Estado de implementación de NIS2
Siga el progreso de la transposición de la Directiva NIS2 en todos los Estados miembros de la EU, incluidas las autoridades competentes y los calendarios de aplicación.
A fecha de 10 de abril de 2026
Instantánea del estado de implementación de NIS2
| Estado miembro | Estado | Autoridad competente | Notas |
|---|---|---|---|
| Austria | Adoptado | Federal Chancellery (Bundeskanzleramt) | Ley de transposición nacional adoptada (23 de diciembre de 2025); entrada en vigor / medidas secundarias programadas para 2026 — exhaustividad de la notificación bajo revisión de la Comisión. |
| Bélgica | Totalmente notificado | Centre for Cybersecurity Belgium (CCB) | Ley de implementación nacional adoptada en abril de 2024 y registrada; no figura entre los casos de opinión motivada de la Comisión. |
| Bulgaria | Borrador | Ministry of Transport, Information Technologies & Communications | Se han distribuido borradores de enmiendas, pero la transposición nacional final se estancó y Bulgaria fue incluida en la lista de opiniones motivadas de la Comisión. |
| Croacia | Totalmente notificado | National Cybersecurity Authority(s) | Legislación de transposición (Ley/Reglamento de Ciberseguridad) adoptada y operativa; no figura entre la lista de opiniones motivadas pendientes de la Comisión. |
| Chipre | Adoptado | Digital Security Authority | Enmienda publicada (Ley de Seguridad de Redes y Sistemas de Información (Enmienda) de 2025 publicada el 25 de abril de 2025); la Comisión solicitó más detalles de notificación. |
| República Checa | Adoptado | National Cyber and Information Security Agency (NUKIB) | Nueva Ley de Ciberseguridad (n.º 264/2025) entró en vigor el 1 de noviembre de 2025 — la ley está en vigor mientras la exhaustividad de la notificación formal está bajo evaluación de la Comisión. |
| Dinamarca | Adoptado | Center for Cybersecurity (CFCS) + sector authorities | Ley de transposición de la NIS2 en vigor a partir del 1 de julio de 2025; el plazo de registro de entidades ha expirado. La Comisión emitió un dictamen motivado en mayo de 2025 antes de la promulgación; la exhaustividad de la notificación está en revisión. |
| Estonia | Borrador | Estonian Information System Authority (RIA) | El proceso de borrador/enmienda está avanzando (se informaron las primeras lecturas); Estonia fue incluida en la lista de opiniones motivadas de la Comisión. |
| Finlandia | Adoptado | Finnish Transport and Communications Agency (Traficom) / DVV | Ley de transposición de la NIS2 en vigor; el plazo de registro de entidades ha expirado. Dictamen motivado de la Comisión emitido en mayo de 2025; exhaustividad de la notificación bajo revisión. Nota: no se pueden imponer multas administrativas a entidades de la administración pública. |
| Francia | Borrador | ANSSI (French National Agency for Information Systems Security) | Transposición incorporada en leyes de resiliencia más amplias; actividad parlamentaria en curso y la Comisión ha emitido un dictamen motivado solicitando la finalización. |
| Alemania | Totalmente notificado | Bundesamt für Sicherheit in der Informationstechnik (BSI) | NIS2UmsuCG aprobada en noviembre de 2025 y en vigor; no incluida en los casos pendientes de opinión motivada de la Comisión. La fecha límite de registro de entidades del BSI es abril de 2026. |
| Grecia | Totalmente notificado | Ministry of Digital Governance / National Cybersecurity Authority | Grecia adoptó su transposición a la legislación nacional y no figura entre los casos de opinión motivada de la Comisión. |
| Hungría | Adoptado | National Cybersecurity Agency & Ministry of Defence | La ley primaria está en vigor, pero los decretos de aplicación siguen retrasados; la Comisión emitió un dictamen motivado en mayo de 2025. El primer plazo de auditoría de cumplimiento se extendió de diciembre de 2025 a junio de 2026. |
| Irlanda | Borrador | National Cyber Security Centre (NCSC-IE) | Irlanda tiene un proyecto de ley activo (Ley Nacional de Ciberseguridad), pero la Comisión emitió un dictamen motivado por notificación incompleta. |
| Italia | Totalmente notificado | Italian National Cybersecurity Authority (ACN) + sector regulators | Italia adoptó y notificó la legislación de aplicación y no figura entre la lista de opiniones motivadas de la Comisión. |
| Letonia | Adoptado | Latvian National Cyber Security Authority | Letonia adoptó una Ley Nacional de Ciberseguridad (a mediados de 2024) y tiene normas secundarias pendientes; la Comisión señaló la exhaustividad de la notificación en mayo de 2025. |
| Lituania | Totalmente notificado | Lithuanian National Cyber Security Centre | Lituania transpuso la NIS2 en 2024 y puso en vigor las disposiciones clave el 18 de octubre de 2024; figura entre los estados que completaron la transposición. |
| Luxemburgo | Borrador | Institut Luxembourgeois de Regulation (ILR) | Luxemburgo fue incluido en la lista de opiniones motivadas de la Comisión y permanece en la fase de borrador/legislativa. |
| Malta | Totalmente notificado | Malta Information Technology Agency (MITA) | Malta transpuso la NIS2 a través de Avisos Legales en 2025 y puso en vigor el marco (avisos legales efectivos en enero de 2026); no figura en la lista de opiniones motivadas de la Comisión de mayo de 2025. |
| Países Bajos | Borrador | Minister of Digital Affairs + NCSC units | Los Países Bajos figuran entre los Estados miembros citados por la Comisión por notificación incompleta; el trabajo de transposición estaba en curso a nivel nacional. |
| Polonia | Borrador | Ministry of Digital Affairs (Cybersecurity Dept) | Polonia fue incluida en la lista de opiniones motivadas de la Comisión y las enmiendas nacionales aún estaban en desarrollo. |
| Portugal | Totalmente notificado | National Cyber Security Directorate (DNSC) | El Decreto-Ley n.º 125/2025 (publicado el 4 de diciembre de 2025) entró en vigor en abril de 2026; Portugal no fue incluido en la lista de opiniones motivadas de la Comisión de mayo de 2025, lo que confirma la exhaustividad de la notificación. |
| Rumanía | Totalmente notificado | National Cybersecurity Directorate (DNSC) | Rumanía ha completado su transposición nacional y no figura entre los casos pendientes de opinión motivada de la Comisión. |
| Eslovaquia | Totalmente notificado | National Cybersecurity Authority (Prime Minister's Office) | Eslovaquia adoptó la legislación de aplicación y no está incluida en la lista de opiniones motivadas de la Comisión. |
| Eslovenia | Totalmente notificado | Information Security Administration (ASIM-SI) | Eslovenia promulgó su ley de transposición de la NIS2 y figura entre los países de madurez de Nivel 4 con una ley aprobada y un marco de ciberseguridad finalizado; no figura entre los países aún pendientes a principios de 2026. |
| España | Borrador | National Cybersecurity Institute (INCIBE) / Security Council | España fue citada por la Comisión por notificación incompleta; las medidas legislativas y secundarias siguen en curso. |
| Suecia | Adoptado | Swedish Civil Contingencies Agency (MSB) | La Ley NIS2 sueca entró en vigor el 15 de enero de 2026; la exhaustividad de la notificación a la Comisión está bajo revisión. Las entidades deben registrarse rápidamente. Los proveedores de servicios de confianza se enfrentan a un plazo de notificación de incidentes de seguimiento más estricto de 24 horas que el de referencia de la NIS2. |
Muchos de estos Estados miembros han adoptado leyes primarias, pero aún necesitan una legislación secundaria completa y la notificación de la Comisión antes de que la aplicación se considere completa.
Leyenda de estado
- Totalmente notificado = transposición nacional adoptada y sin opinión motivada abierta de la Comisión sobre notificación incompleta.
- Adoptado = ley de transposición nacional adoptada (o publicada) pero la Comisión ha solicitado más información / exhaustividad de la notificación (o la notificación aún está por confirmar). Si la ley ya está en vigor pero la notificación está pendiente de revisión, se indica.
- Borrador = proceso legislativo en curso / no hay ley nacional final publicada.
Notas clave de implementación
Fecha límite y acción de la Comisión
Todos los Estados miembros debían transponer la NIS2 antes del 17 de octubre de 2024; la mayoría incumplió este plazo. El 7 de mayo de 2025, la Comisión Europea emitió dictámenes motivados a 19 Estados miembros por no notificar la transposición completa.
"Adoptado" vs. "Totalmente Notificado"
Algunos Estados miembros han promulgado leyes nacionales, pero aún no han notificado completamente todas las medidas de implementación a la Comisión. Otros Estados miembros todavía están en fase de borrador o revisión legislativa/parlamentaria.
Aplicación y preparación regulatoria
Siempre que la legislación nacional esté en vigor, el registro de entidades, la elaboración de informes de incidentes, las competencias de supervisión y las sanciones (hasta 10 millones de EUR o el 2 % de la facturación para las entidades esenciales) se están aplicando progresivamente mediante reglamentos secundarios.
Aplicación pendiente
En los Estados miembros con estado de Adoptado o Borrador, las obligaciones de registro y presentación de informes aún no son exigibles hasta que la legislación nacional esté en vigor y las autoridades hayan publicado los instrumentos jurídicos y los portales. Esto no impide que las PYME diligentes inicien ahora sus trayectorias de cumplimiento de la NIS2.
Aclaraciones de la autoridad competente
En toda la UE, los Estados miembros designan una o varias autoridades competentes responsables de la aplicación y el cumplimiento de la NIS2.
Supervisión del cumplimiento
Supervisión del cumplimiento de las obligaciones de la NIS2 por parte de las entidades esenciales e importantes
Recepción de informes de incidentes
Procesamiento y coordinación de las respuestas a las notificaciones de incidentes de ciberseguridad
Mantenimiento de listas de entidades
Mantenimiento de registros de entidades esenciales e importantes dentro de su jurisdicción
Aplicación de requisitos
Implementación de requisitos de gestión de riesgos y gobernanza mediante acciones reguladoras
Tipos de autoridad típicos
- Autoridades/Agencias Nacionales de Ciberseguridad o reguladores de ciberseguridad dedicados (por ejemplo, CCB, ACN, NUKIB, ANSSI)
- Reguladores sectoriales para finanzas, telecomunicaciones, energía, donde se delegan responsabilidades
- Los CSIRT cumplen funciones de coordinación e informes en virtud de la legislación nacional
Manténgase informado sobre NIS2
Reciba las últimas orientaciones, recordatorios de plazos y consejos de cumplimiento en su bandeja de entrada.
Sin spam. Cancele en cualquier momento.