Ir al contenido principal
NIS2Certify
Volver al resumen

Francia y España remitidas al TJUE por NIS2: qué deben hacer los proveedores ahora

Por NIS2Certify
nis2franciaespanatjuecadena-de-suministromsp
Francia y España remitidas al TJUE por NIS2: qué deben hacer los proveedores ahora

El 9 de junio de 2026, la Comisión Europea remitió a Francia y España ante el Tribunal de Justicia de la Unión Europea por no haber transpuesto NIS2 a la legislación nacional. Más de 18 meses después del plazo, las dos mayores economías de la UE siguen sin tener la directiva en sus códigos legales — y ahora interviene el único órgano que puede multar a un Estado miembro por ignorar el Derecho de la UE.

Si asesora a organizaciones que operan en Francia o España, esto no es una historia sobre procedimientos de Bruselas. Cambia la forma en que debe delimitar el trabajo de preparación para NIS2 en esos mercados ahora mismo. Esto es lo que la remisión significa realmente y lo que debe decir a sus clientes esta semana.

La remisión es la última parada, no un disparo de advertencia

La Comisión no acude primero al TJUE. El camino hacia una remisión es largo y deliberado, y Francia y España lo han recorrido ya por completo.

El plazo de transposición fue el 17 de octubre de 2024. Solo cuatro Estados miembros lo cumplieron. La Comisión abrió procedimientos de infracción contra 23 países el 28 de noviembre de 2024 con cartas de emplazamiento formales. Escaló el 7 de mayo de 2025 con dictámenes motivados a 19 gobiernos — la fase formal de «tienen dos meses para cumplir». Francia y España estaban en esa lista, no cumplieron y ahora han sido remitidas al Tribunal.

La remisión es la fase final. El TJUE es el único órgano que puede condenar a un Estado miembro a pagar por infringir el Derecho de la UE, mediante multas a tanto alzado y multas coercitivas diarias que se acumulan hasta corregir la ley. Esa presión financiera recae ahora sobre París y Madrid, lo que significa que la transposición nacional es mucho más probable que llegue en 2026 que volver a aplazarse.

Estado de Implementación NIS2 por País (2025–2026)
Plenamente en vigor
Bélgica
Croacia
Hungría
Lituania
Letonia
Italia
6 países
Adoptada — finales 2025
Alemania
República Checa
Finlandia
3 países
En proceso — previsto 2026
Países Bajos
Francia
España
Polonia
Austria
Suecia
Irlanda
7 países

Francia y España tomaron caminos distintos hacia el mismo lugar

Los dos retrasos no tienen la misma causa, y eso importa para predecir el calendario.

España aprobó un anteproyecto de ley de ciberseguridad en el Consejo de Ministros en enero de 2025, pero el texto definitivo aún no se ha publicado. Se espera que la ley entre en vigor en algún momento de 2026. El marco existe sobre el papel — lo que falta es la promulgación.

Francia integró NIS2 en una ley más amplia sobre la resiliencia de las infraestructuras críticas, un paquete legislativo más extenso que aún no está plenamente promulgado. La directiva está ligada a un vehículo mayor y más lento, por lo que el calendario francés es más difícil de prever.

Para un consultor, la lectura práctica es esta: ambos países tendrán casi con certeza una ley en vigor en los próximos 12 meses, y la remisión al TJUE encarece políticamente cualquier nuevo retraso. Trate la ausencia de ley nacional como una cuestión de calendario, no como una razón para esperar.

«Aún no hay ley nacional» es lo más peligroso que un cliente puede creer

El mayor riesgo en Francia y España ahora mismo es el cliente que lee los titulares y concluye que tiene una tregua. No la tiene.

Las obligaciones NIS2 no derivan únicamente del país donde una empresa tiene su sede. Si su cliente vende a, u opera infraestructura para, entidades en Estados miembros que han transpuesto — Alemania, Italia, Bélgica, los Países Bajos y la mayor parte del bloque —, esas obligaciones ya se aplican a través de la cadena de suministro. A un proveedor de servicios gestionados francés que atiende a entidades esenciales alemanas se le piden hoy pruebas del Artículo 21, con independencia de lo que Francia haya aprobado o no.

Las disposiciones de la directiva sobre la cadena de suministro son el mecanismo. Las entidades esenciales e importantes deben gestionar la seguridad de sus proveedores, lo que significa que trasladan requisitos de seguridad contractuales a los proveedores, estén donde estén. La obligación cae en cascada de la jurisdicción conforme a la no conforme.

Escalada de sanciones NIS2 — Más allá de la multa
!
Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer
Sanciones no financieras
1
Órdenes de cumplimiento con plazos vinculantes
2
Auditorías de seguridad obligatorias a tu cargo
3
Divulgación pública de infracciones
4
Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia
Consecuencias operativas y personales
1
Suspensión de certificaciones o licencias de operación
2
Prohibición temporal de funciones directivas para individuos
3
Identificación pública de personas físicas responsables
Desencadenante
No financiero
Operativo / personal

Así que el mensaje honesto a un cliente francés o español es: la ley nacional llega, sus clientes en otros Estados miembros ya están obligados, y los requisitos contractuales le alcanzan ahora. La brecha entre «nuestro país no ha transpuesto» y «no tenemos obligaciones» es exactamente donde las organizaciones no preparadas caen.

Determinar el ámbito cuando el texto nacional no es definitivo

La complicación en Francia y España es que las definiciones nacionales finales — anexos sectoriales, umbrales de tamaño, la línea entre entidades esenciales e importantes — no están fijadas. La determinación del ámbito suele apoyarse en las particularidades de la ley de transposición. Aquí aún no las tiene.

Trabaje a partir de la propia directiva. Las listas sectoriales de NIS2 y el umbral de mediana empresa (50+ empleados o 10 M€+ de facturación, con excepciones para ciertos proveedores críticos con independencia del tamaño) están fijados a nivel de la UE y apenas cambiarán en la transposición. Un cliente claramente dentro del ámbito de la directiva lo estará bajo la ley francesa o española. Construya la evaluación de preparación sobre la base de la directiva ahora, y trate el futuro texto nacional como un refinamiento más que como un punto de partida.

¿Se aplica la NIS2 a su organización?
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
No
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
No
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
No
La NIS2 no se aplica directamente a su organización.
La NIS2 se aplica a su organización como entidad esencial o importante.
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplica
Posiblemente aplica
No se aplica

Aquí también protege su propia credibilidad. Dígale a los clientes qué conclusiones son firmes (impulsadas por la directiva e improbables de cambiar) y cuáles son provisionales (dependientes de particularidades nacionales aún por publicar). Un análisis de brechas construido sobre la directiva será duradero en un 90 %; señale el 10 % que puede variar.

Qué hacer esta semana con clientes franceses y españoles

La remisión es un estímulo, no un simulacro de incendio. Pasos concretos:

Mapee primero la exposición del cliente. Para cada cliente, enumere los Estados miembros que tocan sus clientes y operaciones. Cualquier jurisdicción conforme en esa lista significa obligaciones activas hoy, con ley nacional o sin ella. Suele ser la forma más rápida de mostrar a un cliente escéptico por qué «esperemos la ley» es la postura equivocada.

Ejecute el análisis de brechas frente a la base de la directiva. No espere al texto nacional. Las medidas del Artículo 21 — gestión de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, gestión de vulnerabilidades, higiene cibernética básica, MFA — son de nivel de la UE y estables. Evalúe frente a ellas.

Ponga en orden el lenguaje contractual de proveedores. La cascada de la cadena de suministro llega por los contratos. Los clientes que reciben nuevas cláusulas de seguridad de sus compradores alemanes o italianos deben poder responderlas. Los clientes que son ellos mismos entidades esenciales o importantes deben empezar a trasladar requisitos a sus propios proveedores.

Documente la postura de preparación ahora, para que cuando se publique la ley francesa o española — probablemente con un plazo breve hasta la aplicación — su cliente pase de «empezar» a «demostrar» en lugar de correr. Las organizaciones que tomaron el retraso como un respiro encontrarán la ventana de aplicación incómodamente estrecha.

La remisión al TJUE le dice que el retraso termina. Los Estados miembros que se demoraron son precisamente aquellos cuya aplicación será más severa una vez en vigor la ley, justamente porque la Comisión ya ha perdido la paciencia. Posicione a sus clientes para estar listos antes de que el texto sea definitivo, no después.

Si quiere una lectura rápida y estructurada de si un cliente está dentro del ámbito y dónde están las mayores brechas, hágalo pasar por el escaneo rápido de preparación NIS2 — funciona a partir de la base de la directiva, exactamente lo que necesita mientras Francia y España terminan sus leyes nacionales.

Para la visión más amplia de cómo se mueven entre jurisdicciones las obligaciones de cadena de suministro de la directiva, consulte nuestra guía sobre la seguridad de la cadena de suministro NIS2 y los contratos con proveedores conforme al Artículo 21.

    Francia y España remitidas al TJUE por NIS2: qué deben hacer los proveedores ahora — NIS2Certify