La Ley de Coordinación y Gobernanza de la Ciberseguridad es la norma con la que España transpone la Directiva NIS2. A fecha de julio de 2026 sigue en tramitación: el Consejo de Ministros aprobó el anteproyecto el 14 de enero de 2025, pero todavía no se ha publicado en el BOE. Crea el Centro Nacional de Ciberseguridad como autoridad nacional, reparte la supervisión entre varios ministerios y convivirá con el ENS. Aquí te explico qué añade a la directiva, qué plazos maneja y qué conviene hacer mientras tanto.
Cada pocas semanas alguien me escribe con la misma duda: «¿ya es obligatoria la NIS2 en España?». La respuesta corta es que la directiva europea marca el rumbo desde 2022, pero quien te va a exigir cosas concretas —registrarte, notificar incidentes, responder con tu patrimonio si eres directivo— es la ley española que la transpone. Y esa ley, la de Coordinación y Gobernanza de la Ciberseguridad, lleva más de un año dando vueltas. Te cuento en qué punto está de verdad, qué añade a la directiva y por qué esperar sentado a que se publique es la peor estrategia.
¿Qué es la Ley de Coordinación y Gobernanza de la Ciberseguridad?
Es la norma con la que España incorpora a su ordenamiento la Directiva (UE) 2022/2555, conocida como NIS2, que sustituye a la primera directiva de seguridad de redes y sistemas de información. El nombre no es casual: describe sus dos objetivos. Por un lado, la coordinación, porque hasta ahora las competencias de ciberseguridad estaban repartidas entre organismos que no siempre hablaban entre sí; por otro, la gobernanza, es decir, definir quién manda, quién supervisa y quién responde.
El anteproyecto es una propuesta conjunta de tres ministerios —Interior, Defensa y Transformación Digital y Función Pública—, lo que ya anticipa el reparto de poder que verás más abajo. Frente a la NIS2 anterior, que se centraba en operadores de servicios esenciales de sectores muy concretos, esta amplía el perímetro a muchas más organizaciones y, por primera vez, alcanza de lleno a empresas medianas del sector privado que antes ni se planteaban estar reguladas.
¿Está aprobada la ley? Estado de la transposición de NIS2 en España (julio de 2026)
No, todavía no está aprobada. Este es el estado real, con fechas, para que no te fíes de titulares:
- 17 de octubre de 2024: plazo límite que fijaba la directiva para que todos los Estados miembros la hubieran transpuesto. España lo incumplió.
- 14 de enero de 2025: el Consejo de Ministros aprueba el anteproyecto de ley en primera vuelta y opta por la tramitación de urgencia.
- Mayo de 2025: la Comisión Europea envía a España un dictamen motivado por no haber notificado la transposición completa, dentro del expediente de infracción INFR(2024)0270.
- Mayo de 2026: ante la falta de avance, la Comisión da un paso más con un nuevo requerimiento formal, la antesala de llevar al Estado ante el Tribunal de Justicia de la UE, con posibles multas económicas.
- Julio de 2026: el proyecto sigue su tramitación parlamentaria y no se ha publicado en el BOE. La previsión es que entre en vigor a lo largo de 2026, previsiblemente al día siguiente de su publicación y sin un periodo transitorio largo.
Conviene tener clara una distinción jurídica que a menudo se pasa por alto: mientras la ley no se publique, las obligaciones concretas de NIS2 no son directamente exigibles a la mayoría de empresas privadas, porque una directiva necesita transposición para desplegar efectos sobre los particulares. Lo que sí sigue vigente es el marco de la primera directiva NIS —transpuesta en su día por el Real Decreto-ley 12/2018 y el Real Decreto 43/2021—, que continuará aplicándose hasta que la nueva ley lo reemplace. Es decir: no hay vacío legal, pero sí un cambio de escala inminente.
Qué añade la ley española a la Directiva NIS2
Una directiva fija el «qué» y deja a cada país el «cómo». Ahí es donde esta ley aporta lo suyo. La directiva obliga a designar autoridades, montar equipos de respuesta y sancionar; la ley española concreta esas piezas con nombre y apellidos:
| Qué exige la Directiva NIS2 | Cómo lo concreta la ley española |
|---|---|
| Designar una o varias autoridades nacionales competentes | Crea el Centro Nacional de Ciberseguridad (CNC) como autoridad nacional única y punto de contacto |
| Supervisar el cumplimiento por sectores | Reparte la supervisión entre Interior, Defensa y Transformación Digital |
| Identificar a las entidades esenciales e importantes | Establece un registro nacional de entidades sujetas a la ley |
| Equipos de respuesta a incidentes (CSIRT) | Se apoya en los CSIRT existentes: CCN-CERT e INCIBE-CERT |
| Régimen sancionador «efectivo y disuasorio» | Fija cuantías concretas y la responsabilidad de los órganos de dirección |
| Gestión de crisis de ciberseguridad | Atribuye al CNC la función de autoridad nacional de gestión de crisis |
El valor real de la ley está en esa columna de la derecha: sin ella, las obligaciones de NIS2 quedan en el aire porque falta quién las vigila, dónde te registras y qué te pasa si incumples.
Centro Nacional de Ciberseguridad: la autoridad nacional prevista
La pieza central de la ley es el Centro Nacional de Ciberseguridad (CNC), adscrito a la Presidencia del Gobierno. Según el anteproyecto, será la autoridad nacional competente única encargada de dirigir, impulsar y coordinar toda la actividad prevista en la ley, además de actuar como punto de contacto único con las instituciones europeas y como autoridad nacional de gestión de crisis de ciberseguridad. Importante: el CNC todavía no existe; lo crea esta futura ley. Hasta entonces, esas funciones de interlocución las asume el Departamento de Seguridad Nacional.
¿Quién supervisará cada sector?
La ley no concentra toda la vigilancia en un solo organismo. Reparte la supervisión sectorial entre tres ministerios, cada uno a través de su brazo especializado:
- Ministerio del Interior, mediante la Oficina de Coordinación de Ciberseguridad.
- Ministerio de Defensa, a través del Centro Criptológico Nacional (CCN), que ya es la referencia técnica del sector público.
- Ministerio para la Transformación Digital y de la Función Pública, mediante las secretarías de Estado competentes.
Mientras la ley no esté en vigor, el mapa provisional es el que ya funciona: el punto de contacto único recae en el Consejo de Seguridad Nacional a través del Departamento de Seguridad Nacional, el CCN y su CCN-CERT cubren el sector público, e INCIBE-CERT atiende al tejido empresarial. Este reparto de competencias es también una de las críticas habituales al modelo: cuantos más actores, más importa que la coordinación —lo que da nombre a la ley— funcione de verdad.
Plazos y sanciones de la ley de ciberseguridad
Es la parte que más preguntas genera, porque afecta directamente al bolsillo y a la responsabilidad personal de quien dirige la empresa.
¿Qué sanciones prevé para las empresas?
El régimen sancionador sigue las horquillas que marca NIS2, que distingue dos categorías de entidades:
- Entidades esenciales: multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial total, la cifra que resulte mayor.
- Entidades importantes: multas de hasta 7 millones de euros o el 1,4 % de la facturación anual mundial total, la que sea mayor.
Más allá de la cuantía, hay un cambio de fondo: la responsabilidad de los órganos de dirección. La normativa hace responsables a los administradores de aprobar y supervisar las medidas de ciberseguridad, con posibilidad de responsabilidad personal. La ciberseguridad deja de ser «cosa de informática» para convertirse en una obligación del consejo. Si quieres una panorámica de cómo encaja todo esto con el RGPD y DORA, la tienes en mi guía de normativa de ciberseguridad en España.
¿Qué pasa mientras no se aprueba la ley?
Pasan dos cosas a la vez. Para el Estado, el reloj corre: el expediente de infracción de la Comisión Europea puede acabar en el Tribunal de Justicia de la UE con multas al Reino de España por el retraso. Para las empresas, la incertidumbre no es excusa para no prepararse, porque cuando la ley se publique la previsión es que entre en vigor casi de inmediato, sin los años de margen a los que nos tiene acostumbrados otra normativa. Quien empiece el día de la publicación llegará tarde.
Relación entre la ley de ciberseguridad, NIS2 y el ENS
Es la confusión más frecuente que veo, así que la aclaro de raíz. Son tres capas que se complementan, no alternativas entre las que elegir:
- NIS2 es la directiva europea: el marco común que obliga a España a legislar.
- La Ley de Coordinación y Gobernanza de la Ciberseguridad es su transposición: convierte ese marco en obligaciones exigibles aquí, tanto al sector público como a un amplio grupo de empresas privadas.
- El ENS, el Esquema Nacional de Seguridad regulado por el Real Decreto 311/2022, es el marco de seguridad del sector público y de las empresas que le prestan servicios.
La buena noticia si ya trabajas con el ENS: muchos de sus controles se solapan con las medidas de gestión de riesgos que exige el artículo 21 de NIS2 (análisis de riesgos, gestión de incidentes, continuidad, seguridad de la cadena de suministro, cifrado, control de accesos). No es una equivalencia automática, pero un sistema adecuado al ENS te deja buena parte del camino andado para NIS2. Si eres proveedor de la Administración, esta convivencia te interesa especialmente, porque tu conformidad con el ENS ya cubre exigencias que la nueva ley reforzará. Y si operas en el sector financiero, recuerda que ahí manda además el reglamento DORA, con reglas propias sobre resiliencia operativa.
Qué debe hacer tu empresa mientras se aprueba la ley
Prepararse ahora no es adelantarse por deporte: es la única forma de llegar a tiempo cuando el texto se publique. Estos son los pasos que recomiendo, por orden:
- Averigua si te afecta. El primer filtro es saber si serás entidad esencial o importante por tu sector y tamaño. Te dejé un test rápido para saber si NIS2 te obliga que resuelve la duda en pocos minutos.
- Haz un análisis de riesgos serio. Es la base de todo lo demás y la primera evidencia que te van a pedir. Si no sabes por dónde empezar, un plan director de seguridad ordena las prioridades sin gastar de más.
- Monta tu protocolo de notificación de incidentes. NIS2 maneja plazos exigentes —alerta temprana en 24 horas, notificación en 72 e informe final en un mes—, así que necesitas el circuito interno definido antes, no durante la crisis.
- Revisa tu cadena de suministro. Tus proveedores tecnológicos entran en tu análisis de riesgos; conviene tener sus compromisos de seguridad por escrito.
- Involucra a la dirección. Como la responsabilidad recae en los órganos de gobierno, la ciberseguridad tiene que estar en la agenda del consejo, con presupuesto y con alguien que responda.
- Apóyate en lo que ya tengas. Si cuentas con ENS o con ISO 27001, reutiliza esos controles: son el atajo más fiable hacia NIS2.
Conclusión: una ley inminente que conviene no esperar
La Ley de Coordinación y Gobernanza de la Ciberseguridad lleva demasiado tiempo en el limbo, pero eso no la hace menos seria: cuando se apruebe, traerá un registro nacional, una autoridad con capacidad sancionadora y responsabilidad personal para los directivos, y lo hará con poco margen de adaptación. La tramitación se retrasa; las amenazas, no. Las empresas que están usando este tiempo para ordenar sus riesgos y sus procedimientos serán las que cumplan el primer día; las que esperen al BOE, las que corran.
Si no tienes claro si tu empresa entra en el perímetro de NIS2 o por dónde empezar a prepararte, cuéntame tu caso y lo vemos juntos, sin compromiso. Y si prefieres un enfoque integral, conoce mi servicio de consultoría de ciberseguridad para empresas que quieren cumplir la normativa sin sobredimensionar.