El reciente apagón que afectó a varias infraestructuras críticas ha hecho saltar todas las alarmas. La posibilidad de un ciberataque masivo, capaz de paralizar servicios esenciales, ya no parece una amenaza lejana o futurista, sino un riesgo real.
En medio de este escenario, preocupa que el Gobierno español siga sin aplicar la nueva ley de ciberseguridad impulsada por la Unión Europea, a pesar de haber sido advertido y expedientado por su inacción.
La Comisión Europea aprobó en noviembre de 2022 la directiva NIS2, una ambiciosa actualización de la normativa sobre ciberseguridad para reforzar los sistemas de defensa digital en todos los Estados miembro.
Sin embargo, en mayo de 2025, esa directiva sigue sin transponerse en España. Aunque el Gobierno la ha rebautizado como Ley de Coordinación y Gobernanza de la Ciberseguridad, lo cierto es que sigue siendo un anteproyecto sin recorrido legislativo efectivo, que apenas ha pasado una vez por el Consejo de Ministros.
Qué implica la directiva NIS2 y por qué su retraso es tan grave
La nueva normativa europea busca establecer estándares mínimos más exigentes para todas aquellas empresas que desempeñan un papel clave en la economía digital. No se limita a grandes tecnológicas o entidades financieras: se extiende a sectores industriales, logísticos, gestión de residuos, sanidad, energía, mensajería y servicios digitales, entre muchos otros.
El objetivo es claro: blindar las estructuras fundamentales de la economía ante ataques cibernéticos cada vez más sofisticados y frecuentes. Según cálculos del propio Gobierno, más de 5.760 empresas tendrán que adaptarse a esta nueva legislación, lo que representa un cambio de paradigma para la ciberseguridad en España.
El problema es que sin la ley en vigor, todas estas empresas siguen sin estar obligadas a cumplir con los nuevos estándares, quedando expuestas a riesgos significativos.
Una inversión ineludible y urgente
El cumplimiento de esta legislación supondrá una inversión total estimada en 2.250 millones de euros, un coste significativo que muchas empresas están dispuestas a asumir, pero que necesitan planificar y ejecutar con previsión. A día de hoy, solo unas 300 compañías están sujetas al régimen actual de ciberseguridad, por lo que el salto será enorme.
Este retraso no solo incrementa el riesgo de incidentes, sino que frena la capacidad del tejido empresarial para prepararse adecuadamente. La incertidumbre regulatoria no favorece ni la inversión ni la planificación estratégica, especialmente en un contexto económico en el que los ciberataques pueden tener consecuencias devastadoras, no solo para empresas concretas, sino para la estabilidad general del país.
El sector público también está en la cuerda floja
La futura ley no se limita al ámbito privado. Todo el sector público institucional, tanto nacional como autonómico, estará obligado a cumplir con la normativa, incluyendo los municipios de más de 20.000 habitantes. Es decir, una parte muy significativa de los servicios públicos deberá adoptar nuevos protocolos, sistemas de respuesta y medidas de prevención.
El problema es que sin una estructura legal clara, los ayuntamientos, consejerías, organismos y empresas públicas no pueden avanzar en esa dirección. La falta de coordinación y recursos adecuados los deja vulnerables ante ataques que podrían paralizar servicios básicos como la atención sanitaria, el transporte público o la gestión administrativa.
Creación del Centro Nacional de Ciberseguridad
Uno de los pilares de la futura ley es la creación de un Centro Nacional de Ciberseguridad, una entidad que actuará como órgano de gestión de crisis y punto de contacto entre administraciones y empresas en caso de ataque. Este centro también será el encargado de definir estándares, coordinar respuestas y elaborar la lista de entidades consideradas esenciales.
Pero a día de hoy, este centro es solo una promesa. La ley establece un plazo de 12 meses desde su aprobación para su puesta en marcha, lo que significa que, incluso si se aprobara mañana, no estaría plenamente operativo hasta 2026. En un escenario de amenazas constantes, esta demora es un lujo que el país no puede permitirse.
Uno de los puntos más polémicos del anteproyecto actual es que el nuevo centro no tendrá capacidad sancionadora, una competencia que recaerá en los ministerios del Interior y de Transformación Digital.
Esto ha generado críticas de expertos como la Fundación Esys, que reclama que se concentren todas las competencias en una única entidad para garantizar una respuesta rápida y eficaz.
En su estado actual, la ley propone una estructura que, en lugar de simplificar la gestión de crisis, podría complicarla. La fragmentación de responsabilidades en un contexto donde los ciberataques requieren una reacción inmediata podría provocar fallos de coordinación y lentitud en la toma de decisiones.
Obligaciones y sanciones para las empresas
El anteproyecto contempla obligaciones claras para las empresas, entre ellas la notificación obligatoria de incidentes, la designación de un responsable de seguridad de la información, y la supervisión activa del cumplimiento de las políticas de protección digital.
También introduce un elemento clave que ha provocado inquietud en muchas compañías: los miembros del consejo de dirección responderán solidariamente en caso de incumplimiento. Esta medida busca asegurar la implicación directa de la alta dirección en las decisiones estratégicas de ciberseguridad, algo que hasta ahora ha quedado relegado a niveles técnicos.
Las sanciones por incumplimiento no serán simbólicas: pueden alcanzar hasta el 2% de la facturación global, lo que para muchas grandes empresas supone cifras multimillonarias.
España no puede permitirse seguir esperando
España necesita actuar. Retrasar la aprobación de esta ley no solo implica incumplir una obligación con la Unión Europea, sino que pone en riesgo a empresas, ciudadanos y administraciones públicas. La ciberseguridad no puede seguir siendo un tema secundario en la agenda política cuando las amenazas son cada vez más reales, complejas y frecuentes.
El Gobierno tiene la oportunidad —y la responsabilidad— de proteger la economía digital del país. Cuanto más tiempo pase, mayor será el riesgo. La paralización de infraestructuras críticas ya no es una posibilidad remota, y la ciudadanía necesita certezas, no anteproyectos. La legislación debe salir del cajón y convertirse en una herramienta útil y activa. Y debe hacerlo ya.