctica: si usted es un SaaS con sede en Alemania y operaciones en Francia, Italia y España, una caída de nube paneuropea activa la notificación al BSI como autoridad competente principal. Que sean necesarias notificaciones secundarias a la ANSSI, la ACN, INCIBE o cualquier regulador sectorial dependerá de la estructura de las entidades, de los acuerdos sobre puntos de contacto designados por cada legislación nacional y de cualquier capa sectorial superpuesta. El enfoque más seguro consiste en definir una matriz de obligaciones de notificación por país antes de que se produzca un incidente.

Trampa 2: umbrales de ámbito subjetivo distintos

NIS2 fija criterios mínimos de ámbito (entidades medianas y grandes en sectores listados). El artículo 2, apartado 2, permite expresamente a los Estados miembros ampliar el ámbito, y varios lo han hecho. Italia incorporó más sectores que el mínimo de la directiva en el D.Lgs. 138/2024. La NIS2UmsuCG alemana cubre aproximadamente 29.500 entidades en 18 sectores. Hungría utiliza una capa adicional de «clases de seguridad» (básica, significativa, alta) sobre la distinción esencial/importante. La ampliación de Estonia prácticamente duplica la población de entidades reguladas frente a NIS1.

Una organización puede estar fuera de ámbito en su país de origen pero dentro de ámbito en operaciones de un Estado miembro vecino. Suponer «somos demasiado pequeños para NIS2» basándose únicamente en el texto de la directiva es una trampa. Verifique siempre el derecho nacional por separado.

Trampa 3: los topes sancionadores son en su mayoría uniformes, pero el detalle procedimental difiere

Como ya se ha indicado, casi todos los Estados miembros han aplicado literalmente los mínimos de la directiva. La variación sustantiva es procedimental, no de techo: diferencias en cómo se calculan las multas frente al volumen de negocios, qué factores ponderan las autoridades al fijar la cuantía, si las multas coercitivas diarias pueden agravar el incumplimiento de órdenes vinculantes, y cómo se articulan los procedimientos administrativos sancionadores con la responsabilidad penal. Al modelizar la inversión en cumplimiento, utilice los topes de la directiva como suelo y verifique los mecanismos agravantes específicos de cada país con asesoramiento jurídico nacional.

Trampa 4: la responsabilidad del órgano de administración difiere

El artículo 20, apartado 1, de NIS2 exige que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad, supervisen su aplicación y puedan ser considerados responsables de las infracciones. Los Estados miembros lo trasponen de forma distinta. El D.Lgs. 138/2024 italiano contempla expresamente que la ACN pueda imponer, como sanción administrativa accesoria, una «inhabilitación temporal para desempeñar funciones de dirección» a miembros del consejo de entidades esenciales reincidentes. La NIS2UmsuCG alemana prevé responsabilidad personal de Geschäftsführer y Vorstand, incluidas posibles multas personales e inhabilitaciones temporales. La Cyberbeveiligingswet neerlandesa (aprobada por la Tweede Kamer en abril de 2026) escala desde órdenes correctoras hasta multas e inhabilitación de los administradores responsables por incumplimientos graves.

Por tanto, la exposición personal de su CEO o CISO depende en parte del lugar de domicilio social y en parte del umbral de gravedad que aplique la autoridad nacional. Cartografíelo cuanto antes; no lo descubra durante un procedimiento de aplicación.

Trampa 5: canales e idiomas de notificación

Cada autoridad nacional opera su propio portal de notificación de incidentes: el Melde- und Informationsportal del BSI en Alemania, la plataforma MonEspaceNIS2 de la ANSSI en Francia (cuando se apruebe el proyecto), la plataforma de la ACN en Italia, el sistema INCIBE-CERT en España, NCSC.nl y english.ncsc.nl en los Países Bajos. La mayoría operan principalmente en la lengua nacional del Estado miembro; el NCSC neerlandés ofrece expresamente un portal totalmente bilingüe en neerlandés/inglés. Para los demás Estados miembros, debe asumirse que la presentación se realiza en la lengua nacional salvo que las directrices de la autoridad indiquen otra cosa. Por tanto, un incidente paneuropeo suele requerir notificaciones multilingües dentro de la misma ventana de 24 horas. Disponer de plantillas de notificación pretraducidas y de manuales operativos en el idioma local ahorra horas críticas durante un evento real.

Marco práctico para operar en el mosaico

Ante esta complejidad, ¿qué debe hacer concretamente una empresa transfronteriza? Aquí un marco en siete pasos que funciona con independencia del país de origen o del sector.

Paso 1: cartografíe su entidad UE y huella operativa

Comience con un inventario: ¿dónde está registrado, dónde tiene empleados, dónde están sus clientes, dónde sus subcontratistas? Para cada país con presencia material, debe determinar si NIS2 es aplicable y qué régimen nacional rige. No es un ejercicio puramente jurídico: requiere aportaciones del director financiero, el CISO y la dirección de operaciones. Muchas organizaciones se sorprenden al descubrir que una estructura holding luxemburguesa activa las obligaciones NIS2 luxemburguesas aunque el negocio operativo se ubique en otro lugar.

Paso 2: identifique su establecimiento principal conforme al artículo 26

Conforme al artículo 26 de NIS2, para la mayoría de las entidades el «establecimiento principal» es el Estado miembro de la UE donde se adopten predominantemente las decisiones de gestión de riesgos de ciberseguridad. Suele ser su sede central, pero puede divergir, por ejemplo, si su SOC o la dirección de seguridad de la información se sitúan en otro país. Obtenga esta determinación por escrito, con visto bueno de la asesoría jurídica. Es la que define la relación primaria con la autoridad competente y simplifica notablemente la notificación de incidentes.

Paso 3: construya una matriz de cumplimiento por país

Para cada Estado miembro en el que opere, elabore una matriz de cumplimiento estructurada que recoja:

• Estado jurídico (transpuesto y en vigor / transpuesto pendiente de entrada en vigor / en procedimiento legislativo)
• Nombre de la autoridad competente y canales de contacto
• Plazos de notificación (alerta temprana en 24 horas, notificación en 72 horas, informe final en un mes)
• Ampliaciones locales del ámbito subjetivo más allá de los mínimos de la directiva
• Topes sancionadores aplicables y eventuales capas procedimentales
• Mecanismos de responsabilidad del órgano de administración (multas a la entidad, multas personales, inhabilitación)
• Documentos de orientación sectorial publicados por la autoridad nacional

Esta matriz es su sala de control operativa. Cuando se produzca un incidente, su equipo de respuesta la consulta y sabe exactamente a quién notificar, cuándo y cómo.

Paso 4: implante la gestión de riesgos de ciberseguridad al nivel base de la directiva

El artículo 21 de NIS2 exige «medidas técnicas, operativas y organizativas adecuadas y proporcionadas» en diez áreas concretas: políticas de análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, seguridad en la adquisición / desarrollo / mantenimiento de redes y sistemas de información, medición de la eficacia, formación, criptografía, control de acceso y autenticación multifactor. Construir su programa base para cumplir el texto de la directiva —no la transposición de un único país— es el enfoque más seguro. Las leyes nacionales añaden especificidades adicionales sobre ese suelo, pero el suelo de la directiva es uniforme.

Paso 5: someta su capacidad de notificación de incidentes a una prueba de esfuerzo

La obligación de alerta temprana en 24 horas es la prueba operativa más exigente de su preparación frente a NIS2. La mayoría de las organizaciones subestiman la rapidez con que arranca este reloj: comienza cuando se tiene conocimiento de un incidente significativo, no cuando el equipo de respuesta está plenamente movilizado. Necesita documentos de preparación, vías de decisión preautorizadas y una plantilla de notificación por cada Estado miembro en el que opere.

Realice un ejercicio de simulación (tabletop). Simule un incidente significativo en su escenario multinacional más complejo y mida el tiempo hasta la primera notificación. Si supera las 20 horas, tiene un problema.

Paso 6: integre la seguridad de la cadena de suministro

Una de las novedades más exigentes de NIS2 frente a NIS1 es la extensión formal a los proveedores. El artículo 21, apartado 2, letra d), exige «la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos». Esto implica: cartografiar a los proveedores críticos, integrar cláusulas de seguridad en los contratos, realizar revisiones periódicas o aceptar alternativas como certificaciones de terceros, y mantener procedimientos de escalado si un proveedor sufre un incidente. Los Estados miembros y la política de ciberseguridad de la UE orientan cada vez más a las organizaciones hacia los esquemas europeos de certificación de ciberseguridad en lugar de cuestionarios abiertos a proveedores; diseñe su programa de proveedores para asimilar esa dirección.

Paso 7: siga los procedimientos de infracción y la jurisprudencia emergente

Los procedimientos de infracción de la Comisión Europea contra los Estados miembros retrasados no son anecdóticos: telegrafían dónde está a punto de aterrizar la transposición y dónde es probable que la aplicación se intensifique. Los países bajo presión de la Comisión tienden a transponer con periodos de gracia reducidos para acreditar buena fe. Seguir estos procedimientos a través de las notas de prensa de la Comisión (y del feed diario del Diario Oficial vía EUR-Lex para nuevas leyes de transposición) le permite anticipar dónde van a endurecerse las expectativas de cumplimiento. Atención también al Tribunal de Justicia de la Unión Europea (TJUE) por si surgen cuestiones prejudiciales que interpreten disposiciones de NIS2; las primeras resoluciones reconfigurarán cómo los tribunales nacionales interpretan la aplicación.

Preguntas frecuentes

Mi país aún no ha transpuesto NIS2. ¿Tengo margen para retrasar el cumplimiento?

No. Tres razones. Primera, los cinco Estados miembros restantes están bajo presión de la Comisión por dictámenes motivados emitidos el 7 de mayo de 2025 y se espera que varios transpongan con periodos de transición cortos. Segunda, si opera en cualquier país que ya haya transpuesto, esas obligaciones le vinculan hoy en esa jurisdicción. Tercera, NIS2 representa un suelo de higiene de ciberseguridad que el mercado —clientes, auditores, aseguradoras— ya trata como práctica esperable. Retrasar el cumplimiento para igualar el plazo oficial de su país es una falsa economía.

Soy una pequeña empresa con menos de 50 empleados. ¿Estoy fuera de ámbito?

Probablemente, pero verifíquelo. La directiva utiliza la definición europea de pyme: las entidades medianas tienen 50 o más empleados o un volumen de negocios igual o superior a 10 M€. No obstante, las leyes nacionales pueden ampliar el ámbito al amparo del artículo 2, apartado 2, para sectores específicos, y algunas incluyen expresamente entidades más pequeñas para servicios críticos (microrredes energéticas, determinados proveedores de nube y de servicios gestionados, ciertas infraestructuras digitales). Compruebe la transposición de su país de origen y la de cualquier país en el que tenga operaciones materiales.

¿Cuál es la actuación más importante para este trimestre?

Designe formalmente su establecimiento principal conforme al artículo 26 y documente el razonamiento. Esto desbloquea el resto del programa de cumplimiento: identifica qué autoridad nacional es su interlocutor primario, qué ley nacional es el texto rector y dónde se sitúa la exposición de su órgano de administración. Las organizaciones que omiten este paso terminan con programas de cumplimiento paralelos y duplicados en varias jurisdicciones y, aun así, incumplen sus obligaciones primarias de notificación. Hacerlo bien lleva dos semanas y evita meses de problemas.

¿Necesitamos un DPO específico para NIS2 (como ocurre con el RGPD)?

No, NIS2 no exige un Delegado de Protección de Datos. Sí exige la responsabilidad del órgano de dirección conforme al artículo 20 y la formación de todo el personal en ciberseguridad. La mayoría de las organizaciones maduras cuentan con un CISO o un Responsable de Seguridad de la Información que desempeña la función operativa equivalente. Lo importante es que la responsabilidad esté formalmente atribuida, documentada y dotada de recursos, no el título concreto.

¿Cuáles son las primeras multas por NIS2 que se han observado?

A mayo de 2026 no se han hecho públicas multas administrativas significativas por NIS2 contra entidades identificadas. La actividad de aplicación hasta la fecha se ha centrado en la fase de requerimientos supervisores. El BSI alemán comenzó a emitir requerimientos formales (Anordnungen) en el cuarto trimestre de 2025 contra entidades que no se habían registrado o no habían designado un punto de contacto, priorizando los sectores de energía e infraestructuras digitales. La ACN italiana identificó una población sustancial —en torno a 2.000 entidades— que no completó el registro anual antes del plazo del 28 de febrero de 2026 y las está persiguiendo a través de procedimientos sancionadores. La Comisión ha emitido dictámenes motivados contra 19 Estados miembros por no haber transpuesto plenamente, lo que constituye una forma de aplicación distinta (a nivel estatal). Las primeras multas materiales se anticipan a lo largo de 2026, y el patrón inicial que emerge en estos requerimientos supervisores es coherente: las autoridades aún no están sancionando una ciberseguridad imperfecta, pero sí la documentación faltante y los registros no realizados.

¿Cómo nos mantenemos al día cuando el panorama cambia tan deprisa?

Tres fuentes a seguir con prioridad: las notas de prensa de la Comisión Europea (para procedimientos de infracción y actos de ejecución), las publicaciones de ENISA (orientación técnica sectorial) y los informes anuales de su autoridad nacional (BSI, ANSSI, ACN, NCSC, INCIBE, CCN y equivalentes). Evite los resúmenes de consultoras que envejecen rápido: las cosas se mueven demasiado deprisa. Suscríbase directamente a los canales RSS oficiales. Para actualizaciones regulatorias, el feed diario del Diario Oficial vía EUR-Lex es la fuente autorizada para las nuevas leyes nacionales de transposición: las verá el día en que aparecen, no cuando una consultora escribe sobre ellas semanas después.

¿Cómo encaja NIS2 con el RGPD cuando un incidente afecta a datos personales?

Debe notificar bajo ambos regímenes, a autoridades distintas y con plazos distintos. El artículo 33 del RGPD exige notificación a su autoridad de protección de datos en 72 horas. El artículo 23 de NIS2 exige una alerta temprana a la autoridad competente en ciberseguridad en 24 horas. Son obligaciones independientes, con autoridades y multas separadas. Diseñe su manual de respuesta para activar ambos flujos en paralelo desde el momento en que se tenga conocimiento del incidente.

En resumen

NIS2 debía armonizar el derecho europeo de ciberseguridad. En 2026 ha armonizado el suelo (medidas del artículo 21, plazos de notificación del artículo 23, topes del artículo 34) pero ha fragmentado el detalle procedimental. Para las empresas transfronterizas, esto significa que su programa de cumplimiento debe ser nativo de la directiva pero adaptado localmente, construido sobre el texto de NIS2 y configurado por cada Estado miembro en el que opere. Las organizaciones que mejor están navegando esto son las que invirtieron pronto en una matriz país por país, designaron formalmente su establecimiento principal y construyeron capacidades de respuesta a incidentes capaces de cumplir el plazo de 24 horas en varias jurisdicciones simultáneamente.

El mosaico acabará convergiendo a medida que los cinco Estados miembros restantes adopten sus leyes de transposición y la Comisión emita actos de ejecución. Hasta entonces, tratar NIS2 como una obligación única y uniforme le costará caro: en multas, en disrupción operativa y en exposición del órgano de administración. Tratarla como una malla de regímenes nacionales interconectados anclados en una directiva común es más difícil, pero es la única forma de cumplir realmente.

La evaluación de Viktoria Compliance cubre esta malla país por país. Nuestro cuestionario adaptativo contrasta la estructura de su entidad con el estado verificado de transposición de cada Estado miembro en el que opere y señala las obligaciones específicas que le vinculan hoy, no el texto abstracto de la directiva. Si aún no ha pasado su huella por la herramienta, este es el momento: la aplicación no se aproxima, ya está aquí.

Fuentes

Todos los datos de transposición por Estado miembro verificados en mayo de 2026 frente a boletines oficiales nacionales, publicaciones de las autoridades competentes designadas y el cuadro de transposición de NIS2 de la Comisión Europea. Las disposiciones de la Directiva NIS2 se citan a partir de EUR-Lex Directiva (UE) 2022/2555.

• Directiva NIS2 (UE) 2022/2555 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng
• Cuadro de transposición de NIS de la Comisión Europea — https://digital-strategy.ec.europa.eu/en/policies/nis-transposition
• Austria — BGBl. I Nr. 94/2025 (NISG 2026): https://ris.bka.gv.at/eli/bgbl/I/2025/94/20251223
• Bélgica — CCB NIS2: https://ccb.belgium.be/regulation/nis2
• Bulgaria — Análisis de las modificaciones de la Ley de Ciberseguridad: https://cms.law/en/bgr/legal-updates/bulgaria-adopts-nis2-aligned-cybersecurity-law
• Croacia — Narodne novine 14/2024: https://narodne-novine.nn.hr/clanci/sluzbeni/2024_02_14_254.html
• Chipre — Digital Security Authority: https://www.dsa.cy
• Chequia — NÚKIB: https://www.nukib.gov.cz
• Dinamarca — Lov nr. 434/2025: https://www.retsinformation.dk/eli/lta/2025/434
• Estonia — Portal NIS2 de la RIA: https://nis2.ee/
• Finlandia — Anuncio de la Ley de Ciberseguridad de Traficom: https://traficom.fi/en/news/cybersecurity-act-passed-parliament-obligations-under-nis-2-directive-enter-force-8-april-2025
• Francia — ANSSI Directiva NIS 2: https://cyber.gouv.fr/reglementation/cybersecurite-systemes-dinformation/directives-nis-nis2-et-dispositif-saiv/directive-nis-2/
• Alemania — BGBl. 2025 I Nr. 301: https://www.recht.bund.de/bgbl/1/2025/301/VO.html
• Grecia — Autoridad Nacional de Ciberseguridad: https://www.ncsa.gov.gr
• Hungría — SZTFH: https://sztfh.hu
• Irlanda — Esquema general del National Cyber Security Bill 2024: https://www.gov.ie/en/department-of-justice-home-affairs-and-migration/publications/general-scheme-of-the-national-cyber-security-bill-2024/
• Italia — ACN Normativa: https://www.acn.gov.it/portale/en/nis/la-normativa
• Letonia — Centro Nacional de Ciberseguridad: https://www.cyber.gov.lv/lv/nis2
• Lituania — Ley de Ciberseguridad: https://kam.lt/kibernetinio-saugumo-istatymas/
• Luxemburgo — Chambre des Députés Bill 8364: https://www.chd.lu/en/directive-NIS2-cybersecurite
• Malta — Análisis del Legal Notice 71 of 2025: https://gvzh.mt/insights/nis2-malta-cybersecurity-legal-notice-71-2025/
• Países Bajos — Eerste Kamer Cyberbeveiligingswet 36764: https://www.eerstekamer.nl/wetsvoorstel/36764_cyberbeveiligingswet
• Polonia — Modificación de la ley de ciberseguridad en el Sejm: https://www.gov.pl/web/cyfryzacja/sejm-uchwalil-nowelizacje-ustawy-o-krajowym-systemie-cyberbezpieczenstwa
• Portugal — Decreto-Lei 125/2025: https://diariodarepublica.pt/dr/detalhe/decreto-lei/125-2025-962603401
• Rumanía — DNSC: https://www.dnsc.ro
• Eslovaquia — NBÚ: https://www.nbu.gov.sk
• Eslovenia — Uradni list ZInfV-1: https://www.uradni-list.si/glasilo-uradni-list-rs/vsebina/2025-01-1571
• España — CCN NIS2: https://www.ccn.cni.es/es/normativa/directiva-nis2
• Suecia — SFS 2025:1506 Cybersäkerhetslag: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetslag-20251506_sfs-2025-1506/
• NCSC Países Bajos notificación de incidentes: https://www.ncsc.nl/cyberincidenten-melden-bij-het-ncsc
• BSI Alemania notificación de incidentes: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Meldung/Anleitung-Meldung_node.html
• ANSSI Francia notificaciones reglamentarias: https://cyber.gouv.fr/notifications-reglementaires
• INCIBE España FAQ NIS2: https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2