CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

¿La Unión Europea está coordinada en materia de ciberseguridad?

En este mes de la ciberseguridad en la Unión Europea nos unimos a la iniciativa de ENISA y continuamos analizando los mayores retos del futuro.

Uno de los aspectos más destacados es la falta de coordinación en el cumplimiento de la directiva NIS2, que tiene como objetivo unificar a Europa y transformarla en n una potencia en materia de ciberseguridad mediante un marco de normas y cumplimientos comunes sobre ciberseguridad.

NIS2 es la directiva que debía estar transpuesta a derecho nacional el 17 de octubre de 2024. Un año después, muchos Estados miembros aún no han completado la transposición o la aplican de forma desigual.

La Comisión Europea ha abierto procedimientos de infracción contra varios países por estos retrasos, confirmando que el mapa normativo sigue “a distintas velocidades”.

Dónde se ve la fragmentación

  • Calendarios distintos y leyes parciales. Hay países con normas ya vigentes y otros en borrador, lo que crea incertidumbre para organizaciones que operan en varios Estados. Ejemplo: Alemania reconoció a comienzos de 2025 que no llegó a tiempo con sus leyes de transposición.

  • Definiciones y umbrales no idénticos. Aunque NIS2 fija requisitos comunes, la especificación detallada (p. ej., qué entidades son “esenciales” o “importantes”) varía. Para colmo, la obligación de tener las listas nacionales de entidades y notificarlas a la Comisión antes del 17 de abril de 2025 tampoco se ha cumplido por igual. Resultado: el mismo proveedor puede ser “esencial” en un país y estar como no listado en otro.

  • Capacidades supervisoras dispares. Las autoridades competentes y CSIRTs nacionales no tienen los mismos recursos ni procesos. ENISA viene señalando diferencias de madurez sectorial y la necesidad de armonizar taxonomías y los informes para que los datos sean comparables.

  • Procedimientos y plazos de notificación heterogéneos. NIS2 fija hitos (aviso inicial a 24 h, etc.), pero en la práctica los portales, formatos y exigencias probatorias difieren por país mientras se consolidan guías comunes, lo que añade carga y riesgo de errores en incidentes transfronterizos.

¿Por qué complica la coordinación?

Ante un ciberincidente grande que cruzas fronteras, deberían coordinarse eficazmente CSIRTs Network y EU-CyCLONe, el mecanismo de gestión de crisis a nivel político-operativo.

Si cada país llega con leyes, listas y procedimientos en distinto grado de madurez, compartir indicadores, activar apoyos y tomar medidas comunes se vuelve más lento y desigual.

ENISA insiste en fortalecer estos mecanismos de solidaridad y respuesta conjunta para que funcionen con datos armonizados y reglas claras.

Consecuencias prácticas para empresas

  • Más complejidad de cumplimiento; Programas y evidencias a la carta por país.

  • Riesgo operativo: en un ataque multinacional, los plazos y formatos de notificación cambian según la jurisdicción.

  • Decisiones regulatórias  dispares:  Estas fricciones se están viendo “un año después” de la fecha límite, según diversos análisis legales y de la industria.

Qué está haciendo la UE (y qué falta)

  • La Comisión ha iniciado procedimientos infracciones para acelerar la transposición.

  • ENISA trabaja en taxonomías, marcos de reporte y apoyo a EU-CyCLONe /CSIRTs para homogeneizar la práctica.

  • Aun así, hasta que todos los Estados aprueben y apliquen plenamente sus leyes (y publiquen listas de entidades coherentes), la asimetría seguirá dificultando respuestas coordinadas y comparables.

España frente NIS2 (estado a 27 de octubre de 2025)

  • No hay aún ley NIS2 definitiva en vigor. El Consejo de Ministros aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad como “vehículo” para NIS2 (y la Directiva CER), pero sigue pendiente de culminar el trámite parlamentario.

  • La Comisión Europea envió un dictamen motivado el 7 de mayo de 2025 a España (y a otros 18 países) por no notificar la transposición completa de NIS2.

  • Mientras tanto, España ha ido alineando el ENS y trabajos técnicos ante la UE (CCN), pero sin cerrar la transposición. Prensa económica y jurídica local lo ha subrayado este octubre de 2025 (“España, a contrarreloj...”).

Ranking orientativo en la UE (avance normativo)

Basado en leyes ya aprobadas/en vigor y referencias oficiales públicas (no implica que todos hayan “notificado” 100% a la Comisión).

Más avanzados (ley en vigor, hitos operativos activos)

  1. Italia – Decreto Legislativo 138/2024, en vigor desde 16-oct-2024; autoridad ACN y plataforma de registro.

  2. BélgicaLey 26-abr-2024 + RD 9-jun-2024; NIS2 en vigor desde 17-oct-2024.

  3. Malta – Transposición por LN 71/2025 publicada 8-abr-2025.

  4. Eslovaquia – Ley publicada dic-2024, en vigor desde 1-ene-2025.

  5. Eslovenia / Grecia – Eslovenia en vigor jun-2025; Grecia Ley 5160/2024 publicada el 29-nov-2024.

Más retrasados (transposición nacional aún pendiente/“en proceso” a esta fecha)

  • Alemania (borradores NIS2/KRITIS aún en tramitación en 2025).

  • Francia (proceso en curso en 2025).

  • España (anteproyecto enero-2025; pendiente aprobación final).

  • Países Bajos y Portugal (entre los países a los que la Comisión envió dictamen motivado en mayo-2025 por no notificar transposición completa).

La coordinación del organismo europeo es importante para que la ciudadanía esté a salvo de los ciberataques y nuestras instituciones estén preparadas contra los ciberdelincuentes.

info