¿Qué está pasando en España con la Directiva NIS2?
El país que presumía de ciberseguridad y no puede aprobar su propia ley
Hay algo profundamente irónico en la situación actual. España ocupa el “Tier 1” en el Índice Global de Ciberseguridad de la ITU. Somos, sobre el papel, una potencia en esta materia. Tenemos talento, empresas punteras y organismos con prestigio internacional como el CCN-CERT. Y sin embargo, somos incapaces de aprobar la ley que nos exige Europa desde octubre de 2024.
La Directiva NIS2 no es un capricho burocrático de Bruselas. Es el escudo legal que obliga a proteger hospitales, redes eléctricas, sistemas de agua y transporte frente a ciberataques cada vez más sofisticados. Todos los países de nuestro entorno ya la aplican. Alemania, Portugal, Francia. Nosotros seguimos discutiendo quién manda.
Tres guerras en una sola ley
El bloqueo de la NIS2 en España no tiene una causa única. Es una “tormenta perfecta” con tres frentes abiertos simultáneamente, y ninguno tiene que ver con la ciberseguridad en sí misma.
1. La guerra por el “botón rojo”
El Gobierno ha decidido crear un nuevo Centro Nacional de Ciberseguridad (CNC) dependiente directamente de Moncloa. El movimiento tiene lógica estratégica, pero ha desplazado a los actores que históricamente controlaban este terreno: el CNI (a través del CCN-CERT) y el Ministerio del Interior (a través del CNPIC).
La lectura es clara: se pasa de una ciberseguridad gestionada por militares y espías a una pilotada por tecnócratas civiles bajo mando presidencial. El nombramiento de Ariel Waissbein, un perfil académico y técnico, como figura clave del CNC simboliza ese cambio de guardia. Un cambio que no ha sido precisamente pacífico. Durante meses de 2024, los borradores del anteproyecto rebotaban entre ministerios con correcciones cruzadas que dilataron el proceso hasta hacerlo inviable.
2. El chantaje parlamentario: ciberseguridad como moneda de cambio
Cuando el texto llegó al Congreso, se topó con la aritmética parlamentaria. PNV y Junts han identificado esta ley como una oportunidad para ampliar competencias. Exigen que la Ertzaintza y los Mossos tengan acceso directo a los canales europeos de alerta, capacidad exclusiva para investigar ciberataques en sus territorios y coordinación “de igual a igual” con el Estado, no subordinación.
Junts ha amenazado con tumbar la ley si no se aceptan sus “líneas rojas”. Y el fantasma de Pegasus lo contamina todo: la desconfianza de los partidos independentistas hacia cualquier estructura de ciberinteligencia estatal convierte cada artículo sobre intercambio de información en una batalla política.
La ciberseguridad de 47 millones de personas, rehén de la aritmética parlamentaria. Es difícil encontrar un ejemplo más descarnado de cómo la política partidista puede secuestrar una cuestión de interés general.
3. El lobby silencioso del Ibex 35
Aquí es donde hay que seguir el dinero. La NIS2 introduce algo que aterroriza a los consejos de administración: responsabilidad personal y directa de los directivos. Se acabó el “yo no sabía nada de informática” cuando se produce una brecha de seguridad. Los CEOs pueden enfrentarse a inhabilitaciones temporales y sanciones patrimoniales.
La CEOE y AMETIC llevan meses presionando para suavizar este artículo. Mientras tanto, las primas de los seguros D&O (de Consejeros y Directivos) se disparan. El retraso les regala un tiempo precioso para blindarse y negociar rebajas. Cada mes sin ley es un mes más de “negación plausible” para la élite corporativa.
418 millones de euros en el aire
Pero hay una cifra que podría desbloquear todo esto de golpe: 418 millones de euros. Es lo que España se juega en fondos NextGenerationEU vinculados al Hito 245 del Plan de Recuperación. La Comisión Europea ya ha emitido un dictamen motivado contra España —el segundo paso formal antes del Tribunal de Justicia— y tiene la potestad de congelar pagos.
La presión financiera es, paradójicamente, la mejor aliada de la ciberseguridad española. Cuando Hacienda ve peligrar cientos de millones, las resistencias internas tienden a evaporarse con notable rapidez.
El sector que más pierde: 3.000 millones de facturación en stand-by
La industria española de ciberseguridad factura más de 3.000 millones de euros anuales y emplea a 180.000 profesionales. Empresas como Indra, S2 Grupo o GMV ven en la NIS2 una oportunidad histórica: miles de empresas obligadas a contratar auditorías, SOCs gestionados y consultoría de cumplimiento.
Pero las promesas no pagan nóminas. Cada mes de retraso son contratos sin firmar y proyectos congelados. Y cuando la ley finalmente salga, la demanda se disparará de golpe, creando un cuello de botella por falta de talento que podría tardar años en resolverse.
¿Cuándo se aprobará?
El escenario más probable pasa por un pacto de competencias con PNV y Junts: reconocer a las policías autonómicas como “autoridades competentes” para incidentes de nivel medio y bajo, reservando al Estado la gestión de crisis nacionales y la interlocución con Europa. Una fórmula semántica para salvar los muebles.
La fecha más optimista: mayo o junio de 2026. Justo antes del verano, forzada por la presión financiera de los fondos europeos.
La verdadera amenaza
Lo más preocupante de todo este asunto no son las multas de Bruselas, ni los 418 millones en riesgo, ni siquiera el ridículo internacional de un país “Tier 1” incapaz de aprobar su propia ley.
Lo verdaderamente peligroso es que, mientras políticos, espías y lobistas negocian en despachos cerrados quién manda y quién paga, las infraestructuras críticas españolas operan sin el marco legal que Europa exige. Sin obligación de notificar incidentes en 24 horas. Sin un régimen sancionador disuasorio. Sin un interlocutor único claro.
Los ciberatacantes no esperan a que el Congreso resuelva sus diferencias. Y en este particular juego de tronos digital, el mayor riesgo para España no es perder una votación parlamentaria, sino que la próxima gran crisis digital nos pille discutiendo quién tiene competencia para descolgar el teléfono.