La NIS2 ya está en fase de aplicación práctica en la UE, aunque con ritmos distintos según el país. La Comisión Europea trabaja con los Estados miembro y con ENISA, y el estado de situación que publica depende de lo que cada gobierno haya notificado, sin que ello sustituya a la evaluación jurídica formal. Esa fotografía puede cambiar, pero deja un mensaje claro para administraciones y proveedores: la directiva no está en debate político, sino en ejecución operativa, y sus exigencias ya condicionan supervisión y compras públicas.
La presión institucional explica esa aceleración. El plazo para transponer NIS2 venció el 17 de octubre de 2024 y, ante la falta de notificación completa, la Comisión activó el procedimiento de infracción: el 7 de mayo de 2025 envió un dictamen motivado a 19 Estados, incluida España, advirtiendo de un posible recurso ante el Tribunal de Justicia de la UE si no se completa la transposición. En la práctica, esto mantiene a los gobiernos bajo obligación legal de cerrar el marco y refuerza la urgencia de aplicar controles, supervisión y exigencias técnicas.
Índice de temas
España: en qué punto está la transposición
En el caso español, la Comisión resume el estado de transposición con una frase que pesa: dictamen motivado por no notificar la transposición completa (7 de mayo de 2025). La misma página oficial identifica además el punto único de contacto (Consejo de Seguridad Nacional a través del Departamento de Seguridad Nacional) y enumera autoridades competentes y CSIRT con roles diferenciados para sector público y privado.
Ese diseño institucional importa porque condiciona obligaciones operativas: en el sector público aparece como autoridad competente el Centro Criptológico Nacional (CCN), y como CSIRT de referencia CCN-CERT, mientras que para el ámbito privado figuran, entre otros, INCIBE-CERT y el CNPIC para determinados operadores. En la práctica, esto anticipa circuitos de notificación, supervisión y exigencias técnicas que terminarán aterrizando en contratos, auditorías y servicios gestionados.
Qué exige NIS2: obligaciones que ya se compran
NIS2 fija un marco legal común para elevar el nivel de ciberseguridad en 18 sectores críticos y amplía alcance, precisión normativa y herramientas de supervisión frente a NIS1. En términos de cumplimiento, el núcleo es una gestión sistemática del riesgo: políticas, medidas, respuesta a incidentes y gobierno interno, con un enfoque que obliga a profesionalizar capacidades y, en muchos casos, a externalizarlas.
Además, la directiva trae un calendario técnico que empuja a inventariar y ordenar el universo afectado. INCIBE recuerda, por ejemplo, que los Estados deben elaborar la lista de entidades esenciales e importantes y actualizarla periódicamente (con fecha límite 17/04/2025 para esa primera lista), y que la concreción de mecanismos nacionales (registro, autorregistro, autoridades) depende de la transposición. Aunque ese hito ya quedó atrás, en España sigue siendo clave para saber quién entra dentro y con qué obligaciones.
Efecto dominó en contratación pública TIC
En contratación, NIS2 suele traducirse en requisitos de seguridad por diseño, gestión de proveedores, trazabilidad y evidencia documental. Para muchas administraciones, la vía más rápida para alcanzar madurez es comprar capacidad: SOC, monitorización 24/7, respuesta a incidentes, continuidad, pruebas de intrusión, gestión de vulnerabilidades y gobierno del riesgo. Ese desplazamiento hacia servicios recurrentes también eleva la exigencia en SLAs, certificaciones, auditorías y penalidades, porque el riesgo deja de ser abstracto y pasa a ser contractual.
El resultado es un mercado donde los proveedores TIC compiten no solo por precio, sino por su capacidad de demostrar cumplimiento: metodologías, reporting, procesos y equipos. Esto afecta a integradores, managed services, consultoras y fabricantes, y refuerza la necesidad de anticiparse: entender qué organismos están rediseñando pliegos, qué categorías crecen y qué criterios de solvencia se endurecen en ciberseguridad.
El seguimiento de adjudicaciones y señales tempranas
Para no perderte ninguna novedad sobre licitaciones y adjudicaciones visita Tenderstool, una plataforma de Big Data orientada a market intelligence sobre la inversión tecnológica del sector público, con acceso a datos y análisis de licitaciones, adjudicaciones, anuncios previos, vencimientos y compras centralizadas, en tiempo real y con enfoque empresarial.
Su utilidad en un contexto NIS2 es directa: permite ver si la presión normativa se convierte en gasto efectivo, y en qué forma (SOC, auditoría, herramientas, servicios gestionados). Además, la compañía ofrece consultoría para mejorar posicionamiento y resultados en el sector público y servicios específicos para anticipar inversiones y entender criterios de valoración, algo especialmente relevante cuando la ciberseguridad pasa a ser un requisito transversal en prácticamente cualquier proyecto TIC.
