OTAN separación Estados Unidos Europa
OTAN separación Estados Unidos Europa
EuropaÚltimas Noticias

Bruselas exige a España transponer ‘con urgencia’ la directiva de ciberseguridad tras un año de infracción

La Comisión Europea envía una segunda advertencia al Gobierno de Sánchez por el retraso de NIS2. La norma, que afecta a 18 sectores clave, sigue estancada en el Congreso mientras los ciberataques crecen un 26%.

por Angie Rivas

EN 30 SEGUNDOS

  • ¿Qué ha pasado? Bruselas ha enviado una segunda advertencia formal al Gobierno de Pedro Sánchez para que transponga de inmediato la directiva NIS2 de ciberseguridad, cuyo plazo expiró el 17 de octubre de 2024.
  • ¿Quién está detrás? La vicepresidenta ejecutiva de Soberanía Tecnológica, Henna Virkkunen, firma la carta. El expediente INFR(2024)0270 podría acabar en el Tribunal de Justicia de la UE con multas diarias.
  • ¿Qué impacto tiene? La parálisis legislativa deja desprotegidos a 18 sectores críticos y reabre el debate sobre la dependencia tecnológica china en administraciones y empresas estratégicas, con un aumento del 26 % en ciberataques en 2025.

La Comisión Europea ha enviado una segunda advertencia formal al Gobierno de Pedro Sánchez, en la que le exige transponer ‘con urgencia’ la directiva de ciberseguridad NIS2. El texto lo firma Henna Virkkunen, vicepresidenta ejecutiva responsable de Soberanía Tecnológica, y está fechado el 19 de mayo. España acumula ya más de un año en procedimiento de infracción abierto en noviembre de 2024, y la carta es el paso previo a demandar al Estado ante el Tribunal de Justicia de la Unión Europea, con posibilidad de imponer sanciones económicas diarias.

El plazo para incorporar la Directiva NIS2 al ordenamiento jurídico español venció el 17 de octubre de 2024. El Consejo de Ministros aprobó un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en enero de 2025, pero la norma sigue atascada en el Congreso de los Diputados, sin mayoría parlamentaria suficiente para avanzar. La Comisión había emitido un dictamen motivado el 7 de mayo de 2025, y la falta de avances ha llevado a Virkkunen a reiterar que la transposición debe hacerse urgentemente.

La carta de Virkkunen: un aviso con las multas diarias en el horizonte

El escrito, al que ha podido tener acceso este periódico, responde a una pregunta parlamentaria del eurodiputado del Partido Popular Juan Ignacio Zoido, quien consultó si las brechas de seguridad que sufre España representan un riesgo para la Unión. Virkkunen lo corrobora sin ambages: ‘los ciberataques perturban las infraestructuras críticas y la estabilidad económica’. A continuación, subraya que una ciberseguridad sólida ‘es fundamental’ para el conjunto de la UE y deja claro que la ausencia de transposición agrava la vulnerabilidad.

Publicidad

El procedimiento de infracción INFR(2024)0270 abierto contra España es sintomático de un problema de fondo. El país se ha convertido en el Estado miembro más multado por incumplimientos de este tipo. Lo reconoce sin rodeos Zoido: ‘Estamos en la cola de la UE’. El bloqueo legislativo, insiste, demuestra que ‘no hay nadie al volante en asuntos de seguridad’. Y las cifras le dan la razón.

Con más de 122.000 incidentes detectados en 2025, un 26 % más que el año anterior, España es hoy uno de los países más castigados por los ciberataques en Europa.

Las brechas de seguridad que han puesto a España en el punto de mira

La urgencia de Bruselas no surge en el vacío. El 28 de febrero de 2026, el grupo PoliceEspDoxed publicó en un foro de hackers las credenciales de acceso a sistemas de la Policía Nacional y la Guardia Civil. Veinticuatro horas después, el mismo actor divulgó datos personales de los miembros del Consejo de Seguridad Nacional, incluidos teléfonos de ministros como Yolanda Díaz, Félix Bolaños o María Jesús Montero, y hasta domicilios del presidente del Gobierno. No era la primera vez que el móvil de Sánchez quedaba expuesto: en mayo de 2021, durante un viaje a Ceuta, su dispositivo fue infectado con el ‘spyware’ Pegasus en un ataque que se atribuye extraoficialmente a los servicios secretos marroquíes.

Según el CCN-CERT, España sufre casi 2.000 ciberataques semanales. La directiva NIS2 habría introducido, de estar traspuesta, tres cambios cruciales: la obligación de evaluar formalmente a los proveedores tecnológicos —lo que habría forzado una revisión del contrato de 12,3 millones de euros adjudicado por Interior a Huawei en julio de 2025 para el mantenimiento de SITEL—, un protocolo de notificación de incidentes en 24 horas, y la responsabilidad personal de los directivos, incluyendo inhabilitación, por contratar con proveedores de alto riesgo sin auditoría.

La paradoja es aún mayor cuando se observa que cámaras de Hikvision, vetada en Estados Unidos desde 2022 por sus vínculos con el Partido Comunista Chino, vigilan la Moncloa, el Ministerio del Interior, Renfe, ADIF y Correos. Miembros del Comité de Inteligencia de la Cámara de Representantes estadounidense pidieron formalmente al Gobierno de Trump que suspendiera la cooperación en seguridad e inteligencia con España a causa de esta dependencia tecnológica de Pekín. El retraso en la ley deja al país sin las herramientas para auditar esos contratos.

Bruselas infracción

El Eje del Poder Europeo

La carta de Virkkunen no es solo una cuestión técnica: revela el desgaste de la posición negociadora de España en Bruselas y reabre la fractura sobre la soberanía tecnológica en la UE. El expediente confirma que el Gobierno de Sánchez ha consumido casi dos años sin lograr la mayoría necesaria, mientras otros Estados miembros como Francia, Alemania o incluso Lituania han avanzado en sus transposiciones. Para el eje franco-alemán, la ciberseguridad es una prioridad geopolítica; para España, una patata caliente que evidencia su debilidad parlamentaria y sus vínculos comerciales con proveedores chinos que la UE catalogó en 2023 como de alto riesgo.

Este bloqueo se inserta en un patrón más amplio: España es el socio que más expedientes de infracción acumula en la Unión, muchos de ellos por no transponer directivas en materia digital y medioambiental. La Comisión ha agotado la paciencia. Si no hay avances legislativos en las próximas semanas, el TJUE podría imponer multas diarias que, según cálculos internos de Moncloa.com basados en precedentes similares, rondarían los 30.000 euros diarios hasta que se subsane el incumplimiento.

Publicidad

Desde la oposición, el PP ha utilizado la respuesta de Virkkunen para cargar contra el Ejecutivo, mientras que el Gobierno insiste en que el bloqueo parlamentario es la causa del retraso. Pero la realidad administrativa es más dura: el Consejo de Ministros ni siquiera llevó el anteproyecto a las Cortes hasta enero de 2025, nueve meses después de tener la directiva en vigor y tres meses después de vencer el plazo. La inacción no se explica solo por la aritmética del Congreso.

La próxima ventana crítica es septiembre de 2026, cuando la Comisión evalúe los progresos. Si para entonces la ley no está aprobada, el caso irá con toda probabilidad al Tribunal de Luxemburgo. Y ahí, las multas diarias no serán una hipótesis. Mientras, los datos de ciberataques siguen al alza y los proveedores de riesgo continúan operando con contratos públicos sin auditoría. Bruselas ya ha dicho lo que viene después. Ahora falta que en el Congreso alguien tome el volante.

Artículo anterior
Feijóo presenta sus propuestas al Cercle d’Economía ante la élite empresarial catalana
Artículo siguiente
Más Madrid pide prohibir la predicación religiosa en el Metro de Madrid
Publicidad
Publicidad