Imagen que simula las interconexiones de la red eléctrica entre consumidores y productores. Invertia
Observatorio de la Energía El sector eléctrico, abandonado por el Gobierno en la protección de las infraestructuras críticas: no llega la financiación públicaEspaña debe cumplir con la Directiva NIS2-Network and Information System.
Aumenta el miedo entre las empresas a ataques a infraestructuras críticas.
Más información: Las energéticas, en el punto de mira de los ciberataques este invierno: se disparan un 23% con la guerra en Ucrania
Laura Ojea Publicada 29 junio 2026 02:05h Las clavesLas claves Generado con IA
El blindaje de las redes eléctricas y las infraestructuras críticas (un parque renovable también lo es) en España se enfrenta a un problema financiero para las empresas energéticas.
Ya no solo se extiende desde años la amenaza de ciberataques contra estas infraestructuras, ni siquiera se podría solo hablar de que está alcanzando máximos históricos en el actual mapa geopolítico europeo.
Las empresas energéticas alertan de una situación de desamparo institucional: el Gobierno exige un cumplimiento estricto y punitivo de la normativa europea NIS2 (Network and Information System), pero no hay ningún plan a la vista para cofinanciar unas defensas tecnológicas que forman parte estructural de la seguridad nacional del Estado.
El 39% de los ciberataques al sector energético proceden de terceros países o actores EstadoLa entrada en vigor efectiva de la transposición de esta directiva europea NIS2 ha encendido todas las alarmas en los consejos de administración de las principales compañías del sector.
E incluso, ya se comienza a hablar de "peligro de ataque real, visto lo ocurrido en otras latitudes con los drones cayendo sobre plantas energéticas", según confirman fuentes del sector a EL ESPAÑOL-Invertia.
La norma amplía los niveles de exigencia de forma drástica, introduciendo multas multimillonarias y responsabilidades penales e inhabilitaciones directas para los ejecutivos que muestren deficiencias en sus sistemas de control.
Sin embargo, la promesa implícita de que la exigencia iría acompañada de mecanismos de apoyo financiero público se ha desvanecido.
Sobrecoste multimillonario sin respaldo público
Las empresas energéticas, consideradas entidades de "alta criticidad", deben implementar estrictas medidas de gestión de riesgos cibernéticos para garantizar la continuidad del suministro, por normativa europea.
Esto incluye proteger la red de TI (Tecnologías de la Información) y la Tecnología Operativa (OT), como los Sistemas de Control Industrial, notificar incidentes graves y supervisar a sus proveedores.
Qué es la directiva NIS2
Es la legislación de ciberseguridad más ambiciosa y estricta aprobada por la Unión Europea. Su principal objetivo es modernizar y unificar las defensas digitales de los Estados miembros frente al aumento de ciberataques sofisticados, el espionaje industrial y las crecientes amenazas geopolíticas.
Afecta de forma automática a casi todas las medianas y grandes empresas (aquellas con más de 50 empleados o 10 millones de euros de facturación) que operan en sectores estratégicos.
La norma ya no solo regula la energía, la banca o las telecomunicaciones, sino que ahora se extiende a sectores considerados "esenciales" o "importantes" como la sanidad, el agua, la gestión de residuos, el transporte, la alimentación y las administraciones públicas.
El verdadero cambio de paradigma radica en las sanciones: las multas por incumplimiento pueden alcanzar los 10 millones de euros o el 2% de la facturación global de la empresa.
Fuentes del sector energético calculan que la adaptación completa de los sistemas de generación, distribución y control a los nuevos estándares de ciberseguridad exigirá inversiones superiores a los miles de millones de euros en el conjunto del tejido nacional durante los próximos tres años.
El grueso de este gasto recae sobre tecnologías de detección temprana, auditorías externas permanentes y la contratación en masa de talento especializado, un recurso cada vez más escaso y cotizado.
"Proteger una subestación eléctrica de un ataque dirigido por un gobierno extranjero o por mafias paramilitares no es un gasto ordinario de mantenimiento de la red; es una labor de defensa patria", argumentan las mismas fuentes.
"El Gobierno legisla a coste cero para las arcas públicas, traspasando una obligación ministerial al balance operativo de las corporaciones privadas".
La amenaza del impacto en el consumidor
El silencio del Ministerio para la Transición Ecológica o del de Transformación Digital e incluso el de Defensa respecto a partidas presupuestarias específicas o incentivos fiscales deja al sector con una única salida viable a medio plazo: repercutir los costes financieros en la factura de la luz.
Como es de esperar, de no mediar un fondo de contingencia estatal o una vía de cofinanciación directa a través de los remanentes de los fondos europeos de recuperación, la inversión se integrará inevitablemente dentro de los costes de las compañías.
Esta solución trasladaría la factura del blindaje a ataques y ciberataques directamente a los hogares y a las pequeñas empresas, que ya asumen otros gastos adicionales como la operación reforzada de Red Eléctrica, para evitar que haya otro apagón como el del 28 de abril de 2025.
Las asociaciones de consumidores ya han manifestado su profunda preocupación ante la falta de transparencia sobre cómo se financiarán estas medidas de seguridad, exigiendo que los Presupuestos Generales del Estado asuman el rol que les corresponde.
El texto de la NIS2 obliga a asegurar toda la cadena de suministro. Esto implica que las grandes eléctricas deben forzar a sus proveedores de mantenimiento y logística, en su mayoría pequeñas y medianas empresas, a implementar certificaciones carísimas. Sin ayudas estatales, el colapso de contratos amenaza con paralizar los trabajos en red.
Seguridad Nacional
La situación es muy crítica. Sin un modelo de colaboración público-privada, las consecuencias pueden ser deficientes. Mientras países vecinos como Francia o Alemania ya han articulado partidas de apoyo financiero y deducciones específicas para que sus sectores industriales estratégicos se adecuen a la NIS2 sin perder competitividad, en España ni se habla de esos fondos.
El debate ya no gira en torno a si es necesario proteger la infraestructura o no, sino en cómo se paga, quién tiene que asumir el coste y si las infraestructuras críticas son parte de todos o solo de las empresas propietarias.