Fin a la pasividad ante los ciberataques en los despachos de las empresas españolas. La Unión Europea ya ha puesto fecha oficial de caducidad a la paciencia comunitaria por el retraso de nuestro país en adoptar las nuevas exigencias de seguridad digital. Como ya avisaron el pasado 7 de mayo de 2025, el ultimátum de la UE ha agotado sus plazos y la Comisión Europea en Bruselas tiene ahora la potestad de sentar a España ante el Tribunal de Justicia de la Unión Europea (TJUE).
Tras otras medidas de carácter similar impulsadas desde Europa, como el Reglamento DORA para la resiliencia del sector financiero, ahora es el turno del resto de sectores críticos y esenciales de la economía, que deben ponerse las pilas en el objetivo de blindar sus redes y sistemas para avanzar hacia un mercado digital más seguro frente a los crecientes ciberataques.
El nuevo reglamento europeo que pone fin a la desprotección digital
La medida forma parte de la Directiva (UE) 2022/2555, conocida como NIS2, que regula las obligaciones de ciberseguridad y notificación de incidentes en todo el continente en lo que se refiere a los países miembros.
El texto establece que los Estados deben transponer estas normas para que las empresas adopten obligatoriamente protocolos de gestión de riesgos. La fecha clave, que España incumplió, fue el 17 de octubre de 2024, momento en el que esta normativa debía estar plenamente en vigor.
A partir del dictamen motivado enviado hace meses, la advertencia fue clara: “la Comisión considera que, hasta la fecha, los esfuerzos de las autoridades nacionales han sido insuficientes”. Al haber transcurrido el plazo de dos meses otorgado para subsanar el error, el siguiente paso es la vía judicial.
El posible decreto de urgencia y el “efecto cascada”
Aunque la penalización apuntará directamente al Estado, la normativa contempla una transformación total del tejido productivo. El Gobierno tramita el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado en primera vuelta en enero de 2025), pero debido a la lentitud del trámite parlamentario y la amenaza de los tribunales, no se descarta aprobar la norma mediante un Real Decreto-Ley de urgencia.
En este sentido, la ley no solo afectará a grandes corporaciones. Las medidas de ciberseguridad exigirán auditar la seguridad en la cadena de suministro. Es decir, quedarán arrastradas por la nueva norma miles de pequeñas y medianas empresas (PYMES) proveedoras, que deberán elevar sus estándares de seguridad si quieren seguir prestando servicios a las entidades reguladas.
El reglamento no solo exige parches informáticos, sino que introduce nuevas y severas obligaciones para los consejos de administración. Por ejemplo, la ley hará responsables personales a los administradores y directivos de la aprobación y supervisión de las medidas de ciberseguridad. La “ignorancia técnica” dejará de ser una excusa válida.
Y en caso de sufrir un hackeo, las empresas deberán cumplir con tiempos asfixiantes: tendrán que emitir una alerta temprana en un máximo de 24 horas, una notificación formal detallando el impacto en 72 horas y un informe final en el plazo de un mes.
La UE evaluará el impacto a través de un nuevo mando central
El objetivo principal de esta regulación es frenar el enorme impacto económico que los ciberdelincuentes están provocando en infraestructuras clave europeas.
De hecho, para coordinar esta colosal tarea, España creará el Centro Nacional de Ciberseguridad, un organismo adscrito a la Presidencia del Gobierno que unificará funciones actualmente repartidas entre los Ministerios de Interior, Defensa y Transformación Digital.
Con esta hoja de ruta, Bruselas busca transformar por completo la forma en la que gestionamos los riesgos tecnológicos en el día a día, empezando por un gesto tan simple como obligar a la alta dirección a responder ante la ley si sus defensas digitales fallan.
