EL ANTEPROYECTO DE LEY DE COORDINACIÓN Y GOBERNANZA DE LA CIBERSEGURIDAD PERMANECE EN SEDE PARLAMENTARIA BAJO PRESIÓN EUROPEA.
La Directiva (UE) 2022/2555 está en vigor a nivel europeo desde enero de 2023, pero España aún no ha completado su transposición al derecho nacional. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025 y a fecha de febrero de 2026 sigue pendiente de debate parlamentario en las Cortes Generales. La Comisión Europea ya ha enviado un dictamen motivado a España (mayo 2025) por el retraso, lo que podría derivar en una demanda ante el TJUE con multas coercitivas al Estado.
El Anteproyecto, cuando se apruebe, creará el Centro Nacional de Ciberseguridad (CNC), adscrito a la Secretaría General de la Presidencia del Gobierno, con funciones de coordinación nacional y punto de contacto único ante la UE. El artículo 35 del Anteproyecto indica que los miembros del órgano de dirección de las entidades responderán solidariamente por las infracciones que éstas cometan. Esto implica que CEOs y consejos de administración no pueden delegar esta responsabilidad.
Respecto a la contratación pública, NIS2 suele traducirse en requisitos de seguridad por diseño, gestión de proveedores, trazabilidad y evidencia documental; el mercado evoluciona a un modelo donde los proveedores TIC compiten no solo por precio, sino por su capacidad de demostrar cumplimiento: metodologías, reporting, procesos y equipos.
💡 RELEVANCIA PRÁCTICA:
⚠️ A pesar del retraso legislativo, las obligaciones NIS2 son exigibles desde octubre de 2024 a nivel europeo. Las organizaciones del ámbito de aplicación deben actuar ya, ya que el proceso de adecuación (análisis de riesgos, implementación de controles, documentación auditable) requiere entre 6 y 18 meses. Además, el Tribunal Supremo español ya ha utilizado la NIS2 como referencia interpretativa (sentencia 136/2025, de 19 de febrero).
🏭 IMPACTO SECTORIAL:
Afecta a todas las AAPP (estatal, autonómica y local), operadores de sectores críticos (energía, transporte, salud, agua, infraestructuras digitales, TIC, sector postal, gestión de residuos, industria química y alimentaria, investigación) y sus proveedores de servicios TIC.