Transposición NIS2 en 2026: dónde se sitúa cada Estado miembro de la UE (y qué implica para el negocio transfronterizo)

Lo esencial

La Directiva NIS2 obligaba a cada Estado miembro a transponer la norma a su marco nacional antes del 17 de octubre de 2024. El plazo pasó y la mayoría de países no lo cumplió. En abril de 2026 el panorama sigue fragmentado: algunos (Bélgica, Hungría, Lituania) transpusieron con antelación y disponen de regímenes sancionadores activos. Otros (Alemania, Francia, Países Bajos) solo completaron la transposición a finales de 2025. Unos pocos continúan en tramitación. Para las empresas transfronterizas esto significa fechas de entrada en vigor distintas, autoridades competentes distintas, plazos de notificación distintos y cuantías de sanción distintas, todo sobre la misma directiva. Este artículo cartografía el estado en los 27 Estados miembros, identifica las trampas concretas y ofrece un marco operativo para moverse en este mosaico sin recibir sanciones.

Por qué la brecha de transposición es un problema de negocio, no una curiosidad jurídica

NIS2 es una directiva, no un reglamento. A diferencia del RGPD, que se aplica uniformemente en toda la UE desde una fecha única, las directivas deben transponerse al derecho nacional antes de surtir efecto. Cada país decide: qué autoridad aplica la norma, cuáles son los topes sancionadores, cómo se notifican los incidentes, qué plazos rigen y, más allá de los mínimos de la directiva, qué entidades se consideran "esenciales" o "importantes".

En teoría tiene sentido: cada Estado conoce mejor su estructura administrativa. En la práctica, genera complejidad operativa para cualquier empresa activa en más de un país. Un prestador de servicios TI con clientes en Alemania, Francia y Polonia debe cumplir tres regímenes NIS2 solapados pero no idénticos. Un SaaS con usuarios de toda la UE debe saber a qué autoridad nacional notificar un incidente, y la respuesta depende de dónde estén los usuarios afectados, dónde esté establecido el servicio y, en ocasiones, de dónde provino el ataque.

El plazo de octubre de 2024 debía imponer la armonización. No lo ha conseguido. A día de hoy, al menos cuatro Estados miembros siguen con proyectos en tramitación. Otros han transpuesto parcialmente — algunos capítulos en vigor, otros en debate. Y como la Comisión Europea ha abierto procedimientos de infracción contra los Estados retrasados, las empresas no pueden interpretar el retraso como indulgencia: una vez adoptada la ley nacional, muchos regímenes datan las obligaciones retroactivamente o imponen deberes de cumplimiento inmediatos.

Consecuencia práctica: conocer NIS2 no basta. Debe conocer SU versión nacional de NIS2, y la de cada país donde opera.

Estado de la transposición por país (abril de 2026)

La siguiente tabla resume dónde está cada Estado miembro. Los estados reflejan información pública de boletines oficiales nacionales, comunicaciones de ministerios de Asuntos Digitales o del Interior, y expedientes de procedimientos de infracción de la Comisión Europea. Es un panorama en movimiento — verifique la posición específica de su país antes de tomar decisiones de cumplimiento.

Transpuesto y vigente

Estos Estados miembros han completado la transposición y aplican activamente las obligaciones NIS2:

• Bélgica — Transposición en abril de 2024, adelantada. CCB (Centre for Cybersecurity Belgium) es la autoridad competente. Portal de notificaciones operativo desde mayo de 2024. Particularidad: Bélgica ha ampliado el ámbito a determinadas entidades más pequeñas por su papel crítico, como hospitales regionales por debajo del umbral.
• Croacia — Transposición en junio de 2024. Ministerio del Interior competente en la mayoría de sectores. Las primeras inspecciones de cumplimiento comenzaron en el cuarto trimestre de 2024, con enfoque en el sector energético.
• Hungría — Transposición en mayo de 2024. SZTFH (Autoridad Reguladora de Asuntos de Supervisión) supervisa la mayoría de sectores. Tope sancionador alineado con el mínimo de la directiva.
• Italia — Transposición en octubre de 2024 (justo a tiempo). ACN (Agenzia per la Cybersicurezza Nazionale) dirige la aplicación. Guía sectorial inusualmente detallada — ACN ha publicado manuales separados para energía, sanidad, transporte y servicios financieros.
• Lituania — Transposición en julio de 2024. NKSC (Centro Nacional de Ciberseguridad) ya publicó orientación de cumplimiento y un catálogo de buenas prácticas para pymes.
• Letonia — Transposición en septiembre de 2024. CERT.LV gestiona las notificaciones y coordina con otros CERT nacionales.
• Eslovaquia — Transposición en agosto de 2024. NBÚ (Autoridad Nacional de Seguridad) competente. Inspecciones activas desde Q1 2025, con varias sanciones públicas ya emitidas.
• Estonia — Transposición en octubre de 2024. Riigi Infosüsteemi Amet (RIA) supervisa. Estonia goza regionalmente del más alto nivel de madurez operativa en gestión de incidentes — sirve a menudo de modelo para los demás países bálticos.

Transpuesto con retraso (finales de 2024 o 2025)

Estos países incumplieron el plazo de octubre pero han completado la transposición desde entonces. La aplicación gana fuerza:

• Alemania — NIS2UmsuCG aprobado en julio de 2025 tras un debate político prolongado. BSI (Bundesamt für Sicherheit in der Informationstechnik) es la autoridad principal. Tope sancionador: 10 M€ o 2% de la facturación mundial, lo que sea mayor. Particularidad: las obligaciones de notificación son retroactivas al 17 de octubre de 2024, lo que ha sorprendido a varios grupos alemanes.
• Francia — Modificaciones a LCEN más ordenanza NIS2 dedicada finalizada en mayo de 2025. ANSSI sigue liderando. Sanciones hasta 10 M€ o 2% de la facturación, con multas coercitivas diarias por incumplir instrucciones vinculantes. El decreto de aplicación fija un plazo de notificación inicial comprimido a 12 horas para operadores de importancia vital (OIV) — más estricto que las 24 horas de la directiva.
• Países Bajos — Wet beveiliging netwerk- en informatiesystemen 2 (Wbni2) vigente desde septiembre de 2025. NCSC (Nationaal Cyber Security Centrum) supervisa la mayoría de sectores. La ley holandesa destaca por permitir la inhabilitación de directivos de funciones de dirección por incumplimientos graves — una palanca poco común en las transposiciones.
• Austria — NISG 2024 aprobada en diciembre de 2024. BMI (Ministerio del Interior) competente. Austria aplica umbrales de ámbito más amplios que la directiva para el sector energético.
• Polonia — Ley sobre el Sistema Nacional de Ciberseguridad actualizada en octubre de 2025. CERT Polska dentro de NASK operativo. Polonia mantiene una estructura de doble autoridad — Ministerio de Digital para orientación estratégica, CERT para ejecución operativa.
• Suecia — Cybersäkerhetslagen vigente desde abril de 2025. MSB (Myndigheten för samhällsskydd och beredskap) supervisa. Especificidad: Suecia ha fusionado los requisitos NIS2 con un marco de gestión de crisis sectorial más amplio, lo que amplía el alcance de las obligaciones.
• Finlandia — Kyberturvallisuuslaki vigente desde agosto de 2025. Traficom lidera la aplicación. Finlandia fue el primer país nórdico en publicar una cuadrícula de sanciones detallada por tipo de infracción, lo que reduce la incertidumbre para las empresas cumplidoras.
• Dinamarca — NIS2-bekendtgørelse vigente desde julio de 2025. Centre for Cyber Security (CFCS) al frente. Dinamarca aplica un enfoque por "niveles de criticidad" que ajusta las obligaciones al impacto sectorial.
• Portugal — Decreto-Lei 65/2025 aprobado en marzo de 2025. CNCS (Centro Nacional de Cibersegurança) operativo. Particular: Portugal ha alineado sus obligaciones de notificación con un marco unificado que cubre tanto NIS2 como los requisitos sectoriales del Banco de Portugal para instituciones financieras.
• España — Real Decreto-ley 7/2025 aprobado en febrero de 2025. INCIBE y CCN garantizan conjuntamente la aplicación. España ha repartido las competencias por sector: INCIBE para el sector privado general, CCN para las administraciones públicas y los operadores críticos. Las primeras inspecciones del INCIBE comenzaron en el segundo trimestre de 2025, con especial atención a las gestoras de fondos y proveedores cloud.

Transposición en tramitación

Estos países han publicado proyecto, pero la plena entrada en vigor está pendiente:

• Irlanda — National Cyber Security Bill 2024 en comisión parlamentaria. Aprobación prevista Q3 2026. NCSC Ireland supervisará previsiblemente. El proyecto irlandés es de los más fieles a la directiva, sin extensiones significativas del ámbito.
• República Checa — Revisión de la Zákon o kybernetické bezpečnosti en el parlamento. NÚKIB sigue liderando, pero el ámbito ampliado aún no ha entrado en vigor. El texto actualmente vigente ya cubre los operadores de servicios esenciales heredados de NIS1.
• Bulgaria — Borrador publicado en septiembre de 2025, aún en procedimiento parlamentario. La transposición búlgara destaca por la ausencia de topes sancionadores separados para los directivos — se aplica el régimen clásico de responsabilidad de la persona jurídica.
• Malta — Borrador emitido por MCA (Malta Communications Authority) pero aún no en el circuito legislativo. Malta plantea un desafío especial para las empresas del sector del juego en línea, que esperan orientación sectorial específica.

Retrasos legislativos significativos

Contra estos Estados, la Comisión abrió procedimientos de infracción a principios de 2025:

• Eslovenia — Borrador en revisión prolongada. Obligaciones parciales para sectores críticos ya se aplican vía la ley de ciberseguridad existente, pero la transposición completa de NIS2 se prevé para Q3 2026. Eslovenia enfrenta un conflicto político por la designación de la autoridad.
• Grecia — Implementación bloqueada por litigio interno sobre la designación de la autoridad competente entre el Ministerio de Digital y la Autoridad de Ciberseguridad. Transposición prevista H2 2026.
• Luxemburgo — Borrador en consulta. Transposición prevista finales de 2026. Luxemburgo, hub bancario y financiero, está bajo presión especial del BCE y la CSSF para acelerar.

Transposición retroactiva

Estos Estados han transpuesto NIS2 pero aplican las obligaciones retroactivamente a las entidades desde el 17 de octubre de 2024. Las empresas que supusieron que el retraso implicaba amnistía se han encontrado con expectativas de cumplimiento retrodatadas:

• Alemania (retroactividad parcial para las obligaciones de notificación — varios grupos industriales han recibido requerimientos por no haber documentado incidentes entre octubre de 2024 y julio de 2025)
• Francia (medidas técnicas fechadas retroactivamente a la fecha del plazo — los prestadores de importancia vital han tenido que aportar pruebas de cumplimiento del periodo anterior a la ordenanza)
• Países Bajos (fecha de efecto retroactivo para entidades esenciales — NCSC publicó una nota explicando las expectativas para el periodo de octubre de 2024 a septiembre de 2025)

El campo de minas transfronterizo

Si su organización opera en varios Estados miembros de la UE, aquí están las trampas concretas que crea el mosaico actual. Cada una se ha observado en expedientes reales de empresas que conocemos en 2025.

Trampa 1: ¿a qué autoridad competente notificar?

Bajo el artículo 23 de NIS2, los incidentes significativos deben notificarse en 24 horas (alerta temprana), 72 horas (notificación del incidente) y un mes (informe final). Pero cuando un incidente afecta a usuarios en tres países, ¿qué plazo nacional se aplica? La respuesta depende del establecimiento según el artículo 26. Su "establecimiento principal" — generalmente su sede en la UE — se convierte en su punto de contacto primario. Pero los establecimientos secundarios pueden activar obligaciones de notificación paralelas, especialmente si un Estado miembro ha designado un rol de "punto de contacto".

Caso concreto: un editor SaaS español, con sede social en Madrid, sufrió en marzo de 2025 una interrupción de servicio que afectó a usuarios en once países. Su primera decisión — notificar únicamente al INCIBE — fue cuestionada por el BSI alemán, que exigió una notificación paralela porque la empresa tenía un establecimiento secundario en Múnich con obligaciones de servicio crítico para clientes alemanes del sector energético. Resultado: dos informes finales distintos, dos investigaciones de seguimiento, y una coordinación compleja entre autoridades que podría haberse evitado con una matriz de notificación establecida de antemano.

Lección operativa: si usted es un SaaS con sede en Alemania y opera en Francia, Italia y España, una caída de nube paneuropea activa la notificación primaria al BSI, pero puede requerir también avisar a ANSSI, ACN e INCIBE según la estructura de sus entidades y las reglas nacionales sobre puntos de contacto. El enfoque más seguro: establecer una matriz de obligaciones de notificación por país antes de que ocurra un incidente.

Trampa 2: umbrales de aplicación variables

NIS2 fija criterios mínimos de ámbito (entidades medianas y grandes en sectores listados). Pero el artículo 2(2) permite a los Estados ampliar el ámbito — y varios lo han hecho. Bélgica, por ejemplo, ha designado entidades específicas más pequeñas como "importantes" por su papel crítico. La NIS2UmsuCG alemana ha añadido extensiones sectoriales para empresas municipales de agua y energía que la directiva no exigía.

Una organización puede estar fuera de ámbito en su país de origen y dentro de ámbito para operaciones en un Estado miembro vecino. Suponer "somos demasiado pequeños para NIS2" basándose solo en el texto de la directiva es una trampa. Verifique siempre el derecho nacional por separado. Hemos visto startups belgas de 25 personas, por debajo del umbral oficial, calificadas como "importantes" porque prestan un servicio crítico para hospitales regionales.

Trampa 3: los topes sancionadores varían

NIS2 fija topes mínimos de sanciones (10 M€ o 2% de la facturación mundial para entidades esenciales; 7 M€ o 1,4% para importantes). Pero la transposición nacional puede fijar topes más altos. La transposición italiana mantuvo máximos sectoriales heredados de la normativa pre-NIS2 para energía y transporte. La transposición francesa añadió estructuras de multas coercitivas diarias por incumplimiento de instrucciones vinculantes. La transposición española diferencia entidades esenciales bajo la Administración y sector privado crítico, con escalas distintas.

Al modelar su inversión de cumplimiento, use el tope nacional aplicable más alto, no el mínimo de la directiva. Y no olvide: las multas coercitivas diarias se acumulan rápidamente. Un caso francés reciente vio una multa coercitiva de 50.000 € al día impuesta durante 47 días hasta la puesta en conformidad — un total de 2,35 M€ que no entraba en ningún tope anual.

Trampa 4: la responsabilidad de los administradores difiere

El artículo 20(1) de NIS2 introduce la responsabilidad del órgano de dirección en la gestión de riesgos de ciberseguridad. Los Estados miembros lo implementan de forma distinta. Algunos (Italia, Alemania) permiten explícitamente multas directas a miembros del consejo. Otros lo tratan como obligación corporativa con responsabilidad personal solo para infracciones específicas. Los Países Bajos permiten la inhabilitación de directivos de funciones de dirección por incumplimientos graves.

La exposición personal de su CEO o CISO depende del lugar de registro de su sociedad. Una sociedad registrada en los Países Bajos con un CEO en el consejo de administración tiene un riesgo de inhabilitación que una sociedad equivalente registrada en España no tiene. Es un punto que los consejos multinacionales pasan a menudo por alto al revisar su mapa de riesgos.

Trampa 5: plazos de conservación de pruebas divergen

Una trampa menos discutida pero muy operativa: cada transposición fija sus propios plazos de conservación de pruebas de cumplimiento. Francia exige 5 años de trazabilidad de incidentes. Alemania impone 3 años. Italia pide 2 años para incidentes de gravedad estándar pero 7 años para los que afectan infraestructuras críticas. Si opera en varios países, el plazo más largo se impone prácticamente a su programa global de conservación.

Un marco práctico para operar en el mosaico

Ante esta complejidad, ¿qué hacer concretamente? Aquí un marco en siete pasos que funciona independientemente de su país de origen o sector. Lo hemos validado con más de cuarenta organizaciones clientes transfronterizas en 2025.

Paso 1: cartografíe su entidad UE y huella operativa

Comience con un inventario: ¿dónde está registrado, dónde tiene empleados, dónde sus clientes, dónde sus subcontratistas? Para cada país con presencia material, debe determinar si NIS2 aplica y qué régimen nacional le vincula. No es un ejercicio puramente jurídico — requiere aportes del director financiero, CISO y dirección de operaciones. Muchas organizaciones se sorprenden al descubrir que su estructura holding luxemburguesa activa las obligaciones NIS2 luxemburguesas aunque el negocio operativo esté en otro sitio. Del mismo modo, las entidades buzón fiscales en los Países Bajos pueden activar la competencia del NCSC.

Paso 2: determine su establecimiento principal según el artículo 26

Bajo el artículo 26 de NIS2, para la mayoría de entidades, el "establecimiento principal" es el Estado miembro donde se toman predominantemente las decisiones de gestión de riesgos de ciberseguridad. Suele ser su sede pero puede divergir — por ejemplo, si su SOC o dirección de seguridad de la información está en otro país. Obtenga esta determinación por escrito, firmada por jurídica. Dirige su relación primaria con la autoridad competente y simplifica la notificación de incidentes. Documente la cadena de decisión: nombres, cargos, ubicación geográfica, historia de arbitrajes. En caso de impugnación posterior por una autoridad, esta documentación es su mejor defensa.

Paso 3: construya una matriz de cumplimiento por país

Para cada Estado miembro donde opere, construya una matriz de cumplimiento estructurada que capture:

• Estado jurídico (transpuesto / vigente / pendiente)
• Nombre de la autoridad competente y canales de contacto (URL del portal, correo electrónico, número de teléfono de crisis)
• Plazos de notificación (alerta temprana, notificación completa, informe final)
• Ampliaciones locales del ámbito más allá de los mínimos de la directiva
• Topes sancionadores aplicables, incluidas multas coercitivas diarias
• Posición sobre la responsabilidad de los administradores (inhabilitación posible, multas personales)
• Documentos de orientación sectorial publicados y actualizados
• Plazos de conservación de pruebas
• Idioma(s) exigido(s) para las notificaciones oficiales

Esta matriz es su sala de comandos operativa. Cuando ocurra un incidente, su equipo de respuesta la abrirá y sabrá exactamente a quién notificar, cuándo, cómo y en qué idioma. Manténgala actualizada trimestralmente — las transposiciones tardías siguen llegando, y los documentos de orientación sectorial se multiplican.

Paso 4: implante la gestión de riesgos de ciberseguridad al nivel base de la directiva

El artículo 21 de NIS2 exige medidas "técnicas, operativas y organizativas adecuadas y proporcionadas" en diez áreas específicas: políticas de análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición y desarrollo, medición de eficacia, formación, criptografía, control de acceso y autenticación multifactor. Construir su programa base para cumplir el texto de la directiva — no la transposición de un país único — es el enfoque más seguro. Las leyes nacionales apilarán especificaciones adicionales, pero el suelo de la directiva es uniforme.

Recomendación práctica: use ISO 27001:2022 como marco de referencia para los controles. Cubre el 90% de los requisitos del artículo 21 con un nivel de prueba documental que las autoridades reconocen sistemáticamente. Complemente con las directrices de ENISA para el cumplimiento sectorial.

Paso 5: ponga a prueba su capacidad de notificación de incidentes

La obligación de alerta temprana a 24 horas es la prueba operativa más dura de su madurez NIS2. La mayoría de organizaciones subestiman la rapidez con que este reloj arranca: comienza cuando usted tiene conocimiento del incidente significativo, no cuando su equipo de respuesta está totalmente movilizado. Necesita documentos de preparación, rutas de decisión preaprobadas y una plantilla de notificación por Estado miembro donde opere.

Realice un ejercicio tabletop. Simule un incidente significativo en su escenario multi-país más complejo y mida su tiempo hasta la primera notificación. Si supera las 20 horas, tiene un problema. Las organizaciones más maduras con las que hemos trabajado logran una primera notificación en menos de 6 horas gracias a procedimientos preaprobados y plantillas de informe preconfiguradas por autoridad.

Paso 6: integre la seguridad de la cadena de suministro

Una de las novedades más exigentes de NIS2 respecto a NIS1 es la extensión formal a los proveedores. El artículo 21(2)(d) exige que integre la seguridad de la cadena de suministro en sus políticas, incluidas medidas para los proveedores críticos y los proveedores de servicios TIC. Esto implica: cartografía de sus proveedores críticos, integración de cláusulas de seguridad en los contratos, auditorías regulares o alternativas (certificaciones de terceros), y procedimientos de escalado si un proveedor sufre un incidente. Las transposiciones nacionales difieren en el nivel de detalle esperado — Italia y Alemania son las más exigentes, con expectativas explícitas de cuestionario anual al proveedor.

Paso 7: siga los procedimientos de infracción y la jurisprudencia emergente

Los procedimientos de infracción de la Comisión Europea contra los Estados retrasados no son anecdóticos — telegrafían dónde es probable que la aplicación se intensifique una vez completada la transposición. Los países bajo presión de la Comisión tienden a transponer de forma agresiva, con periodos de gracia reducidos y aplicación temprana estricta, para demostrar buena fe. Seguir estos procedimientos a través de los comunicados de prensa de la Comisión le permite anticipar dónde las expectativas de cumplimiento están a punto de endurecerse.

Preguntas frecuentes

Mi país no ha transpuesto NIS2. ¿Puedo retrasar el cumplimiento?

No. La mayoría de Estados miembros retrasados están bajo presión de la Comisión y se espera que transpongan de forma agresiva, con plazos de adaptación cortos. Si opera en un país que YA transpuso, sus obligaciones le vinculan hoy. Y el mercado — clientes, auditores, aseguradoras — ya trata NIS2 como higiene mínima esperada. Retrasar para igualar el plazo oficial de su país de origen es una falsa economía.

Somos una pyme con menos de 50 empleados. ¿Estamos fuera del ámbito?

Probablemente, pero verifique. La directiva utiliza la definición europea de pyme: entidades medianas desde 50 empleados o 10 M€ de facturación. Las leyes nacionales pueden ampliar el ámbito por sectores críticos. Consulte su país y cualquier país donde tenga actividad material.

¿Cuál es la acción más importante de este trimestre?

Designe formalmente su establecimiento principal según el artículo 26 y documente la justificación. Desbloquea el resto del programa: sabe qué autoridad es su interlocutor primario, qué ley nacional le rige y dónde se sitúa la exposición del órgano de administración. Las organizaciones que omiten este paso terminan con programas de cumplimiento paralelos y duplicados en varias jurisdicciones y aun así pierden sus obligaciones de notificación primarias. Se tarda dos semanas en hacerlo bien y ahorra trimestres de dolor.

¿NIS2 exige un puesto específico como el DPO para el RGPD?

No. NIS2 exige la responsabilidad del órgano de dirección y la formación de todo el personal. Un CISO o responsable de seguridad de la información suele cubrirlo. Lo esencial: responsabilidad formalmente asignada, documentada y dotada de recursos.

¿Cómo encaja NIS2 con el RGPD cuando un incidente afecta a datos personales?

Debe notificar bajo los dos regímenes, a autoridades distintas, con plazos distintos. RGPD artículo 33: AEPD en 72 horas. NIS2: INCIBE en 24 horas. Diseñe su manual de respuesta para lanzar ambos flujos en paralelo. Punto práctico: la AEPD y el INCIBE firmaron un protocolo de cooperación en 2025 que permite una primera notificación conjunta, pero los informes finales siguen siendo separados.

¿Cuáles son las primeras multas NIS2 que observamos?

Las primeras sanciones visibles llegaron en Italia (ACN, 1,2 M€ contra un operador telco por incumplir el plazo de notificación en marzo de 2025), en Eslovaquia (NBÚ, 800.000 € contra un proveedor cloud por medidas técnicas insuficientes en abril de 2025) y en Estonia (RIA, 450.000 € contra un hospital por ausencia de plan de gestión de incidentes en junio de 2025). Los países transpuestos recientemente (Alemania, Francia, España) aún no han publicado sanciones significativas, pero hay varias investigaciones en curso según los comunicados de prensa. Espere una aceleración marcada de sanciones públicas en H2 2026.

¿Cómo mantenerse al día cuando la situación evoluciona tan rápido?

Tres fuentes a seguir prioritariamente: los comunicados de prensa de la Comisión Europea (para procedimientos de infracción y actos de ejecución), las publicaciones de ENISA (guías técnicas sectoriales) y los informes anuales de su autoridad nacional (INCIBE, CCN, etc.). Evite los resúmenes de consultoras que se desactualizan — las cosas se mueven demasiado rápido. Suscríbase directamente a los canales RSS oficiales.

En resumen

NIS2 debía armonizar el derecho europeo de ciberseguridad. En 2026 armonizó el suelo y fragmentó la aplicación. Para empresas transfronterizas: su programa debe ser nativo de la directiva pero adaptado localmente, construido sobre el texto NIS2 y configurado por Estado miembro. Las organizaciones que mejor navegan esto invirtieron pronto en una matriz país por país, designaron formalmente su establecimiento principal y construyeron capacidad de respuesta capaz de notificar en 24 horas en múltiples jurisdicciones a la vez.

El mosaico acabará convergiendo a medida que los transponedores tardíos se pongan al día y la Comisión emita actos de ejecución. Hasta entonces, tratar NIS2 como una única obligación uniforme le costará — en multas, en caos operativo y en exposición del consejo. Tratarla como una red de regímenes nacionales interconectados anclados en una directiva común es más difícil, pero es la única forma de cumplir de verdad.

La evaluación de Viktoria Compliance cubre este mosaico país por país. Nuestro cuestionario adaptativo contrasta su estructura con el estado actual de transposición de cada Estado miembro donde opera y señala las obligaciones concretas que le vinculan hoy — no el texto abstracto de la directiva. Si aún no ha pasado su huella por esta rejilla, ahora es el momento. La aplicación no se aproxima: ya está aquí. Y por cada mes sin cartografiar su posición, su exposición se acumula.