Transposición NIS2 España: dónde están hoy los cuatro mercados

Dieciocho meses después del plazo, el estado de la transposición NIS2 en España —y la de sus tres vecinos cubiertos por este sitio, Francia, Alemania e Italia— es lo bastante desigual como para que los consejos de administración de esos países operen en realidades operativas radicalmente distintas. La directiva entró en vigor el 16 de enero de 2023, con una fecha límite de transposición nacional del 17 de octubre de 2024 establecida por el artículo 41 de la Directiva (UE) 2022/2555. Uno de los cuatro Estados ha completado la transposición. Los otros tres operan hoy sobre proyectos de texto, medidas conservadoras o normativas heredadas de la era NIS1.

Este artículo no propone un repaso a las leyes. Plantea un marco de decisión. Para cada mercado, tres coordenadas: el instrumento de transposición verificable (o su ausencia), la autoridad competente y la pregunta operativa que se sigue este mes para una entidad esencial o importante con sede en ese país. El Reino Unido se incluye como mercado de referencia —fuera de la UE, ya no sujeto a NIS2, pero seguido aquí porque los consejos británicos con filiales europeas afrontan el mismo calendario.

1. Italia — transpuesta, con la ACN al timón

Italia es el único de los cuatro mercados cuya capa de ejecución nacional está cerrada. El Decreto Legislativo 4 settembre 2024, n. 138 —Recepimento della direttiva (UE) 2022/2555— se publicó en la Gazzetta Ufficiale el 1 de octubre de 2024 y entró en vigor poco después. La autoridad competente es la Agenzia per la Cybersicurezza Nazionale (ACN), que hereda las potestades de supervisión y el mecanismo de registro previstos en el artículo 3 de la Directiva.

El decreto impone una ventana de autorregistro —las entidades disponían hasta el 28 de febrero de 2025 para inscribirse en la ACN a través del portal nacional— y un calendario de implantación escalonado que distribuye las obligaciones de gobernanza, gestión de riesgos y notificación de incidentes a lo largo de 2025 y 2026. La ACN ha publicado guías sectoriales y ya conduce sus primeras actuaciones supervisoras, sin que por el momento se haya notificado públicamente ninguna multa NIS2.

La pregunta operativa para los consejos italianos en mayo de 2026 deja de ser si las obligaciones aplican y pasa a ser si la inscripción en el registro NIS está al día y si la matriz de clasificación de incidentes de la entidad encaja con los umbrales del Reglamento de Ejecución 2024/2690 cuando este sea aplicable. La ACN ha indicado públicamente que sus inspecciones muestrearán de forma prioritaria a las entidades cuyo registro parezca estancado o cuyo primer ciclo de notificación haya resultado incompleto.

2. Alemania — aún no adoptada, BMI a la cabeza

Alemania no ha aprobado su ley de transposición de NIS2. La página mantenida por el Bundesamt für Sicherheit in der Informationstechnik (BSI) lo formula explícitamente: «Ein nationales Gesetz zur Umsetzung der NIS-2-Richtlinie ist noch nicht verabschiedet.» El ministerio responsable del expediente legislativo es el Bundesministerium des Innern und für Heimat (BMI); el título de trabajo del proyecto sigue siendo NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG).

Para las entidades alemanas, varias disposiciones de la Directiva surten efecto directo —el Tribunal de Justicia ha sostenido reiteradamente esta consecuencia para artículos claros e incondicionales una vez vencido el plazo de transposición— pero la arquitectura supervisora, el cuadro de multas y el mecanismo de registro siguen sin cerrarse hasta que se vote la ley federal. El BSI actúa de facto como autoridad competente en ciberseguridad, pero sus potestades de ejecución a efectos del artículo 32 aún no están codificadas al nivel de NIS2.

La pregunta operativa para el consejo alemán en mayo de 2026 es qué se compromete por escrito desde ahora. La postura defendible consiste en reflejar las exigencias de la Directiva directamente —deberes de gobernanza del artículo 20, medidas del artículo 21, cadencia de notificación del artículo 23— bajo la hipótesis de que el NIS2UmsuCG, cuando se apruebe, no las rebajará. No es una posición cómoda para la dirección jurídica; en un asunto de responsabilidad personal, es la prudente.

Los consejos en Alemania y España operan únicamente sobre el texto de la Directiva — el supervisor nacional existe, el cuadro nacional de sanciones aún no.

3. Francia — projet de loi Résilience, el ReCyF de la ANSSI como puente

Francia no ha promulgado todavía su ley de transposición. Según la Agence nationale de la sécurité des systèmes d'information (ANSSI), el vehículo es el projet de loi Résilience, con su anclaje operativo en el artículo 14. A la fecha de la presente publicación, el proyecto no ha completado el trámite parlamentario; la web de la ANSSI habla de un projet, no de una loi.

Para cubrir el intervalo, la ANSSI publicó en 2026 el Référentiel Cyber France (ReCyF) —un marco de referencia no obligatorio que enumera las medidas de seguridad que la ANSSI aceptará como prueba de cumplimiento de los requisitos sustantivos de NIS2 cuando la ley se apruebe. Las entidades que adopten el ReCyF podrán invocarlo como gage de conformité en una eventual inspección. La ANSSI es la autoridad competente designada, apoyada por los CSIRT sectoriales.

La pregunta operativa para los consejos franceses en mayo de 2026 es si conviene alinearse ya con el ReCyF, asumiendo que algunos detalles puedan moverse al promulgarse la ley, o esperar. La mayoría de las grandes entidades han empezado —el doble papel de la ANSSI como redactora y supervisora hace que el alineamiento temprano sea, en la práctica, el camino de menor riesgo.

4. España — transposición pendiente, INCIBE-CERT como ancla operativa

España no ha transpuesto NIS2 todavía. El Instituto Nacional de Ciberseguridad (INCIBE) es explícito en su FAQ pública: a la pregunta de qué entidad será la autoridad competente española encargada de gestionar las listas de entidades esenciales e importantes, la respuesta es «Para responder a esta pregunta es necesario esperar a la trasposición de la directiva.» El marco nacional vigente sigue siendo el Real Decreto-ley 12/2018 y su reglamento de desarrollo, el Real Decreto 43/2021 —la transposición de NIS1, no la de NIS2.

INCIBE-CERT continúa actuando como CSIRT operativo del sector privado y sigue siendo el punto de contacto práctico para las notificaciones de incidente. El Centro Criptológico Nacional (CCN-CERT) cubre el sector público. La elección arquitectónica entre una única autoridad competente o un reparto sectorial —y el eventual papel de coordinación del Departamento de Seguridad Nacional— se resolverá en el texto de transposición cuando se publique en el Boletín Oficial del Estado.

La pregunta operativa para los consejos españoles en mayo de 2026 refleja la alemana. Aplicar hoy las obligaciones sustantivas de la Directiva, incluida la cadencia 24h–72h–1 mes ante INCIBE-CERT, y aceptar que el régimen formal de sanciones llegará después. Una falta de cumplimiento por debajo del umbral hoy es invisible para el regulador; no lo es para una futura supervisora que lea hacia atrás un registro de riesgos de 2026.

5. Reino Unido — fuera del ámbito, pero el calendario sigue contando

El Reino Unido no está sujeto a NIS2. El marco británico continúa siendo el Network and Information Systems Regulations 2018, con el National Cyber Security Centre (NCSC) como autoridad técnica y autoridades sectoriales competentes (Ofcom, ICO, Ofgem y otras) en supervisión. En septiembre de 2024 el Gobierno británico anunció el Cyber Security and Resilience Bill, que propone ampliar las NIS Regs en una dirección que sigue parcialmente a NIS2 —más sectores, notificación reforzada, ejecución más afilada.

Para los consejos de grupos británicos con filiales en la UE o con servicios consumidos en la UE, las obligaciones NIS2 se aplican a través de esos establecimientos europeos en virtud del artículo 26 de la Directiva —es decir, a través de las entidades italianas, alemanas, francesas o españolas del grupo, sobre el calendario al que cada jurisdicción converja. La inversa también es cierta: un grupo europeo con filial británica sigue las NIS Regs 2018 y, en breve, el Cyber Security and Resilience Bill.

La pregunta operativa para el mercado de referencia británico es la de las compras y la consolidación de grupo. Un único playbook de notificación de incidentes que satisfaga la cadencia 24/72h de NIS2 satisfará, en la mayoría de los casos, también la obligación de las 72h de las NIS Regs 2018 —pero los umbrales difieren, y la matriz de incidentes del consejo debería reconciliar explícitamente ambos.

Cómo es cuando está bien hecho

Tres artefactos aparecen consistentemente en las prácticas supervisoras de la ACN, la ANSSI, el BSI y el INCIBE. Ninguno requiere esperar al texto nacional pendiente:

1. Un mapa de jurisdicciones firmado por el consejo —un documento de una página, fechado en los últimos doce meses, que enumera cada establecimiento dentro del ámbito, su autoridad competente de referencia, el estado de registro ante esa autoridad (Italia: registrado; DE/ES: pendiente; FR: prerregistro a través del portal de la ANSSI cuando proceda) y la base jurídica que el consejo trata como vinculante hoy.
2. Una nota de efecto directo de la dirección jurídica —un memorando breve sobre las medidas de gestión de riesgos del artículo 21 y la cadencia de notificación del artículo 23 que el consejo aplica ya, asumiendo que las leyes alemana y española de transposición no las rebajarán. La nota remite a las cinco responsabilidades indelegables del artículo 20 y se revisa cada vez que se publica una ley nacional.
3. Un registro de cambios regulatorios —un archivo compartido que consigna por fecha cada declaración pública de la ACN, la ANSSI, el BSI y el INCIBE que afecte al ámbito, la notificación o las sanciones. Revisado por el comité de auditoría en cada reunión trimestral. Una postura de cumplimiento estática se desfasa rápido en jurisdicciones que aún están redactando.

El trabajo de los próximos seis meses para las entidades que operan en estos cuatro mercados consiste en mantener el marco coherente a nivel de grupo y, a la vez, adaptar la relación con cada supervisor nacional al estado real de su ley. La Directiva es el suelo; la ley nacional, cuando llega, es el techo operativo.

Fuentes

1. Directiva (UE) 2022/2555, artículo 41 (plazo de transposición 17 de octubre de 2024) y artículo 26 (jurisdicción).
2. Reglamento de Ejecución (UE) 2024/2690 de la Comisión de 17 de octubre de 2024.
3. Italia — Decreto Legislativo 4 settembre 2024, n. 138, Recepimento della direttiva (UE) 2022/2555, Gazzetta Ufficiale. Página de la autoridad competente: Agenzia per la Cybersicurezza Nazionale (ACN).
4. Alemania — BSI, NIS-2-Richtlinie: la ley nacional de transposición de NIS-2 no ha sido aprobada en la fecha de consulta. Ministerio responsable: BMI.
5. Francia — ANSSI, Directive NIS 2: vehículo de transposición = projet de loi Résilience, artículo 14; no promulgada. Référentiel Cyber France (ReCyF) publicado en 2026 como marco puente.
6. España — INCIBE, FAQ NIS2: transposición de NIS2 pendiente; marco vigente = Real Decreto-ley 12/2018 y Real Decreto 43/2021.
7. Reino Unido — GOV.UK, Cyber Security and Resilience Bill: proyecto de ley anunciado en septiembre de 2024; norma vigente = Network and Information Systems Regulations 2018.