Bruselas ha decidido llevar a España, Irlanda, Francia y Países Bajos ante el Tribunal de Justicia de la Unión Europea por no haber comunicado la transposición completa de la Directiva NIS2, el marco legal destinado a reforzar la protección de las redes y sistemas de información en los sectores considerados esenciales para el funcionamiento de la economía y los servicios públicos.
La decisión supone un nuevo paso en el procedimiento de infracción abierto contra estos cuatro países después de que expirara el plazo de adaptación fijado por la Unión Europea, el 17 de octubre de 2024.
La Comisión considera que el retraso compromete la aplicación homogénea de una normativa considerada estratégica para mejorar la resiliencia frente al incremento de las ciberamenazas. Por este motivo, además de acudir al Tribunal de Justicia de la UE, Bruselas solicita que se impongan una sanción fija por el retraso acumulado y multas diarias que permanecerán vigentes hasta que los Estados notifiquen la transposición completa de la directiva.
El procedimiento comenzó el 28 de noviembre de 2024 con el envío de cartas de emplazamiento a los países afectados. Posteriormente, el 7 de mayo de 2025, la Comisión emitió dictámenes motivados al considerar insuficientes los avances realizados. Ahora, ante la ausencia de una notificación completa, el Ejecutivo comunitario ha decidido recurrir ahora a la vía judicial.
La mayoría de los Estados miembros sí cumplieron con el calendario previsto, mientras que España, Irlanda, Francia y Países Bajos continúan pendientes de completar el proceso legislativo.
La Directiva NIS2 constituye el principal marco europeo en materia de ciberseguridad y busca elevar los requisitos de protección para entidades públicas y privadas que operan en dieciocho sectores críticos, entre ellos la energía, la sanidad, el transporte, las telecomunicaciones, los servicios digitales, el agua, la gestión de residuos o las administraciones públicas.
La normativa obliga a las organizaciones afectadas a implantar medidas de gestión de riesgos, reforzar sus capacidades de prevención y respuesta frente a incidentes y establecer procedimientos de notificación cuando sufran ciberataques o interrupciones relevantes. Asimismo, la directiva persigue armonizar el nivel de protección en toda la Unión Europea para evitar diferencias regulatorias entre Estados miembros que puedan convertirse en puntos débiles para la seguridad del conjunto del mercado europeo.
Mientras mantiene abiertos los procedimientos de infracción, la Comisión también trabaja en la actualización del marco normativo. El pasado 20 de enero de 2026 presentó un paquete de medidas que incluye modificaciones específicas de la Directiva NIS2 con el objetivo de aportar mayor seguridad jurídica y simplificar algunos requisitos para las empresas.
Estas modificaciones buscan facilitar el cumplimiento de las obligaciones relacionadas con la gestión de riesgos y los requisitos de ciberseguridad por parte de las organizaciones que desarrollan su actividad dentro de la Unión Europea.
Ahora, con la remisión del caso al Tribunal de Justicia, el procedimiento entra en una nueva fase que podría traducirse en sanciones económicas para España si no completa la transposición de una de las normas consideradas fundamentales para reforzar la estrategia europea de ciberseguridad.