La Comisión Europea ha decidido referir a España, Irlanda, Francia y Países Bajos al Tribunal de Justicia de la Unión Europea por no notificar las medidas de trasposición de la Directiva NIS2 (Directiva (EU) 2022/2555) en sus respectivos ordenamientos nacionales. Esta normativa europea busca garantizar la seguridad de las redes y de los sistemas de información dentro del marco comunitario. El Ejecutivo europeo considera que la plena implantación del texto legal es un factor clave para la mejora de la resiliencia colectiva y de la capacidad de respuesta ante incidentes de las entidades públicas y de las empresas privadas.
La regulación aprobada por las instituciones de la Unión Europea impone la introducción de estándares de seguridad elevados para las entidades que desarrollan su actividad en un total de 18 sectores críticos. Entre los ámbitos regulados por la normativa se sitúa la salud, junto con la energía, el transporte y el sector público. Las obligaciones derivadas del texto legal implican la adopción de medidas de gestión de riesgos cibernéticos, así como el cumplimiento de mandatos estrictos de notificación de incidentes para todas las organizaciones afectadas.
Los Estados miembros del espacio comunitario dispusieron de un plazo legal que expiró el 17 de octubre de 2024 para llevar a cabo la trasposición de la directiva a sus legislaciones nacionales. Aunque la mayor parte de los países socios cumplió con la obligación jurídica dentro del tiempo establecido, España, Francia, Irlanda y las autoridades de Países Bajos todavía no notificaron la trasposición completa de las medidas aplicables.
Petición de multas financieras
Ante la persistencia en la falta de notificación del marco normativo completo, la Comisión Europea activó las fases previas del procedimiento de infracción. El organismo envió una primera batería de cartas de emplazamiento formales el 28 de noviembre de 2024. Posteriormente, ante la falta de subsanación de la situación de retraso legislativo por parte de las naciones señaladas, el Ejecutivo de la Unión procedió a remitir los dictámenes motivados correspondientes el 7 de mayo de 2025.
La remisión de los expedientes nacionales de España, Irlanda, Francia y Países Bajos ante la sede del Tribunal de Justicia de la Unión Europea incorpora una petición expresa para la aplicación de castigos económicos. La Comisión solicitó al órgano judicial la imposición de sanciones financieras que consisten en el pago obligatorio de una cantidad a tanto alzado. Del mismo modo, la reclamación judicial demanda el establecimiento de penalizaciones de carácter diario que se mantendrán vigentes de forma continuada hasta que cada Estado notifique la trasposición total de las reglas de seguridad.
Enmiendas para facilitar la conformidad
La protección de las infraestructuras frente a las amenazas y a los incidentes informáticos crecientes abarca tanto a los sistemas de información como a las redes de comunicación, a los usuarios y a los individuos afectados. Con el objetivo de perfeccionar el entorno normativo existente en la comunidad, la Comisión Europea elaboró nuevas propuestas orientadas a optimizar el funcionamiento de las reglas vigentes.
El 20 de enero de 2026, el organismo comunitario propuso enmiendas dirigidas a la Directiva NIS2 dentro de un paquete global de ciberseguridad. Estas modificaciones legales persiguen ofrecer una mayor claridad jurídica a los operadores del mercado. A través de estos cambios específicos, las instituciones comunitarias buscan facilitar que las empresas que operan dentro de la Unión Europea alcancen la plena conformidad con los requisitos de gestión de riesgos y con las reglas de ciberseguridad.


Lilisbeth Perestelo: