Durante los últimos años la evolución de las amenazas cibernéticas ha dado pie a nuevos desafíos y puesto a prueba las limitaciones a la hora de abordarlos, motivo por el cual la Unión Europea ha actualizado su legislación en materia de ciberseguridad a través de la Directiva SRI 2. Las Directivas tienen que trasladarse a las legislaciones nacionales, y en el caso de las normas sobre ciberseguridad recogidas en la SRI 2 España aún no ha hecho los deberes. En consecuencia, la Comisión Europea ha decidido llevarla a los tribunales.
Además de a España, la Comisión ha llevado por la misma razón ante el Tribunal de Justicia de la Unión Europea (TJUE) a Irlanda, Francia y los Países Bajos. Los Estados miembros tenían de plazo hasta el 17 de octubre de 2024 para transponer la Directiva SRI 2 y la mayoría cumplieron con esa fecha límite. La Comisión envió a los cuatro países reticentes cartas de emplazamiento el 28 de noviembre de 2024 y dictámenes motivados el 7 de mayo de 2025, pero aun así no hicieron los esfuerzos suficientes como para transponer la Directiva.
"Las remisiones incluyen una solicitud al Tribunal para que imponga sanciones financieras consistentes en una cantidad a tanto alzado y multas diarias hasta la notificación de la transposición completa", dice la Comisión. El TJUE suele aplicar un sistema con dos tipos de sanciones económicas acumulables. Por un lado, castiga al país con una cantidad fija por el tiempo que ha estado en infracción desde que venció el plazo para transponer la Directiva, y por otro impone una multa coercitiva diaria que se pone en marcha cuando dicta la sentencia si el Estado aún no ha trasladado la Directiva.
"La Directiva refuerza la ciberseguridad de la UE al establecer normas estrictas para las entidades que operan en dieciocho sectores críticos, como la salud, la energía, el transporte y el sector público", dice la Comisión Europea. "Su plena aplicación es esencial para mejorar la resiliencia de la UE y las capacidades de respuesta en caso de incidentes de las entidades públicas y privadas que operan en estos sectores críticos y de la UE en su conjunto".
El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado en el Consejo de Ministros el 14 de enero de 2025, es el texto que incorpora la Directiva SRI 2 a la legislación española. Desde entonces el anteproyecto sigue en tramitación parlamentaria, pero sin mayoría suficiente para avanzar y aprobarse, según explica la compañía de ciberseguridad A3Sec. El Real Decreto-ley 7/2025 ha transpuesto una parte Directiva SRI 2 que regula medidas urgentes de refuerzo del sistema eléctrico y establece obligaciones para las empresas, pero el grueso de la normativa sigue en el limbo. Por ejemplo, sin la aprobación del texto no se puede crear el Centro Nacional de Ciberseguridad.
El Centro Nacional de Ciberseguridad está adscrito a Presidencia del Gobierno y será el organismo responsable de unificar funciones que ahora mismo están repartidas entre los Ministerios de Interior, Defensa y Transformación Digital. En octubre de 2025, el presidente del gobierno Pedro Sánchez anunció la creación del Centro Nacional de Ciberseguridad. En el acto dijo que España era "uno de los países más comprometidos con la ciberseguridad del mundo", con "capacidades por encima de la media europea". Para entonces el gobierno llevaba un año sin transponer la Directiva SRI 2 y ahora va camino del segundo. Por mucho que lo haya anunciado, el Centro Nacional de Ciberseguridad no existe sin la ley.
En 2025 el INCIBE detectó 122.223 incidentes de ciberseguridad, un 26 % más que en 2024. También detectó y notificó 237.028 sistemas vulnerables relevantes.