Abogados, Legal, Tecnología24 de junio de 2025

Bruselas ha activado el procedimiento de infracción contra España por no transponer la Directiva NIS2. Esta norma refuerza el marco europeo de ciberseguridad y afecta a sectores críticos.

 ¿Qué es la Directiva NIS2?

La Directiva (UE) 2022/2555, conocida como NIS2, es la piedra angular del nuevo marco europeo de ciberseguridad. En vigor desde enero de 2023, su objetivo es claro: unificar la respuesta de los Estados miembros ante ciberataques y elevar el nivel general de protección digital.

A diferencia de la directiva anterior, NIS2 amplía su alcance

¿A quién afecta y qué exige?

Esta normativa se aplica a empresas e instituciones de sectores esenciales e importantes, como energía, banca, sanidad, transporte o agua. También incluye administraciones públicas, operadores de servicios digitales e infraestructuras críticas.

Entre sus principales obligaciones destacan:

  • Gestionar riesgos de ciberseguridad con medidas técnicas y organizativas.

  • Notificar incidentes graves en plazos de 24 a 72 horas.

  • Nombrar responsables de seguridad de la información.

  • Asumir responsabilidades directas por parte de los órganos de dirección.

  • Cumplir con un régimen sancionador más estricto.

En caso de incumplimiento, las multas pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio anual.

Entidades afectadas y principales obligaciones

NIS2 se aplica tanto a entidades públicas como privadas de sectores esenciales e importantes: energía, banca, transporte, sanidad, agua, infraestructuras digitales, administración pública, etc.

Entre sus principales obligaciones destacan:

  • Gestión activa de riesgos de ciberseguridad, con medidas técnicas y organizativas.
  • Notificación de incidentes relevantes en plazos de entre 24 y 72 horas.
  • Designación de un responsable de seguridad de la información.
  • Responsabilidad directa de los órganos de administración.
  • Régimen sancionador estricto, con multas de hasta 10 millones de euros o el 2% del volumen de negocio global.

El retraso de España y sus consecuencias

España debía haber transpuesto la directiva antes del 17 de octubre de 2024, pero a día de hoy sigue sin haber culminado el proceso legislativo. Aunque el Consejo de Ministros aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, su tramitación parlamentaria está aún en fase de enmiendas.

Este incumplimiento conlleva graves riesgos:

  • ⚠️ Riesgo jurídico: exposición a sanciones del Tribunal de Justicia de la UE.
  • ⚠️ Riesgo reputacional: pérdida de credibilidad ante instituciones y socios europeos.
  • ⚠️ Riesgo operativo: menor capacidad de respuesta ante amenazas cibernéticas.

Además, impide que el “escudo digital europeo” funcione a plena capacidad, ya que la transposición es condición indispensable para aplicar la normativa en cada Estado miembro.

¿Qué implica para el sector legal y las LegalTech?

La entrada en vigor de NIS2 representa un cambio estructural en la forma en que las organizaciones deben abordar la seguridad digital. Esto impacta directamente al sector legal y a las empresas LegalTech:

  • 📌 Despachos de abogados y consultoras legales deben evaluar si están dentro del ámbito de aplicación como entidades importantes.
  • 📌 La ciberseguridad pasa a ser un deber de cumplimiento normativo, no solo técnico.
  • 📌 Surge una nueva área de asesoramiento legal, centrada en normativa digital, cumplimiento, formación, auditoría y defensa en procesos sancionadores.

En Second Lawyers, como especialistas en Legal Operations y tecnología aplicada al Derecho, ayudamos a nuestros clientes a adaptarse a este nuevo entorno normativo con soluciones integrales y automatizadas.

¿Cómo prepararse?

Desde Second Lawyers recomendamos a todas las entidades afectadas:

  1. Auditar el grado actual de cumplimiento normativo en ciberseguridad.
  2. Identificar si están dentro del ámbito de aplicación de NIS2.
  3. Desarrollar una estrategia de cumplimiento proactiva, con formación, políticas internas y protocolos.
  4. Asesorarse con especialistas en Derecho digital y normativas europeas.

La ciberseguridad: una prioridad legal y estratégica

En un mundo digital interconectado, la ciberseguridad ya no es solo un asunto técnico. Es una obligación jurídica, una cuestión de continuidad operativa y un factor de competitividad. Adaptarse a la Directiva NIS2 es una necesidad para cualquier entidad que aspire a operar con seguridad y confianza en el entorno europeo.

¿Preparado para afrontar el reto?

📩 En Second Lawyers te ayudamos a implementar un modelo de cumplimiento ágil, automatizado y legalmente robusto.