Guía NIS2 · 6 min
Estado de transposición de NIS2: en qué países de la UE está en vigor
NIS2 es una directiva de la UE, lo que significa que cada Estado miembro debe incorporarla a su propia ley nacional antes de que sea exigible. El plazo de transposición fue el 17 de octubre de 2024. Venció con la mayoría de los países aún redactando, y desde entonces se han puesto al día a ritmos muy distintos. Esta página sigue la situación de cada uno de los 27 Estados miembros y por qué las diferencias le afectan aunque su propio país vaya con retraso.
Puntos clave
- • NIS2 debía estar en ley nacional el 17 de octubre de 2024; muchos Estados miembros lo incumplieron.
- • La obligación le alcanza a través de sus clientes, no solo por la ley de su propio país.
- • El estado cambia constantemente: confirme siempre con las fuentes oficiales de la UE y nacionales.
Dónde están los 27 Estados miembros
20 de 27
ley nacional en vigor
7 de 27
transposición en curso
Por qué el mosaico le alcanza igualmente
Es tentador relajarse si su país no ha terminado su ley. Es una lectura equivocada. La obligación de cadena de suministro de NIS2 (artículo 21, apartado 2, letra d) se traslada por contrato: si tan solo uno de sus clientes está establecido en un Estado miembro donde la ley ya está en vigor, ese cliente debe evaluar y seguir evaluando su seguridad, esté usted donde esté. En la práctica, los países que transponen antes marcan el ritmo para todos los que les venden.
Estado por país
Cada país enlaza a su propia página: autoridad competente, CSIRT nacional, ley nacional y fechas clave.
En vigor (20)
En curso (7)
Cómo lo mantenemos al día
La transposición nacional es un objetivo móvil. Revisamos cada país con la autoridad nacional oficial y el rastreador de transposición de la Comisión Europea, y fechamos cada entrada para que vea su actualidad. Para el detalle por país en tiempo real, use las páginas de países de arriba o directamente el rastreador de la Comisión.
Rastreador de transposición de la Comisión EuropeaVea monitorización de proveedores de nivel NIS2
Un informe de proveedor de ejemplo (hallazgos, asignación NIS2 y evidencias) en dos minutos.
7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera
Guías relacionadas
Cómo cumplir NIS2: una hoja de ruta paso a paso
Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.
¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño
Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.
NIS2 para proveedores: usted no está designado, pero sus clientes sí
La mayoría de las empresas nunca son designadas conforme a NIS2, pero muchas deben cumplirla igualmente. Cómo el deber de cadena de suministro de un cliente afectado (artículo 21, apartado 2, letra d) desciende hasta usted, qué pedirá y cómo responder de forma creíble.
NIS2 y el requisito de la cadena de suministro: qué significa en la práctica
NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.
Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado
Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.
NIS2 Art. 21(2): lista de verificación de seguridad para proveedores
Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.
Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita
Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.
Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados
Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.
NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber
Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.
ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no
Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.
Multas y sanciones NIS2: cuánto, quién es responsable y cómo evitarlas
Qué son las sanciones NIS2: los topes del artículo 34 (10 M€ / 2 % para entidades esenciales, 7 M€ / 1,4 % para importantes), la responsabilidad personal de la dirección (art. 20, art. 32), las medidas no pecuniarias y cómo evitarlas.
NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica
En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.
RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos
En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.
El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro
Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.
El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)
Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.
Cláusulas contractuales para proveedores NIS2: qué exigir a sus proveedores
Las cláusulas que hacen exigible la obligación de cadena de suministro de NIS2: mínimo de seguridad, ventana de notificación, derechos de prueba y auditoría, traslación a subcontratistas y verificación continua.
Última revisión: 19 de junio de 2026
Esta guía es información general sobre el Derecho de la UE, no asesoramiento jurídico. NIS2 entra en vigor a través de la ley de transposición nacional de cada Estado miembro de la UE, que puede diferir en los detalles. Verifique las obligaciones que le aplican con su autoridad competente o asesor jurídico.