Bruselas insta a Moncloa "con urgencia" a cumplir la directiva de ciberseguridad: un año de infracción y el 26% más ataques

Pedro Sánchez, presidente del Gobierno, habla por teléfono a su entrada al Consejo Europeo, en una imagen de archivo. Efe

Política UNIÓN EUROPEA Bruselas insta a Moncloa "con urgencia" a cumplir la directiva de ciberseguridad: un año de infracción y el 26% más ataques

La vicepresidenta de la Comisión Europea, Henna Virkkunen, avisa a España: transponer la NIS2 "no es sólo una obligación legal, es un imperativo estratégico" ante el auge de los ciberataques.

Más información:El Parlamento Europeo advierte del riesgo para la seguridad estratégica del contrato de Interior con Huawei.

Alberto D. Prieto Publicada 31 mayo 2026 02:31h Las claves

Las claves Generado con IA

La Comisión Europea ha enviado un aviso en términos inusualmente directos al Gobierno de España. Lo ha hecho por escrito, en un escrito al que ha podido acceder este periódico con fecha del 19 de mayo, y firmado por Henna Virkkunen, vicepresidenta ejecutiva responsable de Soberanía Tecnológica.

El mensaje de Virkkunen es nítido: España debe avanzar "urgentemente" en la transposición de la Directiva NIS2 de ciberseguridad.

Y no es una recomendación, es la segunda advertencia formal tras un año con el Gobierno de Pedro Sánchez sometido a "procedimiento de infracción", antes de recurrir al Tribunal de Justicia de la UE con capacidad de imponer multas diarias al Estado español.

El plazo para incorporar la directiva al ordenamiento jurídico venció el 17 de octubre de 2024. Diecinueve meses después, España sigue sin una ley que traduzca a nuestro ordenamiento la norma comunitaria.

El Consejo de Ministros aprobó un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en enero de 2025, pero casi año y medio después la norma sigue estancada en las Cortes, por la incapacidad del Gobierno para armar mayorías parlamentarias.

Tabla de países incumplidores de la legislación de la UE. European Commssion

De hecho, el nuestro es el país de la UE más multado por este tipo de incumplimientos, especialmente sensible en esta norma, que afecta a 18 sectores críticos, desde la energía hasta la administración pública.

"A la cola de la UE"

La respuesta de Virkkunen llega a raíz de una pregunta parlamentaria formulada por el eurodiputado del Partido Popular Juan Ignacio Zoido. El exministro del Interior quería saber si la Comisión consideraba que las brechas de seguridad sufridas por España suponían un riesgo para el conjunto de la Unión.

La vicepresidenta lo corrobora, y subraya que "los ciberataques perturban las infraestructuras críticas y la estabilidad económica" y que una ciberseguridad sólida "es fundamental". La respuesta certifica lo que Zoido denunciaba en su escrito del 9 de marzo: que la administración española está desprotegida por decisión propia.

"El procedimiento de infracción que le ha abierto la Comisión a España es sintomático de que no hay nadie al volante en asuntos de Seguridad", afirma Zoido en declaraciones a EL ESPAÑOL. "Estamos en la cola de la UE."

Los datos de ciberataques respaldan la urgencia. España registró en 2025 más de 122.000 incidentes de ciberseguridad, un 26% más que el año anterior, según el CCN-CERT. El país sufre casi 2.000 ciberataques semanales. Es en ese contexto donde deben leerse dos brechas que sacudieron la seguridad del Estado en apenas 24 horas.

El 28 de febrero de 2026, el grupo PoliceEspDoxed publicó en un foro de hackers las credenciales de acceso a los sistemas de la Policía Nacional y la Guardia Civil. Al día siguiente, el 1 de marzo, el mismo actor filtró datos personales de los miembros del Consejo de Seguridad Nacional: teléfonos de ministros como Yolanda Díaz, Félix Bolaños o María Jesús Montero, y domicilios del propio Pedro Sánchez

El Gobierno contrata cámaras chinas Hikvision vetadas en EEUU y Europa para vigilar Moncloa y otras instalaciones

Y no era la primera vez que el teléfono del presidente quedaba expuesto. En mayo de 2021, el móvil de Sánchez fue infectado con el 'spyware' Pegasus durante un viaje oficial a Ceuta, en plena crisis migratoria con Marruecos.

En el incidente se extrajeron 2,6 gigabytes de datos en la primera intrusión y otros 130 megabytes en una segunda. La operación ha sido atribuida extraoficialmente a los servicios secretos marroquíes, que habrían aprovechado la presencia física del presidente en la frontera para infectar su dispositivo mediante un ataque 'zero-click', sin necesidad de interacción.

Proveedores peligrosos

La historia del incumplimiento de NIS2 arranca mucho antes del bloqueo parlamentario que aduce el Gobierno. La directiva entró en vigor en enero de 2023. Pero el Consejo de Ministros no aprobó el anteproyecto de ley de transposición hasta el 14 de enero de 2025, casi tres meses después de que venciera el plazo europeo.

Ese retraso en la fase ejecutiva —no parlamentaria— no puede achacarse a la aritmética del Congreso.

La Comisión abrió el expediente INFR(2024)0270 en noviembre de 2024 y emitió el dictamen motivado —última advertencia antes del TJUE— el 7 de mayo de 2025. Un año después, el anteproyecto sigue paralizado en el Consejo de Estado sin posibilidad de tramitación parlamentaria.

Ese vacío legal es el mismo que ha permitido al Gobierno renovar contratos millonarios con proveedores chinos sin ninguna evaluación de riesgo homologada a nivel europeo. El Ministerio del Interior adjudicó 12,3 millones de euros en julio de 2025 a Huawei para el mantenimiento del sistema SITEL, que almacena las escuchas judiciales de la Policía, la Guardia Civil y el CNI.

Cámaras de Hikvision —vetada en Estados Unidos desde 2022— vigilan la Moncloa, el Ministerio del Interior, Renfe, ADIF y Correos. Zoido lo resume sin rodeos: "Cuando el Gobierno se pone a trabajar en ciberseguridad, se fija en proveedores que son catalogados de alto riesgo para la UE".

La alarma ha llegado a cruzar el Atlántico. Miembros del Comité de Inteligencia de la Cámara de Representantes de Estados Unidos pidieron formalmente al Gobierno de Donald Trump que suspendiera la cooperación en materia de seguridad e inteligencia con España, precisamente por la dependencia española de infraestructura tecnológica china en sistemas críticos.

¿Qué habría cambiado con NIS2 traspuesta a tiempo? Sustancialmente, tres cosas. Primera: las administraciones habrían estado obligadas a evaluar formalmente a sus proveedores tecnológicos, lo que habría forzado una revisión del contrato Huawei antes de su renovación.

Segunda: la obligación de notificación de incidentes en 24 horas habría establecido un protocolo de respuesta que no existía cuando las credenciales de miles de agentes comenzaron a circular en foros de hackers.

Tercera: los directivos responsables habrían asumido responsabilidad personal —incluyendo la posibilidad de inhabilitación— por contratar con proveedores de riesgo sin auditoría independiente. La Comisión Europea no ha perdido la paciencia todavía. Pero Virkkunen ya ha advertido de lo que viene después.

1. Guardia Civil
2. Policía Nacional
3. Comisión Europea (CE)
4. Pedro Sánchez
5. Parlamento Europeo
6. Ciberseguridad
7. Huawei
8. Juan Ignacio Zoido

NEWSLETTER - ESPAÑA

Recibe de lunes a viernes las noticias más relevantes de la política nacional Apuntarme De conformidad con el RGPD y la LOPDGDD, EL LEÓN DE EL ESPAÑOL PUBLICACIONES, S.A. tratará los datos facilitados con la finalidad de remitirle noticias de actualidad.