Implementación de NIS2 en toda Europa
El plazo de transposición era el 17 de octubre de 2024. A principios de 2026, la mayoría de los Estados miembros de la UE lo habían incumplido, lo que dio lugar a procedimientos de infracción y a un panorama de cumplimiento fragmentado en toda Europa.
Última actualización: 17. Juni 2026
20
Operativo
1
Registro previo
4
Previsto
2
Aún no disponible
| País | Autoridad competente | Portal de registro | Plazo de registro | Legislación nacional |
|---|---|---|---|---|
| Alemania | BSI (Bundesamt für Sicherheit in der Informationstechnik) | BSI NIS-2 Portal | 2026-03-06 | NIS2UmsuCG / BSIG |
| Bélgica | CCB (Centre for Cybersecurity Belgium) | Safeonweb@Work | 2025-03-18 | NIS2 Law (Loi NIS2) |
| Italia | ACN (Agenzia per la Cybersicurezza Nazionale) | ACN NIS Portal | 2026-02-28 | D.Lgs. 138/2024 |
| República Checa | NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) | Portál NUKIB | 2025-12-31 | Zákon č. 264/2025 Sb. o kybernetické bezpečnosti |
| Dinamarca | SAMSIK (Styrelsen for Samfundssikkerhed) | Virk | 2025-10-01 | LOV nr 434 af 06/05/2025 (NIS 2-loven) |
| Polonia | Ministry of Digital Affairs / CSIRTs | System S46 | 2026-10-03 | Amended KSC Act (ustawa o KSC) |
| Suecia | MCF (Myndigheten foer civilt foersvar, vormals MSB) + CERT-SE | Aún no disponible | Por determinar | Cybersaekerhetslagen (SFS 2025:1506) |
| Croacia | NHCSC-HR (National Cybersecurity Center) | Aún no disponible | Por determinar | Zakon o kibernetičkoj sigurnosti |
| Lituania | NKSC (National Cybersecurity Center) | Aún no disponible | Por determinar | Kibernetinio saugumo įstatymas |
| Letonia | CERT.LV / NCSC | Aún no disponible | 2025-04-01 | Kiberdrošības likums |
| Grecia | NCSA (National Cyber Security Authority) | Aún no disponible | 2025-09-30 | Law No. 5160/2024 |
| Eslovaquia | NBÚ (Národný bezpečnostný úrad) | Aún no disponible | Por determinar | Zákon o kybernetickej bezpečnosti |
| Rumanía | DNSC (Directoratul Național de Securitate Cibernetică) | Aún no disponible | 2025-09-19 | Emergency Ordinance No. 155/2024; Laws No. 52/2025 & No. 124/2025 |
| Finlandia | Traficom + sector authorities (NCSC-FI as national CSIRT) | Aún no disponible | 2025-05-08 | Kyberturvallisuuslaki (124/2025) |
| Estonia | RIA (Riigi Infosüsteemi Amet) | Aún no disponible | Por determinar | Küberturvalisuse seadus |
| Portugal | CNCS (Centro Nacional de Cibersegurança) + CERT.PT | MyCiber | Por determinar | Decreto-Lei n.º 125/2025 |
| Hungría | SZTFH (Szabályozott Tevékenységek Felügyeleti Hatósága) | Aún no disponible | Por determinar | Act XXIII of 2024 |
| Chipre | DSA (Digital Security Authority) | NIS2 Self-Assessment Tool | Por determinar | Law on Security of Networks and Information Systems (Amendment) 2025 |
| Luxemburgo | ILR (Institut Luxembourgeois de Régulation) | ILR Guichet (NISS_EE231) | 2026-07-10 | Loi du 5 mai 2026 relative à des mesures visant à assurer un niveau élevé de cybersécurité |
| Eslovenia | URSIV (Information Security Agency) | Aún no disponible | 2025-12-19 | ZInfV-1 (Information Security Act) |
| País | Autoridad competente | Portal de registro | Plazo de registro | Legislación nacional |
|---|---|---|---|---|
| Francia | ANSSI (Agence nationale de la sécurité des systèmes d'information) | MonEspaceNIS2 | Por determinar | Loi Résilience (bundles NIS2 + DORA + CER) |
| País | Autoridad competente | Portal de registro | Plazo de registro | Legislación nacional |
|---|---|---|---|---|
| Austria | Bundesamt für Cybersicherheit | Unternehmensserviceportal (USP) | 2026-12-31 | NISG 2026 |
| Países Bajos | NCSC-NL (since 1 Jan 2026 merged with DTC and CSIRT-DSP into "versterkt NCSC", SPOC + national CSIRT) + RDI (Rijksinspectie Digitale Infrastructuur, horizontal supervisor) | MijnNCSC / Entiteitenregister | Por determinar | Cyberbeveiligingswet (Cbw, wetsvoorstel 36.764) |
| Bulgaria | State e-Governance Agency / Ministry of e-Government | Aún no disponible | Por determinar | Cybersecurity Act (amended) |
| Malta | CIPD (Critical Infrastructure Protection Department) | Aún no disponible | Por determinar | Legal Notice 71/2025, amended by Legal Notice 89/2026 (S.L. 460.41) |
| País | Autoridad competente | Portal de registro | Plazo de registro | Legislación nacional |
|---|---|---|---|---|
| España | CCN-CERT / INCIBE | Aún no disponible | Por determinar | Aún no promulgada |
| Irlanda | NCSC (National Cyber Security Centre) | Aún no disponible | Por determinar | National Cyber Security Bill (draft) |
Vender en un país no es lo mismo que operar en un país
Muchas empresas venden sus productos o servicios por toda la UE a través de una única entidad jurídica registrada en un país. En ese caso, el registro ante la autoridad de tu país de origen es suficiente, no estás "establecido" en cada país en el que vendes.
Sin embargo, si tu empresa es plenamente operativa en un país, es decir, tienes una presencia jurídica registrada, empleados sobre el terreno y pagas el impuesto de sociedades allí, entonces la legislación NIS2 de ese país te aplica como entidad establecida en esa jurisdicción.
El Artículo 26 de NIS2 crea una excepción importante para tipos específicos de servicios digitales: proveedores de computación en la nube, proveedores de servicios gestionados, proveedores de servicios gestionados de seguridad, proveedores de centros de datos, redes de distribución de contenidos, proveedores de servicios DNS, mercados en línea, motores de búsqueda en línea y plataformas de redes sociales. Estas entidades se registran en un único Estado miembro de la UE, aquel en el que se toman predominantemente las decisiones de gestión de riesgos de ciberseguridad. Si operas uno de estos servicios, no necesitas registrarte en cada país en el que estás establecido. Todos los demás tipos de entidades (fabricantes, empresas de alimentación, proveedores de energía, operadores de transporte, hospitales, etc.) entran bajo la regla estándar y deben registrarse en cada país en el que tengan un establecimiento jurídico.
Preguntas frecuentes
Tengo una oficina de ventas en Alemania pero mi sede está en Francia, ¿me registro ante el BSI?▾
Depende de cómo esté estructurada la oficina de ventas alemana. Si es una GmbH o Zweigniederlassung (sucursal) registrada que presenta su propia declaración fiscal en Alemania, probablemente necesites registrarte ante el BSI además de ante la ANSSI en Francia. Si es simplemente un centro de coste de la matriz francesa sin entidad jurídica separada en Alemania, el registro francés por sí solo puede bastar. Consulta a un abogado familiarizado con NIS2 en ambas jurisdicciones.
¿Necesito cumplir con requisitos de seguridad diferentes en cada país?▾
NIS2 establece una línea base armonizada, pero la transposición de cada país puede añadir requisitos sectoriales más estrictos. En la práctica, implementar la línea base de NIS2 (gestión de riesgos, notificación de incidentes, control de acceso, seguridad de la cadena de suministro) satisfará los requisitos en la mayoría de los países de la UE. Comprueba la legislación nacional de cada país por si hubiera obligaciones adicionales.
¿Qué pasa si un país aún no ha terminado de transponer NIS2?▾
Algunos países de la UE se retrasaron en la transposición de la directiva (el plazo era octubre de 2024). Hasta que la legislación nacional no esté en vigor, puede que el registro aún no sea posible. Vigila el sitio web de la autoridad nacional pertinente y regístrate en cuanto se abra el proceso. La transposición tardía por parte del gobierno no reduce tu eventual obligación legal.
¿Puedo registrarme una sola vez a nivel de la UE y cubrir todos los países?▾
No. No existe un registro NIS2 único a nivel de la UE. Cada país opera su propio sistema de registro. Esta es una de las complejidades conocidas de la implementación descentralizada de la directiva y genera una carga de cumplimiento significativa para las empresas paneuropeas.
- Directiva (UE) 2022/2555: Directiva NIS2, Diario Oficial de la Unión Europea (27 de diciembre de 2022)
- Comisión Europea: rastreador de transposición de NIS2 y actualizaciones de los procedimientos de infracción (2024-2025)
- Wavestone: Radar de transposición de NIS2, estado de implementación país por país (2025)
- NIS2UmsuCG: Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit (Alemania)
- Loi NIS2: ley belga de transposición de NIS2 (abril de 2024)
- D.Lgs. 138/2024: decreto italiano de transposición de NIS2
- ENISA: panorama de implementación de NIS2 y orientación sobre coordinación transfronteriza (2025)
- BMI/BSI: documentación parlamentaria y orientación sobre la implementación de la NIS2UmsuCG