Últimas noticias sobre el cumplimiento de NIS2: actualización de aplicación de junio y julio de 2026

El mecanismo de infracción de la UE pasó de las advertencias a las remisiones judiciales en julio de 2026. Irlanda, España, Francia y los Países Bajos enfrentan ahora sanciones económicas por incumplir el plazo de transposición de NIS2 de octubre de 2024 — con penalizaciones diarias que se acumulan hasta que cada país notifique la transposición completa a la Comisión.

Al mismo tiempo, la infraestructura de aplicación se está consolidando. La BSI de Alemania está auditando activamente a las entidades registradas. Los Países Bajos aprobaron su ley nacional un día antes de que se presentara la remisión. El Grupo de Cooperación NIS publicó el documento de mapeo del Artículo 21 más detallado hasta la fecha. Y la Comisión vinculó explícitamente NIS2 con la detección de amenazas asistida por IA por primera vez.

Este artículo cubre todos los desarrollos materiales de NIS2: qué cambió, qué plazos están vigentes y qué necesita abordar su equipo ahora. Para los desarrollos del mes anterior, consulte Últimas noticias de NIS2: mayo de 2026.


Puntos clave

  • Remisiones judiciales presentadas contra cuatro Estados miembros. El 8 de julio de 2026, la Comisión Europea remitió a Irlanda, España, Francia y los Países Bajos al Tribunal de Justicia de la UE por no transponer completamente NIS2. Se solicitan sanciones económicas para cada país.
  • La Cyberbeveiligingswet de los Países Bajos entra en vigor el 15 de agosto de 2026. El Senado neerlandés aprobó la ley el 7 de julio. Más de 8.000 organizaciones deben registrarse ante el NCSC, implementar medidas de seguridad basadas en riesgos y garantizar la supervisión a nivel de consejo directivo para esa fecha.
  • La BSI de Alemania ahora audita, no solo registra. La fase de supervisión activa comenzó el 6 de marzo de 2026. La BSI puede solicitar evidencia de medidas de seguridad sin esperar a que ocurra un incidente. Un plazo de registro secundario del 31 de julio se aplica a la parte significativa de las 29.000 entidades dentro del ámbito que no cumplieron en marzo.
  • El Grupo de Cooperación NIS publicó su documento de mapeo del Artículo 21. Publicado en junio de 2026, mapea las obligaciones de NIS2 y el Reglamento de Implementación 2024/2690 con ISO 27001, NIST CSF 2.0, IEC 62443 y marcos nacionales — la guía de cumplimiento más concreta a nivel de la UE publicada hasta la fecha.
  • El NCSC de Irlanda publicó orientación sobre gobernanza cibernética a nivel de consejo directivo. Publicado el 7 de julio de 2026, el documento está dirigido a CEO, CIO y CISO en organizaciones reguladas por NIS2 y se basa en el marco CyFun basado en NIST.
  • ENISA elevó el sector espacial a alta criticidad. El informe NIS360 2026 coloca el espacio junto con la banca, la electricidad y la aviación. Siete sectores permanecen en la zona de riesgo, donde la madurez no alcanza las demandas de criticidad.
  • El Plan de Acción de la UE sobre Ciberseguridad e IA se publicó el 7 de julio de 2026. Es el primer documento a nivel de la UE que vincula formalmente el cumplimiento de NIS2 con la detección de amenazas asistida por IA como práctica operativa esperada.
  • El proyecto de ley de Ciberseguridad y Resiliencia del Reino Unido fue aprobado por los Comunes el 16 de junio. Ingresó a los Lores el 17 de junio y está programado para una segunda lectura el 14 de julio. Los proveedores de servicios gestionados y los operadores de centros de datos entran en el ámbito por primera vez.

La Comisión de la UE lleva a Irlanda, España, Francia y los Países Bajos ante los tribunales por retrasos en NIS2

La Comisión de la UE lleva a Irlanda, España, Francia y los Países Bajos ante los tribunales por retrasos en NIS2

El 8 de julio de 2026, la Comisión Europea remitió a Irlanda, España, Francia y los Países Bajos al Tribunal de Justicia de la UE por no notificar la transposición completa de la Directiva NIS2. Las remisiones incluyen una solicitud de sanciones económicas: una suma global más penalizaciones diarias que se acumulan hasta que cada país notifique la transposición completa.

El plazo de transposición fue el 17 de octubre de 2024. La Comisión envió notificaciones formales a los Estados miembros incumplidores en noviembre de 2024 y dictámenes motivados en mayo de 2025. La remisión judicial es la tercera y última etapa del procedimiento de infracción de la UE.

El momento es notable para los Países Bajos. El Senado neerlandés aprobó la Cyberbeveiligingswet el 7 de julio — un día antes de que se presentara la remisión (más información al respecto a continuación). La ley entra en vigor el 15 de agosto de 2026, pero la notificación formal de transposición a la Comisión aún no se había presentado en el momento de la remisión. Las penalizaciones diarias dejarán de acumularse una vez que se complete la notificación.

Para España, Francia e Irlanda, no se ha aprobado ninguna ley nacional equivalente. Se espera que la transposición de España se realice a finales de 2026. Francia e Irlanda no han anunciado plazos firmes.

Los casos de infracción tienen números de caso individuales:

Las remisiones refuerzan un punto que los equipos de cumplimiento en estos países ya deberían conocer: los requisitos de la Directiva NIS2 son vinculantes independientemente del estado de transposición nacional. Los procedimientos judiciales no suspenden las obligaciones subyacentes — añaden presión financiera sobre los gobiernos para cerrar la brecha más rápidamente.

Fuente: Comisión Europea, 2026


Países Bajos: Cyberbeveiligingswet aprobada, entra en vigor el 15 de agosto

Países Bajos — Cyberbeveiligingswet aprobada, entra en vigor el 15 de agosto

El 7 de julio de 2026, el Senado neerlandés aprobó tanto la Cyberbeveiligingswet (la transposición neerlandesa de NIS2) como la Ley de Resiliencia de Entidades Críticas (Wwke), que implementa la Directiva de Resiliencia de Entidades Críticas (CER) de la UE. Ambas leyes entran en vigor el 15 de agosto de 2026.

Más de 8.000 organizaciones están dentro del ámbito: ministerios, municipios, autoridades del agua, provincias, organismos administrativos independientes y asociaciones intermunicipales. A partir del 15 de agosto, deben:

  1. Registrarse ante el Centro Nacional de Ciberseguridad (NCSC) a través del Registro de Entidades.
  2. Implementar medidas técnicas, operativas y organizativas apropiadas basadas en una evaluación de riesgos — incluyendo dependencias de la cadena de suministro.
  3. Notificar incidentes de ciberseguridad importantes al CSIRT correspondiente y a la autoridad de supervisión competente dentro de los plazos legales.
  4. Garantizar la supervisión a nivel de consejo directivo: los miembros del órgano de dirección deben tener conocimientos suficientes de ciberseguridad y completar la formación adecuada.

La aplicación recae en las autoridades de supervisión designadas, incluyendo la Autoridad Neerlandesa para la Infraestructura Digital. La Cyberbeveiligingswet introduce la responsabilidad de los directores: los supervisores pueden emitir instrucciones vinculantes, realizar inspecciones y suspender a los directores cuando sea necesario.

Para las organizaciones del sector público, el cumplimiento del estándar Baseline Information Security Government (BIO) 2 cuenta para cumplir los requisitos de seguridad de la Cbw.

La fecha de entrada en vigor del 15 de agosto es un plazo estricto. El registro ante el NCSC debería comenzar antes de esa fecha — el propio NCSC recomienda prepararse con antelación para evitar cuellos de botella en el proceso de registro.

Fuente: NL Digital Government, 2026


A nivel de la UE: Publicado nuevo documento de referencia sobre medidas de seguridad

A nivel de la UE: Publicado nuevo documento de referencia sobre medidas de seguridad

Publicado en junio de 2026, el documento de referencia sobre medidas de seguridad del Grupo de Cooperación NIS ofrece a las organizaciones la guía más concreta a nivel de la UE sobre el cumplimiento del Artículo 21 de NIS2 hasta la fecha. El documento establece un marco europeo común para objetivos de ciberseguridad e incluye una tabla de mapeo que vincula las obligaciones de NIS2 y el Reglamento de Implementación Europeo 2024/2690 con:

  • ISO/IEC 27001
  • IEC 62443
  • NIST Cybersecurity Framework 2.0
  • marcos nacionales de ciberseguridad
  • el CyberFundamentals Framework, CyFun®

El documento no es vinculante. No reemplaza la legislación nacional de NIS2 ni las directrices específicas del sector. Pero para los equipos de cumplimiento que ya trabajan con ISO 27001 o NIST CSF 2.0, responde a una pregunta que ha estado abierta desde que se aprobó la directiva: ¿cómo se mapean exactamente mis controles existentes con los requisitos de NIS2?

El mapeo es particularmente útil para organizaciones que operan en múltiples Estados miembros. En lugar de mantener análisis de brechas separados por jurisdicción, los equipos pueden usar el documento de referencia como una línea base compartida y luego añadir las desviaciones nacionales encima.

El control de acceso, la autenticación y la gestión de acceso privilegiado aparecen explícitamente en los objetivos mapeados — áreas donde la guía del documento de referencia se alinea directamente con el Artículo 21(2)(j) de NIS2 sobre el uso de autenticación multifactor y sistemas de comunicación seguros.

Dónde encontrar los documentos
El documento de referencia sobre medidas de seguridad para entidades NIS2 y la tabla de mapeo adjunta (Anexo) están publicados en la página oficial del Grupo de Cooperación NIS del sitio web de Estrategia Digital de la Comisión Europea.

Fuentes: Centro de Ciberseguridad de Bélgica, 2026; Comisión Europea, 2026


Irlanda: El NCSC publica orientación sobre gobernanza cibernética a nivel de consejo directivo para entidades NIS2

Irlanda: El NCSC publica orientación sobre gobernanza cibernética a nivel de consejo directivo para entidades NIS2

El 7 de julio de 2026, el Centro Nacional de Ciberseguridad de Irlanda publicó orientación sobre gobernanza cibernética para miembros de consejos de administración en organizaciones reguladas por NIS2. El documento está dirigido a CEO, directores generales, CIO y CISO — los ejecutivos que asumen responsabilidad personal por la gestión de riesgos de ciberseguridad bajo NIS2.

La orientación se centra en el Cyber Fundamentals Framework (CyFun), el marco nacional preferido de Irlanda para el cumplimiento de NIS2. CyFun está basado en el NIST Cybersecurity Framework y proporciona a los consejos un enfoque estructurado y basado en riesgos para cumplir sus obligaciones legales sin requerir experiencia técnica profunda.

El documento cubre tres áreas prácticas: comprender qué preguntas deberían hacer los consejos sobre el riesgo cibernético, identificar y gestionar los riesgos de la cadena de suministro, y construir una cultura organizacional donde la ciberseguridad se trate como un tema de gobernanza, no como un problema del departamento de TI.

El momento es deliberado. Irlanda está actualmente sujeta a procedimientos de infracción de la UE por no transponer completamente NIS2 a la legislación nacional — la Comisión remitió al país al Tribunal de Justicia el 8 de julio de 2026. Publicar orientación a nivel de consejo directivo antes de la transposición formal señala que el NCSC está moviendo a las organizaciones hacia el cumplimiento independientemente de dónde se encuentre el proceso legislativo.

La Orientación sobre Gobernanza Cibernética para Miembros del Consejo de Administración en Entidades NIS2 está disponible directamente desde el NCSC: descargar PDF

Fuente: Portal oficial del Gobierno de Irlanda, 2026


ENISA NIS360 2026: El sector espacial elevado a alta criticidad

ENISA NIS360 2026: El sector espacial elevado a alta criticidad

El informe ENISA NIS360 2026 es la tercera evaluación anual de madurez y criticidad en ciberseguridad en todos los sectores del Anexo I bajo la Directiva NIS2. El hallazgo principal: el sector espacial se ha unido a la banca, la electricidad, la aviación y los servicios digitales por defecto en la banda de mayor criticidad.

La elevación refleja el creciente papel de la infraestructura espacial como capa de dependencia para otros sectores: la navegación, las comunicaciones, la liquidación financiera y la logística militar funcionan con sistemas satelitales. Mayor dependencia significa mayor impacto ante una interrupción y mayor criticidad temporal en la recuperación.

Siete sectores caen en la zona de riesgo de NIS360 2026, donde la madurez en ciberseguridad está por debajo del nivel que exige su criticidad:

  1. Salud
  2. Ferrocarril
  3. Marítimo
  4. Gestión de servicios TIC
  5. Espacio
  6. Administración pública
  7. Agua potable y residual

Tres sectores alcanzaron la banda de alta madurez: servicios de confianza, aviación e infraestructuras del mercado financiero. El sector del gas ha comenzado a salir de la zona de riesgo, impulsado por una mejor compartición de información y una implementación más sólida de medidas de gestión de riesgos.

La composición de la zona de riesgo importa operativamente. Las autoridades de supervisión utilizan los datos de NIS360 para priorizar los calendarios de auditoría. Si su organización opera en salud, ferrocarril o administración pública, espere mayor atención supervisora en la segunda mitad de 2026.

El estudio ENISA NIS Investments 2025 encontró que el 70% de las organizaciones encuestadas citaron el cumplimiento de NIS2, DORA y CRA como el principal impulsor del gasto en ciberseguridad — una cifra que probablemente aumentará a medida que los supervisores pasen del registro a la revisión activa.

Fuente: ENISA, 2026


Alemania: La BSI entra en fase de supervisión activa

Alemania: La BSI entra en fase de supervisión activa

La BSI de Alemania entró en la fase de supervisión activa el 6 de marzo de 2026 — la fecha en que expiró el plazo de registro bajo la NIS2-Umsetzungsgesetz (NIS2UmsuCG). La ley se promulgó el 6 de diciembre de 2025. Para junio de 2026, había estado en vigor durante seis meses.

El análisis del 16 de junio de SecurityToday.de sobre el cambio de supervisión señaló que la pregunta ha cambiado: ya no se trata de si una entidad está registrada, sino de si las medidas declaradas resisten el escrutinio.

El portal de registro de la BSI abrió el 6 de enero de 2026. Una parte significativa de las aproximadamente 29.000 entidades dentro del ámbito no cumplió el plazo de marzo. La BSI estableció un plazo de registro secundario del 31 de julio de 2026. El registro tardío sigue siendo posible pero no crea ningún puerto seguro — las obligaciones de cumplimiento se aplican desde diciembre de 2025, independientemente del estado de registro.

Lo que significa la supervisión activa en la práctica:

  • La BSI puede solicitar proactivamente evidencia de medidas de seguridad — sin esperar a que ocurra un incidente.
  • Las auditorías presenciales y remotas están ahora dentro del ámbito.
  • Las multas para entidades esenciales alcanzan hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor.
  • Los miembros del órgano de dirección enfrentan responsabilidad personal, incluyendo posibles prohibiciones temporales para ejercer funciones de gestión.

La implementación de Alemania va más allá del mínimo de la UE en cuanto a responsabilidad ejecutiva. La NIS2UmsuCG requiere explícitamente que los órganos de dirección aprueben las medidas de ciberseguridad, supervisen su implementación y demuestren competencia personal. Los supervisores pueden responsabilizar personalmente a ejecutivos individuales por fallos sistémicos.

Hay una ventaja práctica en el estándar más estricto de Alemania. Las organizaciones que cumplen los requisitos de la NIS2UmsuCG satisfacen el mínimo de la UE con margen. Para las empresas que operan en múltiples Estados miembros, una postura de seguridad que pase el escrutinio de la BSI generalmente también se sostendrá ante las autoridades de supervisión vecinas.

Para los que se registran tarde, el orden de prioridades es claro: registrarse primero, luego establecer evidencia documentada de las medidas. Si ocurre un incidente notificable antes de que las medidas estén demostrablemente implementadas, un registro omitido o retrasado es un factor agravante.

Fuente: SecurityToday.de, 2026


Publicado el Plan de Acción de la UE sobre Ciberseguridad e IA

Publicado el Plan de Acción de la UE sobre Ciberseguridad e IA

El 7 de julio de 2026, la Comisión Europea publicó el Plan de Acción de la UE sobre Ciberseguridad e Inteligencia Artificial. El documento establece un enfoque coordinado de la UE para la ciberseguridad impulsada por IA en los Estados miembros, autoridades públicas y empresas.

El plan se construye en torno a tres objetivos: promover el uso seguro y responsable de la IA avanzada, reforzar la ciberseguridad y la resiliencia de la UE, y ampliar las capacidades de IA de Europa para fines de ciberseguridad.

En cuanto a NIS2, el Plan de Acción nombra explícitamente la Directiva NIS2 como parte del marco legal existente sobre el que se construye, y alienta a las organizaciones sujetas a NIS2 a utilizar IA (incluyendo modelos de código abierto) para detectar y abordar vulnerabilidades más rápidamente. Este es el primer documento a nivel de la UE que vincula formalmente el cumplimiento de NIS2 con la detección de amenazas asistida por IA como práctica operativa esperada.

Las medidas concretas incluyen:

  • Un Plan Europeo para el acceso seguro a sistemas de IA avanzados para fines de ciberseguridad, a desarrollar con ENISA.
  • Una plataforma de pruebas segura para organizaciones en sectores críticos (energía, transporte, salud, finanzas y administración pública) para probar e implementar soluciones de IA de forma segura.
  • Un Gran Desafío de la UE sobre IA para ciberseguridad, que reúne a la industria, investigadores y comunidades de código abierto.

El Plan de Acción se sitúa junto con la Ley de IA, la Ley de Ciberresiliencia, DORA y la Ley de Cibersolidaridad. No crea nuevas obligaciones vinculantes por sí solo, pero señala dónde espera la Comisión que se concentren el énfasis en la aplicación y la inversión durante el próximo ciclo legislativo.

El Plan de Acción completo está disponible para descargar desde la Comisión Europea

Fuente: Comisión Europea, 2026


Reino Unido: El proyecto de ley de Ciberseguridad y Resiliencia es aprobado por los Comunes, ingresa a los Lores

Reino Unido: El proyecto de ley de Ciberseguridad y Resiliencia es aprobado por los Comunes, ingresa a los Lores

El 16 de junio de 2026, el proyecto de ley de Ciberseguridad y Resiliencia (Sistemas de Redes e Información) completó su tercera lectura y etapa de informe en la Cámara de los Comunes. Recibió su primera lectura en los Lores el 17 de junio y está programado para una segunda lectura en los Lores el 14 de julio de 2026.

El proyecto de ley se presentó al Parlamento el 12 de noviembre de 2025 y actualiza los Reglamentos de Sistemas de Redes e Información de 2018 (NIS1) existentes. No transpone NIS2 (el Reino Unido ya no está vinculado por la legislación de la UE) pero acerca significativamente los requisitos del Reino Unido al estándar NIS2 en alcance y aplicación.

Lo que añade el proyecto de ley:

  • Los proveedores de servicios gestionados entran en el ámbito por primera vez. Los Proveedores de Servicios Gestionados Relevantes (RMSP) deben registrarse ante el ICO, implementar medidas de gestión de riesgos y designar un representante en el Reino Unido si no están establecidos en el país.
  • Los operadores de centros de datos también se incluyen en el ámbito.
  • Los plazos de notificación de incidentes se acortan: informe inicial de 24 horas, notificación completa de 72 horas — coincidiendo con la estructura del Artículo 23 de NIS2.
  • Designación de proveedores críticos: El ICO obtiene la facultad de designar proveedores cuyo compromiso afectaría a servicios esenciales o RMSP.
  • Las sanciones aumentan hasta 17 millones de libras o el 4% de la facturación anual global por infracciones graves; hasta 10 millones de libras o el 2% por las menos graves.

La definición de incidente también se amplía: el proyecto de ley cubre incidentes «capaces de tener un efecto adverso» en los servicios regulados, no solo aquellos con un efecto real demostrado. Este es un cambio significativo para las organizaciones que actualmente calibran sus umbrales de notificación.

Se han propuesto 63 enmiendas durante el trámite del proyecto de ley. Dos enmiendas presentadas en junio, incluyendo una para añadir la cadena de suministro alimentario como servicio esencial regulado, no recibieron decisión en la etapa de informe.

El gobierno espera consultar en 2026 sobre la legislación secundaria que cubra medidas específicas de gestión de riesgos y requisitos de notificación. Algunas disposiciones entrarán en vigor desde el primer día o segundo mes después de la sanción real; otras seguirán mediante legislación secundaria.

Fuentes: Parlamento del Reino Unido, 2026; Parallel Parliament, 2026


Resumen

El período de junio a principios de julio de 2026 marca el punto en que la aplicación de NIS2 pasó de la presión política a la acción legal y de supervisión activa. Se presentaron remisiones judiciales. Las leyes nacionales están entrando en vigor. Las autoridades de supervisión están solicitando evidencia de medidas de seguridad, no solo confirmaciones de registro.

Para las organizaciones en Irlanda, España, Francia y los Países Bajos, los procedimientos de infracción no cambian nada sobre las obligaciones subyacentes. Los requisitos de NIS2 han sido vinculantes desde octubre de 2024 independientemente del estado de transposición nacional. Los procedimientos añaden consecuencias financieras para los gobiernos — no crean un período de gracia para las entidades reguladas.

Para las organizaciones en Alemania y los Países Bajos, el calendario de cumplimiento ya está establecido. La BSI está auditando. La Cyberbeveiligingswet entra en vigor el 15 de agosto. El documento de mapeo del Artículo 21 publicado por el Grupo de Cooperación NIS en junio de 2026 es el resultado más accionable de este período: si su equipo ya trabaja con ISO 27001 o NIST CSF 2.0, proporciona un camino directo para cerrar su análisis de brechas de NIS2 antes de que una autoridad de supervisión lo haga por usted.

Gestión de credenciales bajo el Artículo 21 de NIS2
El documento de mapeo de junio de 2026 del Grupo de Cooperación NIS vincula el Artículo 21 de NIS2 directamente con el control de acceso, la autenticación y la gestión de acceso privilegiado — áreas que las autoridades de supervisión auditarán. Passwork es un gestor empresarial de contraseñas y secretos diseñado para los requisitos de cumplimiento de la UE. Descubra cómo Passwork se alinea con NIS2
Controles de acceso NIS2 para la seguridad de la cadena de suministro
El 48% de las brechas ahora involucran a terceros. El Artículo 21 de NIS2 convierte la gobernanza del acceso de proveedores en una obligación legal. Aquí se explica cómo mapear el acceso de proveedores, aplicar MFA y privilegio mínimo, y mantener la evidencia de auditoría que demuestra que sus controles funcionan.
Shadow IT vs Shadow AI: Por qué la IA es la mayor amenaza
Los empleados están usando herramientas de IA que usted no aprobó, en cuentas que no puede monitorear, con datos que no puede recuperar. Aquí se muestra cómo es realmente el riesgo y qué debe abordar la gobernanza.
Offboarding de empleados: Guía de revocación segura de accesos 2026
Desactivar una cuenta SSO no revoca el acceso. Las claves API, las credenciales de agentes de IA y las contraseñas compartidas sobreviven. Esta guía cubre el playbook completo de offboarding — desde disparadores de hora cero hasta limpieza de NHI.