La Ley de Coordinación y Gobernanza de la Ciberseguridad es la norma con la que España transpone la Directiva NIS2. A fecha de julio de 2026 sigue en tramitación: el Consejo de Ministros aprobó el anteproyecto el 14 de enero de 2025, pero todavía no se ha publicado en el BOE. Crea el Centro Nacional de Ciberseguridad como autoridad nacional, reparte la supervisión entre varios ministerios y convivirá con el ENS. Aquí te explico qué añade a la directiva, qué plazos maneja y qué conviene hacer mientras tanto.

Cada pocas semanas alguien me escribe con la misma duda: «¿ya es obligatoria la NIS2 en España?». La respuesta corta es que la directiva europea marca el rumbo desde 2022, pero quien te va a exigir cosas concretas —registrarte, notificar incidentes, responder con tu patrimonio si eres directivo— es la ley española que la transpone. Y esa ley, la de Coordinación y Gobernanza de la Ciberseguridad, lleva más de un año dando vueltas. Te cuento en qué punto está de verdad, qué añade a la directiva y por qué esperar sentado a que se publique es la peor estrategia.

¿Qué es la Ley de Coordinación y Gobernanza de la Ciberseguridad?

Es la norma con la que España incorpora a su ordenamiento la Directiva (UE) 2022/2555, conocida como NIS2, que sustituye a la primera directiva de seguridad de redes y sistemas de información. El nombre no es casual: describe sus dos objetivos. Por un lado, la coordinación, porque hasta ahora las competencias de ciberseguridad estaban repartidas entre organismos que no siempre hablaban entre sí; por otro, la gobernanza, es decir, definir quién manda, quién supervisa y quién responde.

El anteproyecto es una propuesta conjunta de tres ministerios —Interior, Defensa y Transformación Digital y Función Pública—, lo que ya anticipa el reparto de poder que verás más abajo. Frente a la NIS2 anterior, que se centraba en operadores de servicios esenciales de sectores muy concretos, esta amplía el perímetro a muchas más organizaciones y, por primera vez, alcanza de lleno a empresas medianas del sector privado que antes ni se planteaban estar reguladas.

¿Está aprobada la ley? Estado de la transposición de NIS2 en España (julio de 2026)

No, todavía no está aprobada. Este es el estado real, con fechas, para que no te fíes de titulares:

Conviene tener clara una distinción jurídica que a menudo se pasa por alto: mientras la ley no se publique, las obligaciones concretas de NIS2 no son directamente exigibles a la mayoría de empresas privadas, porque una directiva necesita transposición para desplegar efectos sobre los particulares. Lo que sí sigue vigente es el marco de la primera directiva NIS —transpuesta en su día por el Real Decreto-ley 12/2018 y el Real Decreto 43/2021—, que continuará aplicándose hasta que la nueva ley lo reemplace. Es decir: no hay vacío legal, pero sí un cambio de escala inminente.

Qué añade la ley española a la Directiva NIS2

Una directiva fija el «qué» y deja a cada país el «cómo». Ahí es donde esta ley aporta lo suyo. La directiva obliga a designar autoridades, montar equipos de respuesta y sancionar; la ley española concreta esas piezas con nombre y apellidos:

Qué exige la Directiva NIS2Cómo lo concreta la ley española
Designar una o varias autoridades nacionales competentesCrea el Centro Nacional de Ciberseguridad (CNC) como autoridad nacional única y punto de contacto
Supervisar el cumplimiento por sectoresReparte la supervisión entre Interior, Defensa y Transformación Digital
Identificar a las entidades esenciales e importantesEstablece un registro nacional de entidades sujetas a la ley
Equipos de respuesta a incidentes (CSIRT)Se apoya en los CSIRT existentes: CCN-CERT e INCIBE-CERT
Régimen sancionador «efectivo y disuasorio»Fija cuantías concretas y la responsabilidad de los órganos de dirección
Gestión de crisis de ciberseguridadAtribuye al CNC la función de autoridad nacional de gestión de crisis

El valor real de la ley está en esa columna de la derecha: sin ella, las obligaciones de NIS2 quedan en el aire porque falta quién las vigila, dónde te registras y qué te pasa si incumples.

Centro Nacional de Ciberseguridad: la autoridad nacional prevista

La pieza central de la ley es el Centro Nacional de Ciberseguridad (CNC), adscrito a la Presidencia del Gobierno. Según el anteproyecto, será la autoridad nacional competente única encargada de dirigir, impulsar y coordinar toda la actividad prevista en la ley, además de actuar como punto de contacto único con las instituciones europeas y como autoridad nacional de gestión de crisis de ciberseguridad. Importante: el CNC todavía no existe; lo crea esta futura ley. Hasta entonces, esas funciones de interlocución las asume el Departamento de Seguridad Nacional.

¿Quién supervisará cada sector?

La ley no concentra toda la vigilancia en un solo organismo. Reparte la supervisión sectorial entre tres ministerios, cada uno a través de su brazo especializado:

Mientras la ley no esté en vigor, el mapa provisional es el que ya funciona: el punto de contacto único recae en el Consejo de Seguridad Nacional a través del Departamento de Seguridad Nacional, el CCN y su CCN-CERT cubren el sector público, e INCIBE-CERT atiende al tejido empresarial. Este reparto de competencias es también una de las críticas habituales al modelo: cuantos más actores, más importa que la coordinación —lo que da nombre a la ley— funcione de verdad.

Plazos y sanciones de la ley de ciberseguridad

Es la parte que más preguntas genera, porque afecta directamente al bolsillo y a la responsabilidad personal de quien dirige la empresa.

¿Qué sanciones prevé para las empresas?

El régimen sancionador sigue las horquillas que marca NIS2, que distingue dos categorías de entidades:

Más allá de la cuantía, hay un cambio de fondo: la responsabilidad de los órganos de dirección. La normativa hace responsables a los administradores de aprobar y supervisar las medidas de ciberseguridad, con posibilidad de responsabilidad personal. La ciberseguridad deja de ser «cosa de informática» para convertirse en una obligación del consejo. Si quieres una panorámica de cómo encaja todo esto con el RGPD y DORA, la tienes en mi guía de normativa de ciberseguridad en España.

¿Qué pasa mientras no se aprueba la ley?

Pasan dos cosas a la vez. Para el Estado, el reloj corre: el expediente de infracción de la Comisión Europea puede acabar en el Tribunal de Justicia de la UE con multas al Reino de España por el retraso. Para las empresas, la incertidumbre no es excusa para no prepararse, porque cuando la ley se publique la previsión es que entre en vigor casi de inmediato, sin los años de margen a los que nos tiene acostumbrados otra normativa. Quien empiece el día de la publicación llegará tarde.

Relación entre la ley de ciberseguridad, NIS2 y el ENS

Es la confusión más frecuente que veo, así que la aclaro de raíz. Son tres capas que se complementan, no alternativas entre las que elegir:

La buena noticia si ya trabajas con el ENS: muchos de sus controles se solapan con las medidas de gestión de riesgos que exige el artículo 21 de NIS2 (análisis de riesgos, gestión de incidentes, continuidad, seguridad de la cadena de suministro, cifrado, control de accesos). No es una equivalencia automática, pero un sistema adecuado al ENS te deja buena parte del camino andado para NIS2. Si eres proveedor de la Administración, esta convivencia te interesa especialmente, porque tu conformidad con el ENS ya cubre exigencias que la nueva ley reforzará. Y si operas en el sector financiero, recuerda que ahí manda además el reglamento DORA, con reglas propias sobre resiliencia operativa.

Qué debe hacer tu empresa mientras se aprueba la ley

Prepararse ahora no es adelantarse por deporte: es la única forma de llegar a tiempo cuando el texto se publique. Estos son los pasos que recomiendo, por orden:

Conclusión: una ley inminente que conviene no esperar

La Ley de Coordinación y Gobernanza de la Ciberseguridad lleva demasiado tiempo en el limbo, pero eso no la hace menos seria: cuando se apruebe, traerá un registro nacional, una autoridad con capacidad sancionadora y responsabilidad personal para los directivos, y lo hará con poco margen de adaptación. La tramitación se retrasa; las amenazas, no. Las empresas que están usando este tiempo para ordenar sus riesgos y sus procedimientos serán las que cumplan el primer día; las que esperen al BOE, las que corran.

Si no tienes claro si tu empresa entra en el perímetro de NIS2 o por dónde empezar a prepararte, cuéntame tu caso y lo vemos juntos, sin compromiso. Y si prefieres un enfoque integral, conoce mi servicio de consultoría de ciberseguridad para empresas que quieren cumplir la normativa sin sobredimensionar.