Las últimas filtraciones de datos conocidas en instituciones del Estado han devuelto la ciberseguridad española al primer plano. Pero aquí hay un matiz clave. Bruselas no abrió ahora su expediente por esos hackeos, sino antes, por el retraso de España en adaptar la directiva NIS2 al derecho nacional.
¿Por qué importa tanto un retraso legal que suena a letra pequeña? Porque esa norma obliga a sectores críticos y a parte de la Administración a reforzar defensas, evaluar riesgos y avisar rápido cuando hay incidentes graves. El plazo europeo venció el 17 de octubre de 2024 y la Comisión Europea ya había enviado a España una carta de emplazamiento y, después, un dictamen motivado.
Qué es la NIS2 y qué cambia de verdad
Para entender el choque, conviene bajar la teoría al suelo. La NIS2 es el gran marco europeo de ciberseguridad para servicios esenciales y sectores críticos, desde salud y energía hasta servicios digitales y administraciones públicas. No es un antivirus mágico, pero sí una red mínima de reglas para prevenir fallos y reaccionar antes cuando hay problemas.
Tampoco sirve para explicar por sí sola cualquier incidente reciente. El propio texto europeo incluye a la administración pública, pero deja fuera actividades ligadas de forma predominante a seguridad nacional, defensa y fuerzas de seguridad. En otras palabras, el retraso español pesa, aunque no todos los casos recientes encajan automáticamente en la misma casilla.
El expediente europeo ya estaba abierto
La Comisión movió ficha el 28 de noviembre de 2024, cuando abrió procedimientos de infracción contra 23 Estados por no trasponer por completo la directiva. El 7 de mayo de 2025 fue un paso más allá y envió a España un dictamen motivado, el último aviso antes de una posible llegada al Tribunal de Justicia de la UE.
En España, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad el 14 de enero de 2025. Fernando Grande-Marlaska defendió entonces que la norma respondía a una «grave amenaza» para redes y sistemas de información. Pero documentos oficiales publicados todavía en enero de 2026 seguían describiendo ese texto como un anteproyecto «en tramitación«.
Por qué las brechas hacen más ruido ahora
El contexto no ayuda nada. El balance de 2025 del INCIBE habla de 122.223 incidentes de ciberseguridad, un 26 por ciento más que en 2024, y de 401 incidentes en operadores esenciales e importantes. En términos simples, una brecha de datos es un acceso no autorizado a información personal.
Además, la agencia europea ENISA lleva tiempo avisando de que la administración pública es uno de los blancos favoritos en la UE. Su último análisis recuerda que maneja grandes volúmenes de datos sensibles y que una brecha no solo interrumpe servicios, también erosiona la confianza pública. Por eso el retraso con la NIS2 ya no suena a un atasco burocrático, sino a una debilidad que en Bruselas cuesta cada vez más justificar.
La fuente oficial principal se ha publicado en la Comisión Europea.
