Estado de implementación de NIS2
Siga el progreso de la transposición de la Directiva NIS2 en todos los Estados miembros de la EU, incluidas las autoridades competentes y los calendarios de aplicación.
A fecha de abril de 2026
Instantánea del estado de implementación de NIS2
Totalmente notificado (16)
Adoptado (6)
Borrador (5)
| Estado miembro | Estado | Autoridad competente | Notas |
|---|---|---|---|
| Austria | Adoptado | Federal Ministry of the Interior (BMI) / Bundesamt für Cybersicherheit (operational 1 October 2026) | NISG 2026 promulgada el 23 de diciembre de 2025; entra en vigor el 1 de octubre de 2026; plazo de registro de entidades: 1 de enero de 2027 — la completitud de la notificación está siendo revisada por la Comisión. |
| Bélgica | Totalmente notificado | Centre for Cybersecurity Belgium (CCB) — CyFun® / Safeonweb@Work | Ley NIS2 en vigor desde el 18 de octubre de 2024; el registro a través de Safeonweb@Work se cerró el 18 de marzo de 2025; plazo de autoevaluación CyFun® o SoA de ISO 27001 el 18 de abril de 2026 (ya vencido); certificación completa antes del 18 de abril de 2027. |
| Bulgaria | Adoptado | Multiple national competent authorities (Ministry of Defence, Ministry of Interior, State Agency for National Security) — Minister of e-Government maintains national register | Modificaciones de la Ley de Ciberseguridad en vigor desde el 17 de febrero de 2026; sanciones reducidas para infracciones cometidas antes del 1 de junio de 2026; metodología de designación del Consejo de Ministros prevista para ~17 de agosto de 2026 — modelo de designación administrativa. |
| Croacia | Totalmente notificado | Security and Intelligence Agency (SOA) — National Cybersecurity Center (NCSC-HR); CERT.hr (CARNET) for incident reporting via PiXi; autonomous sector supervisors (HNB, HANFA, HACZ) | Ley de Ciberseguridad (NN 14/2024) en vigor desde el 15 de febrero de 2024 — una de las transposiciones más tempranas de la UE; Reglamento de Ciberseguridad (NN 135/2024) en vigor desde el 30 de noviembre de 2024; modelo de notificación liderado por la autoridad con un plazo de cumplimiento de 12 meses; las desviaciones nacionales incluyen el sector de la Educación, autoevaluación bienal para entidades importantes y controles técnicos más estrictos. |
| Chipre | Adoptado | Digital Security Authority (DSA) — primary; Commissioner of Communications also designated as supervisory authority | Ley de modificación de la Seguridad de las Redes y Sistemas de Información 60(I)/2025 promulgada el 10 de abril de 2025, en vigor desde el 25 de abril de 2025; las desviaciones nacionales incluyen un plazo de alerta temprana de 6 horas (más estricto que las 24 h de la Directiva) y un modelo de identificación de entidades dirigido por la DSA (sin autorregistro); la integridad de la notificación a la Comisión está en revisión. |
| República Checa | Adoptado | National Cyber and Information Security Agency (NUKIB) | Ley sobre Ciberseguridad n.º 264/2025 Rec. en vigor desde el 1 de noviembre de 2025; autoidentificación a través del portal NÚKIB (plazo de registro 31 de diciembre de 2025 para las entidades en el ámbito); plazo de cumplimiento de 12 meses para medidas de seguridad y notificación desde la decisión de registro; las entidades esenciales deben notificar todos los incidentes de origen cibernético (más estricto que la Directiva); NÚKIB está facultada para restringir o prohibir proveedores inseguros de la cadena de suministro a entidades de importancia estratégica. |
| Dinamarca | Adoptado | Ministry for Societal Resilience and Contingency (MSSB) — coordinator; sector regulators (Danish Energy Agency, Finanstilsynet, telecom regulators) — primary supervisors; CFCS — National CSIRT | Ley NIS2 (L 141) en vigor desde el 1 de julio de 2025 sin período transitorio de gracia; autorregistro a través de Virk.dk (plazo 1 de octubre de 2025 — vencido); enfoque de transposición mínima (sin gold-plating); desviaciones nacionales: no se aplican multas administrativas directas (las sanciones se tramitan por la fiscalía mediante proceso penal) y la responsabilidad personal de la dirección no se ha transpuesto (regulada por el deber de diligencia de la Ley de Sociedades danesa); la integridad de la notificación a la Comisión está en revisión. |
| Estonia | Totalmente notificado | Estonian Information System Authority (RIA) | Ley de Ciberseguridad modificada en vigor desde el 1 de enero de 2026; ~3.500 → ~6.500 entidades en el ámbito; instituciones de investigación añadidas como sector nacional adicional; gestión de riesgos alineada con los controles de referencia E-ITS; cumplimiento por fases — plazo de autorregistro mediante RIA hacia el 1 de abril de 2026 (ya vencido), controles de gobernanza para el 1 de enero de 2027, cumplimiento técnico completo y primeras auditorías para el 1 de enero de 2028. |
| Finlandia | Totalmente notificado | Traficom (NCSC-FI) — coordinator; sector authorities supervise | Ley de Ciberseguridad (124/2025) en vigor desde el 8 de abril de 2025; fecha límite de registro 8 de mayo de 2025 y sistema de gestión de riesgos 8 de julio de 2025 ambas vencidas; supervisión descentralizada en siete autoridades sectoriales coordinadas por el NCSC-FI de Traficom; multas administrativas impuestas por una junta de sanciones establecida por separado a propuesta de la autoridad supervisora; las entidades del sector público no pueden ser multadas; sector financiero excluido (cubierto por DORA). |
| Francia | Borrador | ANSSI (French National Agency for Information Systems Security) | Loi Résilience (que consolida NIS2, CER y DORA) aprobada por el Senado el 12 de marzo de 2025 y por la comisión especial de la Asamblea Nacional el 10 de septiembre de 2025; pendientes la votación final y la promulgación, previstas H1–H2 2026 (no promulgada a abril de 2026). Dictamen motivado de la CE emitido el 7 de mayo de 2025. Portal de prerregistro MonEspaceNIS2 de ANSSI ya activo; se esperan ~15.000–18.000 entidades en el ámbito de aplicación, en 18 sectores. |
| Alemania | Totalmente notificado | Bundesamt für Sicherheit in der Informationstechnik (BSI) | NIS2UmsuCG en vigor desde el 6 de diciembre de 2025 sin período transitorio; ~4.500 → ~29.000–30.000 entidades en el alcance; el plazo de registro en el BSI del 6 de marzo de 2026 ha vencido; registro en dos pasos vía portal del BSI / Mein Unternehmenskonto (MUK); formación obligatoria en ciberseguridad de la dirección cada tres años; exención para "actividades insignificantes" en virtud del § 28(3) BSIG. |
| Grecia | Totalmente notificado | National Cybersecurity Authority (NCSA) | Ley 5160/2024 en vigor desde el 28 de noviembre de 2024; complementada por MD 1645/2025 (registro) y MD 1689/2025 (marco de seguridad de 22 temas); los plazos de registro (28 de marzo de 2025 para infraestructura digital; 30 de septiembre de 2025 general) han vencido; nombramiento obligatorio del ICSSO (incompatible con el DPO); las auditorías de la NCSA comenzaron en el cuarto trimestre de 2025. |
| Hungría | Adoptado | SZTFH (primary) / NKI/NCSC (CSIRT) | Ley LXIX de 2024 en vigor desde el 1 de enero de 2025; SZTFH es el regulador principal (registro, registro de auditores, tasas de supervisión); NKI/NCSC es el CSIRT nacional; banca, infraestructura del mercado financiero y administración pública excluidas del ámbito; plazos de registro y contrato de auditor vencidos; plazo de la primera auditoría de ciberseguridad 30 de junio de 2026 (próximo); dictamen motivado de la CE 7 de mayo de 2025 — evaluación de la Comisión en curso. |
| Irlanda | Borrador | National Cyber Security Centre (NCSC-IE) | National Cyber Security Bill 2024 no promulgado a abril de 2026; Irlanda incumplió el plazo de transposición de la UE del 17 de octubre de 2024 y está sujeta a procedimientos de infracción de la Comisión Europea; NIS1 (S.I. 360 of 2018) sigue aplicándose; modelo federado de supervisión propuesto (liderado por NCSC + CRU, ComReg, Banco Central de Irlanda); promulgación y portal de registro previstos durante 2026. |
| Italia | Totalmente notificado | Italian National Cybersecurity Authority (ACN) + sector regulators | Decreto Legislativo n.º 138/2024 en vigor desde el 16 de octubre de 2024. La ACN es el regulador principal y opera un portal digital centralizado para el registro y la notificación. Italia ha ampliado el ámbito más allá del mínimo de la Directiva mediante los Anexos III y IV nacionales (organismos del gobierno central, transporte público local, entidades de interés cultural) e incluye una cláusula de salvaguardia para filiales de grupo independientes en TIC. El cumplimiento es por fases: los plazos de registro vencieron a principios de 2025, la notificación obligatoria de incidentes a ACN/CSIRT Italia está en vigor desde el 1 de enero de 2026 y el cumplimiento pleno de las medidas de seguridad es obligatorio antes del 1 de octubre de 2026. Italia está plenamente notificada a la Comisión Europea. |
| Letonia | Totalmente notificado | National Cybersecurity Centre (NCSC) | La Ley Nacional de Ciberseguridad de Letonia está en vigor desde el 1 de septiembre de 2024 (sustituye la anterior Ley de Seguridad de TI); el Reglamento n.º 397 (requisitos mínimos de ciberseguridad) está en vigor desde el 2 de julio de 2025; el dictamen motivado de la CE de mayo de 2025 está resuelto. El Centro Nacional de Ciberseguridad (NCSC) — Ministerio de Defensa con CERT.LV — es el supervisor principal; la Oficina de Protección de la Constitución supervisa la infraestructura TIC crítica. Las entidades deben nombrar un responsable de ciberseguridad, clasificar los sistemas en tres niveles (A/B/C) y realizar revisiones anuales de seguridad TIC. Todos los plazos iniciales (registro, nombramiento del responsable, primera autoevaluación) han vencido; transposición plenamente notificada. |
| Lituania | Totalmente notificado | National Cyber Security Centre (NCSC) | La Ley de Ciberseguridad modificada de Lituania entró en vigor el 18 oct. 2024; la Resolución Gubernamental sobre la Aplicación siguió el 12 nov. 2024. El NCSC notificó el registro inicial de 1.443 entidades alrededor del 17 abr. 2025; el cumplimiento es escalonado (medidas organizativas ~17 abr. 2026 — inminente; medidas técnicas ~17 abr. 2027). Lituania amplía el ámbito más allá de la Directiva (administración pública local, entidades críticas de I+D, proveedores de alojamiento de información electrónica), exige la designación de un responsable de ciberseguridad y requiere que las entidades esenciales se sometan a una evaluación de conformidad independiente trienal. Plenamente notificada a la Comisión Europea. |
| Luxemburgo | Borrador | ILR (proposed) / CSSF (financial, proposed); HCPN coordination | Proyecto 8364 presentado el 13 de marzo de 2024, no promulgado a abril de 2026; plazo UE incumplido el 17 de octubre de 2024; dictamen motivado de la CE de 7 de mayo de 2025; opinión complementaria del Consejo de Estado de diciembre de 2025; el marco NIS1 sigue aplicándose; modelo supervisor dividido propuesto (ILR mayoría de sectores / CSSF financiero / HCPN coordinación); ámbito ampliado (~6.000–8.000 entidades); plataforma SERIMA lanzada por el ILR; promulgación esperada durante 2026. |
| Malta | Totalmente notificado | CIPD (primary) / MCA (digital + postal); CSIRT Malta (incidents) | NIS2 transpuesta mediante el Legal Notice 71 of 2025 (S.L. 460.41), publicado el 8 de abril de 2025 y plenamente en vigor desde el 23 de enero de 2026 en virtud del L.N. 22 of 2026; sustituye al NIS1 (L.N. 216/2018). El CIPD es supervisor principal; la MCA es competente para infraestructura digital y servicios postales/de mensajería; CSIRT Malta (dentro del CIPD) gestiona la respuesta a incidentes; el CIPAB asesora sobre sanciones. Las entidades deben autorregistrarse ante el CIPD y designar un CSIRT interno/autónomo; las primeras auditorías formales se esperan para el segundo semestre de 2027. |
| Países Bajos | Borrador | Sector-specific competent authorities (proposed under Cbw); NCSC (CSIRT) | Los Países Bajos están transponiendo NIS2 mediante la Cyberbeveiligingswet (Cbw), una nueva norma que sustituirá a la Wbni. La Cbw se presentó ante la Tweede Kamer el 4 de junio de 2025 y, a abril de 2026, aún no ha sido aprobada; la entrada en vigor se prevé para el segundo trimestre de 2026 (inminente). Los Países Bajos incumplieron el plazo de transposición del 17 de octubre de 2024 y recibieron un dictamen motivado de la Comisión Europea el 7 de mayo de 2025. La Cbw establece un modelo de supervisión multirregulador con autoridades competentes sectoriales (p. ej., RDI para infraestructura digital, ILT para transporte); el NCSC actúa como CSIRT nacional y coordinador. La notificación de incidentes genera una doble obligación (NCSC + autoridad sectorial); la formación en ciberseguridad para los órganos de dirección es obligatoria. El registro voluntario a través de mijn.ncsc.nl está activo desde el 17 de octubre de 2024. |
| Polonia | Totalmente notificado | Ministry of Digital Affairs (lead) / sectoral ministries (supervision); CSIRT GOV, NASK, MON (incidents) | Polonia completó la transposición de NIS2 mediante una enmienda a la UKSC (Ley sobre el Sistema Nacional de Ciberseguridad); adoptada por el Sejm el 23/01/2026; firmada por el Presidente el 19/02/2026; en vigor desde el 03/04/2026 (vacatio legis de un mes); ~18 meses después del plazo del 17/10/2024; dictamen motivado de la CE del 07/05/2025 — procedimiento de infracción resuelto al completarse la transposición. Modelo multiautoridad — el Ministerio de Asuntos Digitales lidera + mantiene el registro; los ministerios sectoriales competentes supervisan; tres CSIRT nacionales (GOV/NASK/MON) + CSIRT sectoriales gestionan los incidentes. SGSI obligatorio (PN-EN ISO/IEC 27001 + ISO 22301); auditoría bienal; formación indelegable del consejo + responsabilidad personal; mecanismo intersectorial de proveedores de alto riesgo (en revisión por el Tribunal Constitucional); sanciones elevadas hasta 100 M PLN (~24 M €). Cumplimiento por fases: registro antes del 03/10/2026; SGSI completo antes del 03/04/2027; primera auditoría antes del 03/04/2028. |
| Portugal | Totalmente notificado | CNCS (lead) / sectoral + special supervisory authorities; Crisis Office (coordination) | Portugal completó la transposición de NIS2 mediante el Decreto-Ley n.º 125/2025 (Regime Jurídico da Cibersegurança); publicado el 4 de diciembre de 2025; en vigor desde el 3 de abril de 2026 (120 días después de la publicación); sustituye íntegramente la Ley 46/2018 y el Decreto-Ley 65/2021; incumplió el plazo del 17 de octubre de 2024; el dictamen motivado de la CE de 7 de mayo de 2025 quedó resuelto con la publicación. Modelo de supervisión multinivel — CNCS como autoridad líder + autoridades sectoriales y de supervisión especiales + nueva Oficina de Crisis. Responsable de ciberseguridad obligatorio (miembro del órgano de dirección o dependiente directo) y punto de contacto permanente 24/7 con el CNCS, ambos con vencimiento el 4 de mayo de 2026 (20 días hábiles desde la entrada en vigor — próximo). Clasificación de organismos públicos en Grupo A / Grupo B. Cumplimiento por fases — registro en la plataforma del CNCS 60 días después del lanzamiento (fecha por confirmar); obligaciones principales (gestión de riesgos, cadena de suministro, notificación anual) 24 meses después de la publicación de los reglamentos de desarrollo del CNCS. |
| Rumanía | Totalmente notificado | National Cybersecurity Directorate (DNSC) | Rumanía completó la transposición de NIS2 mediante GEO 155/2024 (adoptada el 30 dic 2024; en vigor desde el 31 dic 2024); refinada por la Ley 124/2025 (en vigor desde el 10 jul 2025) que amplía el sector sanitario a la cadena de suministro farmacéutica y farmacias minoristas (NACE 4773); operativizada mediante Órdenes DNSC 1/2025 (registro) y 2/2025 (evaluación de riesgos), ambas en vigor desde el 20 ago 2025; disposiciones sancionadoras desde el 30 ene 2025; autoridad principal DNSC; facultad de duplicar la multa máxima en casos agravados (incl. topes de 10 M€ / 2 %); designación obligatoria de persona responsable de ciberseguridad (independiente del jefe operativo de TI) y formación obligatoria en ciberseguridad para la dirección; registro de entidades vía la plataforma NIS2@RO — plazo inicial ~19 sep 2025 (vencido); solo los registros posteriores al 20 ago 2025 son legalmente válidos; cadena de cumplimiento de cuatro pasos — registro → autoevaluación de nivel de riesgo → autoevaluación de madurez (en 60 días) → plan de remediación (en 30 días); excluidas las entidades de defensa nacional, orden público, seguridad nacional, MAE y aplicación de la ley. |
| Eslovaquia | Totalmente notificado | NBÚ (lead) / sector ministries (supervision); SK-CERT (incidents) | Eslovaquia completó la transposición de NIS2 mediante la <strong>Ley Nº 366/2024 Coll.</strong>, que modifica la Ley de Ciberseguridad Nº 69/2018 Coll.; aprobada por el Consejo Nacional el 28 nov 2024; publicada en la Recopilación de Leyes el 19 dic 2024; en vigor desde el 1 ene 2025; Eslovaquia es el 4º Estado miembro de la UE en completar la transposición; se prevé que entre 3.500 y 14.000 entidades estén dentro del ámbito; autoridad principal NBÚ (Národný bezpečnostný úrad); SK-CERT (National Cyber Security Centre, dentro del NBÚ) gestiona la respuesta a incidentes; ministerios sectoriales (p. ej., Salud, Transporte) tienen funciones complementarias; marco alineado con la familia de normas ISO 27000; Reglamento de Medidas de Seguridad de apoyo desarrollado durante 2025; los terceros de la cadena de suministro están explícitamente regulados como entidades directas (más allá del mínimo de la Directiva); registro a través de la plataforma JISKB — plazo inicial ~1 mar 2025 (vencido); nuevas entidades 60 días desde su entrada en el ámbito; cumplimiento total de todas las obligaciones requerido para el 31 dic 2026; SK-CERT puede solicitar un informe intermedio entre la notificación a las 72 horas y el informe final. |
| Eslovenia | Totalmente notificado | URSIV (lead/NCC-SI/SPOC); SI-CERT (private) / SIGOV-CERT (gov) (incidents) | Eslovenia completó la transposición de NIS2 mediante la Ley de Seguridad de la Información (ZInfV-1) (Zakon o informacijski varnosti); adoptada por la Asamblea Nacional el 23 de mayo de 2025; publicada en el Boletín Oficial n.º 40/25 el 4 de junio de 2025; en vigor desde el 19 de junio de 2025; nueva ley integral que sustituye a la anterior ZInfV (2018); adoptada por procedimiento de urgencia tras el dictamen motivado de la CE de 7 de mayo de 2025; autoridad principal URSIV (Oficina Gubernamental para la Seguridad de la Información), también actuando como NCC-SI y punto de contacto único nacional; SI-CERT (operado por ARNES) como CSIRT nacional para el sector privado; SIGOV-CERT para instituciones gubernamentales; ámbito ampliado más allá del mínimo de la Directiva para incluir instituciones de investigación y enseñanza superior; marco de requisitos de ciberseguridad anexo a la ley; ISO/IEC 27001 como norma aplicable; ISMS + BCMS obligatorios; plazo de registro ante URSIV 19 de diciembre de 2025 (vencido); nuevas entidades 30 días desde su inclusión; plazos escalonados de gestión de riesgos — 19 de junio de 2026 (prestadores de servicios esenciales bajo la anterior ZInfV) / 19 de diciembre de 2026 (resto de entidades esenciales/importantes); evaluación de conformidad por un CAB acreditado al menos cada 2 años para entidades esenciales. |
| España | Borrador | CNC (proposed lead/SPOC); CCN-CERT (public) / INCIBE-CERT (private) / ESPDEF-CERT (defence) (CSIRTs) | España aún no ha promulgado su transposición de NIS2; el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros el 14 de enero de 2025; pendiente de debate parlamentario en las Cortes Generales a abril de 2026; incumplió el plazo del 17 de octubre de 2024; dictamen motivado de la CE de 7 de mayo de 2025; sigue siendo posible la remisión al TJUE; el marco NIS1 vigente (RD-Ley 12/2018) sigue aplicándose; el anteproyecto crea un nuevo Centro Nacional de Ciberseguridad (CNC) como autoridad principal, punto de contacto único ante la UE y coordinador de crisis; tres CSIRT de referencia designados — CCN-CERT (sector público), INCIBE-CERT (entidades privadas), ESPDEF-CERT (Fuerzas Armadas); notificación de incidentes a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes; ámbito ampliado más allá del mínimo de la Directiva para incluir universidades, centros de investigación, grandes municipios, empresas de seguridad privada, entidades con implicaciones para la defensa nacional y empresas extranjeras con establecimiento permanente en España; estructura escalonada de sanciones nacionales (leves €10.000–€100.000; graves €100.001–€500.000; muy graves €500.001–€2 M; topes superiores de tipo NIS2 para los casos más graves); se exigirá un Responsable de Seguridad de la Información por entidad una vez promulgada la ley. |
| Suecia | Totalmente notificado | MSB/MCF (lead/coordinator/SPOC/CSIRT); PTS (digital sectors); sector authorities | Suecia ha completado la transposición de la NIS2 mediante la Cybersäkerhetslagen (Ley de Ciberseguridad, SFS 2025:1506), aprobada por el Riksdag el 10 de diciembre de 2025 y en vigor desde el 15 de enero de 2026 — una nueva ley integral que sustituye a la Ley de Seguridad de la Información 2018:1174; en paralelo se dictó la Cybersäkerhetsförordningen. Suecia incumplió el plazo del 17 de octubre de 2024 y recibió un dictamen motivado de la CE el 7 de mayo de 2025 (resuelto tras la adopción). MSB (Myndigheten för samhällsskydd och beredskap) fue renombrada MCF (Myndigheten för civilt försvar — Agencia Sueca de Defensa Civil y Resiliencia) el 1 de enero de 2026; MSB/MCF actúa como coordinador nacional, punto de contacto único de la UE y CSIRT nacional. Suecia opera un modelo de supervisión descentralizado — las autoridades sectoriales supervisan sus respectivos sectores, mientras que PTS (Post- och telestyrelsen — Agencia Sueca de Correos y Telecomunicaciones) corregula la infraestructura digital, los proveedores digitales, la gestión de servicios TIC (B2B), el espacio y los servicios postales y de mensajería. Enfoque de entidad completa — toda la huella informática de las entidades en ámbito debe cumplir. La formación obligatoria de la dirección es sancionable. Los proveedores de servicios de confianza deben presentar tanto la alerta temprana como la notificación de incidente en un plazo de 24 horas (excepción al plazo de 72h). Prohibición temporal de ejercer funciones directivas posible para miembros de órganos de dirección de entidades esenciales. Plazo de registro 16 de febrero de 2026 (vencido); portal de notificación MSB/MCF activo desde el 2 de febrero de 2026; todas las obligaciones se aplican de inmediato desde el 15 de enero de 2026 sin periodo de gracia general. |
Muchos de estos Estados miembros han adoptado leyes primarias, pero aún necesitan una legislación secundaria completa y la notificación de la Comisión antes de que la aplicación se considere completa.
Leyenda de estado
- Totalmente notificado = transposición nacional adoptada y sin opinión motivada abierta de la Comisión sobre notificación incompleta.
- Adoptado = ley de transposición nacional adoptada (o publicada) pero la Comisión ha solicitado más información / exhaustividad de la notificación (o la notificación aún está por confirmar). Si la ley ya está en vigor pero la notificación está pendiente de revisión, se indica.
- Borrador = proceso legislativo en curso / no hay ley nacional final publicada.
Notas clave de implementación
Fecha límite y acción de la Comisión
Todos los Estados miembros debían transponer la NIS2 antes del 17 de octubre de 2024; la mayoría incumplió este plazo. El 7 de mayo de 2025, la Comisión Europea emitió dictámenes motivados a 19 Estados miembros por no notificar la transposición completa.
"Adoptado" vs. "Totalmente Notificado"
Algunos Estados miembros han promulgado leyes nacionales, pero aún no han notificado completamente todas las medidas de implementación a la Comisión. Otros Estados miembros todavía están en fase de borrador o revisión legislativa/parlamentaria.
Aplicación y preparación regulatoria
Siempre que la legislación nacional esté en vigor, el registro de entidades, la elaboración de informes de incidentes, las competencias de supervisión y las sanciones (hasta 10 millones de EUR o el 2 % de la facturación para las entidades esenciales) se están aplicando progresivamente mediante reglamentos secundarios.
Aplicación pendiente
En los Estados miembros con estado de Adoptado o Borrador, las obligaciones de registro y presentación de informes aún no son exigibles hasta que la legislación nacional esté en vigor y las autoridades hayan publicado los instrumentos jurídicos y los portales. Esto no impide que las PYME diligentes inicien ahora sus trayectorias de cumplimiento de la NIS2.
Aclaraciones de la autoridad competente
En toda la UE, los Estados miembros designan una o varias autoridades competentes responsables de la aplicación y el cumplimiento de la NIS2.
Supervisión del cumplimiento
Supervisión del cumplimiento de las obligaciones de la NIS2 por parte de las entidades esenciales e importantes
Recepción de informes de incidentes
Procesamiento y coordinación de las respuestas a las notificaciones de incidentes de ciberseguridad
Mantenimiento de listas de entidades
Mantenimiento de registros de entidades esenciales e importantes dentro de su jurisdicción
Aplicación de requisitos
Implementación de requisitos de gestión de riesgos y gobernanza mediante acciones reguladoras
Tipos de autoridad típicos
- Autoridades/Agencias Nacionales de Ciberseguridad o reguladores de ciberseguridad dedicados (por ejemplo, CCB, ACN, NUKIB, ANSSI)
- Reguladores sectoriales para finanzas, telecomunicaciones, energía, donde se delegan responsabilidades
- Los CSIRT cumplen funciones de coordinación e informes en virtud de la legislación nacional