Bruselas retoca NIS2 para 2026: no cambia la ambición, pero sí puede cambiar quién queda dentro y cómo se supervisa

La Comisión Europea ha puesto sobre la mesa una idea que, traducida del dialecto regulatorio de Bruselas al castellano corriente, significa esto: NIS2 ya ha empezado a generar fricción suficiente como para merecer ajustes antes de asentarse del todo. La noticia habla de targeted amendments para 2026. No de una reescritura completa. No de una retirada. Ajustes quirúrgicos. Y, precisamente por eso, conviene prestar atención.

Cuando la Comisión usa la palabra “targeted”, suele querer transmitir calma. Nada de pánico; no se toca el edificio, solo algunos tabiques. El problema es que en NIS2 los tabiques importan mucho. Un cambio en definiciones, umbrales, categorías de entidades o mecanismos de supervisión puede alterar de forma material quién está dentro, qué debe demostrar y cuánto le cuesta hacerlo.

La Directiva (UE) 2022/2555, conocida como NIS2, entró en vigor el 16 de enero de 2023. Los Estados miembros debían transponerla antes del 17 de octubre de 2024, conforme a su artículo 41. Ese plazo no era precisamente decorativo: desde el 18 de octubre de 2024, los regímenes nacionales debían estar listos y, antes del 17 de abril de 2025, los Estados debían elaborar una lista de entidades esenciales e importantes en los sectores cubiertos, según el artículo 27. Ahí empezó la realidad. Y la realidad, como de costumbre, no ha sido uniforme.

Que la Comisión ya hable de modificaciones para 2026 sugiere tres cosas a la vez. Primera: hay problemas de aplicación suficientemente visibles. Segunda: Bruselas no quiere esperar a la gran evaluación ex post para tocar nada. Tercera: el debate sobre simplificación regulatoria ya ha alcanzado también a la ciberseguridad. Si alguien pensaba que NIS2 iba a quedarse congelada durante años, era una lectura optimista. O ingenua. Probablemente ambas.

Lo que sabemos, y lo que todavía no sabemos

La referencia pública a “NIS2 - Targeted amendments (2026)” indica intención política, pero no equivale todavía a un texto articulado completo con cambios cerrados artículo por artículo. Eso importa. A estas alturas, lo prudente no es afirmar que Bruselas va a rehacer el régimen de gestión de riesgos del artículo 21 o la arquitectura de notificación del artículo 23. Lo serio es identificar dónde están las tensiones reales y qué tipo de enmiendas sería coherente esperar.

El núcleo de NIS2 hoy descansa sobre cuatro bloques:

Primero, el perímetro subjetivo: qué sectores y qué entidades quedan sujetas, con la lógica de entidades esenciales e importantes en los anexos I y II y el criterio general de tamaño del artículo 2, combinado con excepciones relevantes.

Segundo, la gobernanza y la gestión del riesgo: el artículo 20 responsabiliza a los órganos de dirección por la aprobación y supervisión de las medidas de ciberseguridad, y el artículo 21 exige medidas técnicas, operativas y organizativas “apropiadas y proporcionadas”, incluyendo gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, criptografía y formación.

Tercero, la notificación de incidentes: el artículo 23 establece una secuencia de aviso temprano en 24 horas, notificación de incidente en 72 horas y un informe final en un mes. Pocas áreas han generado tanta discusión operativa, porque casarlas con los tiempos de investigación real no siempre es sencillo.

Cuarto, la supervisión y la ejecución: los artículos 32 a 36 distinguen entre supervisión más proactiva para entidades esenciales y predominantemente ex post para entidades importantes, además de prever sanciones administrativas significativas. Para entidades esenciales, las multas pueden llegar al menos a 10 millones de euros o al 2% del volumen de negocio mundial anual; para entidades importantes, al menos a 7 millones o al 1,4%, según el artículo 34.

Si la Comisión plantea ajustes selectivos, casi seguro mirará alguno de esos cuatro bloques. No por capricho. Porque son justo los puntos donde más ruido se ha acumulado desde la adopción de la directiva y durante la transposición nacional.

El primer frente: el perímetro de NIS2 sigue siendo más discutible de lo que parecía

NIS2 amplió notablemente el alcance de la antigua NIS. Eso era deliberado. La Comisión y el legislador europeo consideraron que el sistema anterior había dejado fuera demasiadas entidades relevantes y había producido una fragmentación excesiva entre Estados miembros. De ahí que NIS2 incorporara más sectores, distinguiera entre entidades esenciales e importantes y usara el tamaño empresarial como criterio general.

Sobre el papel sonaba razonable. En la práctica, esa combinación ha generado varias zonas grises.

La primera es la de las entidades que, por tamaño, estructura societaria o posición en grupo, no encajan limpiamente en el esquema. El artículo 2 remite a la Recomendación 2003/361/CE sobre microempresas y pymes para la regla general, pero también abre la puerta a incluir entidades al margen del tamaño cuando presten servicios críticos o cuando una perturbación pueda tener impacto significativo. Esa elasticidad ayuda a cubrir riesgo real. También complica la previsibilidad jurídica.

La segunda zona gris es sectorial. Los anexos I y II listan sectores altamente críticos y otros sectores críticos, desde energía, transporte, banca, infraestructuras de mercados financieros, salud y agua, hasta servicios digitales, gestión de residuos, fabricación de productos críticos o proveedores postales. La redacción amplia tiene una ventaja: impide que actores relevantes se escondan detrás de etiquetas corporativas creativas. La desventaja es obvia: obliga a mucha interpretación nacional.

La tercera, y quizá la más delicada, es la relación entre NIS2 y otros regímenes sectoriales de ciberresiliencia. Para banca, mercados e infraestructuras financieras, DORA —Reglamento (UE) 2022/2554— ya establece un marco directamente aplicable desde el 17 de enero de 2025. Para telecomunicaciones, existe un ecosistema propio bajo el Código Europeo de las Comunicaciones Electrónicas. Para determinados servicios digitales, sobreviven piezas del Reglamento de Ejecución 2018/151 bajo la NIS original hasta que el nuevo marco termine de consolidarse a nivel nacional. Resultado: muchas organizaciones llevan meses preguntándose si tienen doble carga, supervisión duplicada o una jerarquía poco clara entre regímenes.

Una enmienda selectiva en 2026 podría ir precisamente ahí: aclarar exclusiones, refinar definiciones o delimitar mejor la interacción con reglas lex specialis. No sería menor. Si se mueve el perímetro, cambia el mapa de cumplimiento, los presupuestos y la agenda de supervisión de las autoridades nacionales competentes.

Y aquí hay una ironía muy europea: cuanto más ambiciosa es una directiva al querer cubrir “todo lo importante”, más trabajo acaba generando para decidir qué es exactamente “todo” y quién decide que algo es “importante”.

Segundo frente: la notificación de incidentes sigue siendo una obligación buena en teoría y áspera en la práctica

El artículo 23 de NIS2 no deja mucho margen a la pereza. Exige una alerta temprana sin demora indebida y, en cualquier caso, dentro de las 24 horas desde que la entidad tenga conocimiento del incidente significativo. A eso se suma una notificación en 72 horas y un informe final no más tarde de un mes. Si el incidente sigue en curso, debe presentarse un informe de progreso a petición de la autoridad o el CSIRT competente.

Sobre el papel, la secuencia tiene lógica: alerta temprana para visibilidad sistémica, notificación más completa cuando ya hay datos y cierre documental cuando la investigación madura. El problema aparece en el verbo “tener conocimiento”. En una intrusión real, saber que algo pasa no es lo mismo que saber qué pasa, ni cuánto daño hay, ni si se trata de un falso positivo amplificado por un proveedor alarmista. Aun así, el reloj empieza a correr.

La comparación con GDPR es inevitable. El artículo 33 del Reglamento (UE) 2016/679 obliga a notificar violaciones de seguridad de los datos personales a la autoridad de control en 72 horas desde que el responsable tenga constancia, salvo que sea improbable que la violación constituya un riesgo para los derechos y libertades. NIS2 impone un esquema distinto y, en ciertos momentos, más exigente en velocidad. Si un incidente es a la vez cibernético y de datos personales —y muchos lo son—, las organizaciones deben coordinar narrativas, cronologías y hechos entre dos regímenes que no siempre hablan con la misma sintaxis.

Añádase DORA para entidades financieras: su artículo 19 regula la notificación de incidentes graves relacionados con las TIC, y la normativa técnica de desarrollo concreta clasificaciones, plazos y contenido. Una entidad financiera sujeta a DORA, GDPR y legislación nacional de transposición de NIS2 podría acabar con tres circuitos de reporte paralelos o parcialmente solapados. No hace falta ser poeta para entender que eso no mejora la respuesta a incidentes.

Si Bruselas quiere simplificar sin rebajar seguridad, éste es uno de los sitios más útiles para actuar. No necesariamente eliminando plazos —políticamente sería difícil—, sino afinando definiciones de “conocimiento”, “incidente significativo”, umbrales de materialidad y mecanismos de coordinación entre regímenes. Una autoridad menos sorprendida y una empresa menos atrapada en burocracia simultánea es un resultado bastante decente.

Tu organización ha probado alguna vez un incidente híbrido, con impacto operacional, posible exfiltración de datos y afectación a terceros críticos, cronometrado contra 24 horas, 72 horas y un mes? Si la respuesta es no, la discusión sobre enmiendas te afecta más de lo que parece. Porque los problemas de NIS2 no aparecen en PowerPoint. Aparecen a las 02:17 de la madrugada cuando el SOC duda entre ransomware, acceso persistente o un proveedor que ha caído llevándose por delante tu autenticación federada.

Tercer frente: la cadena de suministro ya no es un anexo incómodo, es el problema central

NIS2 fue bastante explícita al elevar la seguridad de la cadena de suministro. El artículo 21, apartado 2, letra d), incluye expresamente la seguridad de la cadena de suministro, incluidas las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos. La letra e) añade seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades. No es un matiz. Es un reconocimiento de que la dependencia tecnológica se ha convertido en superficie de ataque.

Desde 2023, esa intuición regulatoria solo ha ganado peso. Los incidentes ligados a software de terceros, plataformas de gestión remota, dependencias cloud, bibliotecas comprometidas y cadenas de actualización no necesitan presentación. Tampoco la presión política sobre proveedores considerados estructuralmente críticos.

Sin embargo, la redacción actual de NIS2 deja preguntas difíciles para la aplicación práctica. ¿Qué profundidad de due diligence espera realmente un supervisor sobre un proveedor no negociable de gran tamaño? ¿Hasta dónde llega la obligación de una entidad mediana cuando compra SaaS estándar bajo contratos de adhesión? ¿Cómo se traduce la “proporcionalidad” en controles verificables? ¿Cuándo pasa una deficiencia de tercero de ser una mala práctica a convertirse en incumplimiento sancionable?

Este terreno es fértil para enmiendas selectivas o, como mínimo, para clarificaciones vinculadas a actos de ejecución y guías coordinadas. Y aquí NIS2 no está sola. DORA dedica su Capítulo V a la gestión del riesgo de terceros TIC y desarrolla exigencias contractuales detalladas en su artículo 30. El Cyber Resilience Act, una vez desplegado plenamente, añadirá obligaciones de ciberseguridad por diseño y gestión de vulnerabilidades para productos con elementos digitales. La combinación es potente: NIS2 presiona a los compradores críticos; CRA presiona a los fabricantes; DORA aprieta a las entidades financieras en su relación con proveedores TIC. Lo que todavía falta es una costura más limpia entre esos tres tejidos regulatorios.

Una modificación en 2026 podría aprovechar ese contexto para evitar que la cadena de suministro siga siendo la parte del cumplimiento donde todo el mundo finge tener palancas contractuales que en la realidad no tiene. Porque esa es la verdad incómoda: muchas entidades “evalúan” a proveedores estratégicos con cuestionarios extensos que luego no cambian ni una sola cláusula relevante del contrato. Mucha evidencia documental. Poca capacidad real de exigir.

La supervisión también está bajo examen: dos velocidades, muchos interrogantes

NIS2 distingue entre entidades esenciales e importantes no solo para etiquetar, sino para supervisar de forma distinta. Los artículos 32 y 33 construyen una diferencia central: supervisión ex ante y ex post para entidades esenciales; supervisión básicamente ex post para entidades importantes. El razonamiento es conocido. Concentrar recursos más intensos donde el impacto potencial sistémico es mayor.

El diseño tiene sentido teórico. La ejecución, otra vez, depende mucho del Estado miembro, de su autoridad competente, del nivel técnico del CSIRT nacional y de la coordinación interna entre supervisión sectorial y ciberseguridad horizontal. En países con administraciones robustas y experiencia previa, el aterrizaje puede ser exigente pero manejable. En jurisdicciones con transposición tardía, recursos limitados o ecosistemas sectoriales muy fragmentados, la supervisión puede derivar en algo peor que la rigidez: inconsistencia.

Ese riesgo no es abstracto. La propia lógica de NIS2 exige registros actualizados de entidades, clasificación correcta entre esencial e importante, canales claros de notificación y capacidad para inspeccionar, requerir información, emitir instrucciones vinculantes y sancionar. Si uno de esos engranajes falla, el régimen pierde credibilidad. Y si la Comisión percibe que la fragmentación nacional amenaza el objetivo armonizador, una enmienda selectiva sobre coordinación o criterios de supervisión no sería sorprendente.

Además, hay una cuestión políticamente sensible: la responsabilidad de la alta dirección. El artículo 20 no se anda con rodeos. Los órganos de dirección deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su aplicación y pueden ser considerados responsables de las infracciones. Los Estados miembros deben garantizar también formación a los miembros de esos órganos. En algunos países, ese mandato se ha recibido como una actualización razonable del deber de diligencia. En otros, como una importación algo brusca de responsabilidad técnica a consejos que todavía distinguen mal entre un pentest y una auditoría de backup.

Si las enmiendas de 2026 buscan simplificación, podrían tocar la mecánica de supervisión sin desactivar ese principio de responsabilidad. Porque Bruselas no va a retroceder en un punto que encaja con toda la tendencia europea de gobernanza tecnológica: más implicación del consejo, menos excusas de “eso lo llevaba IT”. DORA hace algo parecido en sus artículos 5 y 6 sobre gobernanza y marco de gestión del riesgo TIC. NIS2 y DORA, por vías distintas, han acabado diciendo a los consejeros lo mismo: si tu dependencia digital sostiene el negocio, la ciberseguridad ya no es una nota al pie.

El telón de fondo político: simplificación sí, desregulación no

Conviene leer esta noticia con las gafas políticas adecuadas. La Comisión actual ha colocado la simplificación normativa y la competitividad en una posición mucho más visible del debate regulatorio europeo. Ese impulso afecta a sostenibilidad, protección de datos, digital y, cómo no, ciberseguridad. Pero simplificar no equivale automáticamente a rebajar obligaciones. A veces significa lo contrario: menos capas, más claridad y una trazabilidad mejor de quién responde por qué.

En NIS2 eso puede traducirse en varias direcciones.

Una es la simplificación administrativa para entidades que hoy navegan entre NIS2, DORA, GDPR, eIDAS 2.0 y marcos nacionales sectoriales sin un mapa plenamente coherente. Otra es la clarificación de definiciones para reducir litigio y disparidad entre autoridades. Una tercera, más ambiciosa, sería usar la reforma para alinear mejor la arquitectura de reporte y supervisión con otros instrumentos de la UE.

Lo que parece menos probable es una retirada sustantiva del principio base de NIS2: elevar el nivel común de ciberseguridad en servicios críticos y críticos en sentido amplio. Ese objetivo está en el título mismo de la directiva y conecta con la Estrategia de Ciberseguridad de la UE, con la actividad de ENISA y con el endurecimiento general del marco digital europeo tras años de incidentes, dependencia tecnológica y presión geopolítica. La Comisión puede retocar el mecanismo. Renunciar al objetivo sería otra historia. Y no hay señales de eso.

Por eso conviene no confundir “targeted amendments” con “relajación garantizada”. Algunas empresas escucharán “amendments” y pensarán: quizá merece la pena esperar antes de invertir. Mala idea. Si las enmiendas llegan en 2026, las obligaciones nacionales derivadas de transposición y supervisión ya estarán en marcha mucho antes. Y aunque cambien detalles, casi ningún escenario razonable elimina las exigencias nucleares: gestión de riesgos, continuidad, seguridad de proveedores, notificación y gobernanza.

Qué puede cambiar de verdad en 2026

Sin inventar un borrador que todavía no existe, sí se puede hacer una lectura informada de los puntos más plausibles de reforma.

1. Ajustes en el alcance y las definiciones

Sería lógico ver refinamientos en la determinación de qué entidades quedan cubiertas por defecto, cuáles pueden quedar fuera por tamaño y cuáles deben incluirse por criticidad funcional. Esto afectaría sobre todo a sectores donde la cadena de valor es compleja o donde hay tensión entre operadores centrales y múltiples prestadores auxiliares.

Una precisión aquí reduciría conflictos interpretativos en registros nacionales, inspecciones y procesos de clasificación como entidad esencial o importante. También serviría para alinear mejor la realidad de grupos empresariales transfronterizos, donde una filial aparentemente pequeña puede soportar funciones críticas para un grupo mucho mayor.

2. Más coordinación con marcos sectoriales

Éste es probablemente el candidato más fuerte. La coexistencia con DORA en finanzas exige una frontera clara para evitar obligaciones duplicadas sin dejar agujeros. El artículo 4 de NIS2 ya contempla reglas de lex specialis cuando actos jurídicos sectoriales de la Unión exijan medidas equivalentes en gestión de riesgos o notificación. Pero la equivalencia no siempre se traduce en simplicidad operativa. Una enmienda podría clarificar mejor cuándo un régimen sectorial desplaza a NIS2 y cuándo solo la complementa.

La misma lógica podría extenderse a otros sectores regulados con obligaciones específicas de resiliencia o seguridad digital. Si no se hace, la promesa de armonización seguirá chocando con la experiencia de cumplimiento cotidiano.

3. Revisión fina de la notificación de incidentes

No sería raro que Bruselas introdujera aclaraciones sobre los umbrales de significatividad, el momento del “conocimiento” del incidente o la coordinación entre alertas tempranas y reportes completos. Un ajuste inteligente aquí no debilitaría la ciberresiliencia; la haría más creíble.

Las autoridades necesitan información rápida. Las empresas necesitan margen para no reportar ruido inútil o datos que 48 horas después resultan erróneos. Ese equilibrio no es ideológico. Es operativo.

4. Afinar la carga sobre la cadena de suministro

La reforma podría concretar mejor expectativas sobre evaluación, selección, seguimiento y documentación de proveedores críticos. También podría aclarar la proporcionalidad por tamaño, exposición y dependencia tecnológica, algo crucial para evitar que una pyme relevante cargue con una batería de exigencias redactadas, en la práctica, pensando en grandes grupos.

Ojo: “proporcionalidad” no significa barra libre. Significa que el supervisor pueda distinguir entre una entidad que no controla nada y otra que sí ha priorizado proveedores críticos, exigido evidencias y preparado salidas de contingencia donde realmente importan.

5. Gobernanza y formación del consejo

No esperaría una marcha atrás en responsabilidad de órganos de dirección. Sí podría haber más precisión sobre qué constituye supervisión adecuada, qué evidencia documental la respalda y cómo encaja con estructuras de gobierno de grupos multinacionales. Eso ayudaría a evitar el peor de los escenarios: consejos que firman políticas genéricas para cubrir expediente y creen, sinceramente, que ya han hecho su parte.

Qué deben hacer ahora las empresas: no esperar al texto final

La tentación de pausar proyectos hasta ver el detalle de 2026 es comprensible y, en muchos casos, equivocada. NIS2 ya marca la dirección. Los cambios previsibles apuntan más a ajuste y clarificación que a demolición. Si una organización hoy no tiene resueltos sus fundamentos de ciberresiliencia, no los resolverá mágicamente esperando un futuro paquete de enmiendas.

Hay cuatro preguntas que merecen respuesta inmediata.

La primera: ¿estás seguro de tu encaje regulatorio? No “bastante seguro”. Seguro. Eso exige revisar sector, tamaño, servicios críticos, relaciones intragrupo y, si operas en varios Estados miembros, diferencias de transposición nacional. El artículo 2 y los anexos I y II no se leen solos; se interpretan a la luz de tu modelo operativo real.

La segunda: ¿puedes notificar un incidente significativo en 24 horas con una narrativa mínimamente consistente? Si la respuesta depende de una hoja de Excel, un correo a cuatro personas o la memoria heroica del CISO, tienes un problema. NIS2 art. 23 no espera a que tu comité se ponga de acuerdo sobre el lenguaje.

La tercera: ¿has priorizado de verdad tus terceros críticos? No todos los proveedores son iguales. Un ERP puede ser molesto si cae. Un proveedor de identidad, de conectividad central, de pagos, de telemedicina o de operación industrial puede paralizar el negocio. El artículo 21 obliga a mirar donde duele de verdad, no donde es fácil pasar cuestionarios.

La cuarta: ¿el consejo entiende su exposición? NIS2 art. 20 convierte esto en una cuestión de gobernanza, no solo de seguridad técnica. Si la alta dirección no sabe qué decisiones ha aprobado, qué riesgos ha aceptado y qué escenarios de interrupción serían intolerables, la responsabilidad legal y reputacional está mal repartida.

Estas preguntas valen para sectores puramente NIS2 y, con más motivo, para grupos que conviven con DORA, GDPR o normativa nacional crítica. Las enmiendas de 2026 podrán mejorar la cartografía. No van a construirte el puente.

Implicaciones para entidades financieras españolas: donde NIS2 y DORA se miran de reojo

Para el sector financiero español, esta noticia importa aunque muchas entidades piensen, con parte de razón, que DORA es su dolor principal. Bancos, aseguradoras, empresas de servicios de inversión, entidades de pago, proveedores de criptoactivos cubiertos por el régimen correspondiente y otras entidades financieras llevan desde el 17 de enero de 2025 bajo un reglamento directamente aplicable, con exigencias muy detalladas sobre gestión del riesgo TIC, pruebas de resiliencia, incidentes y terceros.

Entonces, ¿qué pinta NIS2 aquí? Varias cosas.

La primera es la relación entre supervisión sectorial financiera y el marco horizontal de ciberseguridad nacional. NIS2 contiene la lógica de lex specialis en su artículo 4, pero esa lógica no elimina por sí sola toda fricción práctica. Una entidad financiera puede quedar principalmente gobernada por DORA para su resiliencia digital, mientras filiales no financieras del grupo, proveedores compartidos o infraestructuras adyacentes sigan entrando de lleno en NIS2 nacional.

La segunda es grupal. Muchas entidades financieras operan con estructuras donde centros de servicios, filiales tecnológicas, outsourcing intragrupo y proveedores comunes sostienen funciones esenciales. Que la entidad regulada principal tenga a DORA no resuelve automáticamente la posición de todo el ecosistema corporativo respecto de NIS2. Y ahí una enmienda de 2026 podría aclarar bastante.

La tercera es estratégica para España: la coordinación entre Banco de España, CNMV, DGSFP, autoridades de ciberseguridad y los CSIRT competentes no es un detalle administrativo. Si el mosaico supervisor se vuelve más claro tras las enmiendas, el coste de cumplimiento para entidades y grupos puede bajar sin reducir control real. Eso sería una mejora tangible, no un eslogan.

Para fintechs y proveedores tecnológicos del sector financiero, la noticia también es relevante. Muchas no están directamente bajo DORA como entidades financieras, pero sí pueden quedar atrapadas por exigencias contractuales DORA de sus clientes y, al mismo tiempo, por NIS2 si su actividad encaja en sectores críticos o servicios digitales cubiertos. Esa doble presión ya existe. Las enmiendas podrían ordenar mejor el tablero o, si se redactan mal, volverlo más enrevesado todavía.

Lo que esta noticia dice sobre la madurez regulatoria europea

Hay una lectura más amplia que merece la pena. Que la Comisión plantee ajustes relativamente pronto no demuestra fracaso de NIS2. Demuestra algo más prosaico: regular ciberseguridad a escala europea es difícil porque el objeto regulado cambia rápido, depende de cadenas de suministro globales y se cruza con sectores donde ya existen supervisores poderosos.

La Unión Europea ha optado en pocos años por una densidad regulatoria digital sin precedentes: GDPR, DORA, NIS2, AI Act, Data Act, Cyber Resilience Act, eIDAS 2.0. A veces ese mosaico parece una estrategia integral. Otras veces parece una prueba de resistencia para equipos de cumplimiento con cafeína suficiente. Ambas cosas pueden ser ciertas.

La clave ahora no es si habrá más o menos regulación, sino si Bruselas consigue que esas piezas hablen entre sí mejor que hasta ahora. NIS2 es un buen test. Si las enmiendas de 2026 corrigen solapamientos, afinan definiciones y hacen más ejecutables las obligaciones, la Comisión podrá venderlo como simplificación inteligente. Si se limitan a maquillar ambigüedades o a posponer decisiones difíciles, las empresas seguirán haciendo lo que ya hacen demasiadas: producir documentación de cumplimiento para navegar incertidumbre, no necesariamente para reducir riesgo real.

Y ésa es la línea que importa. La ciberseguridad regulada funciona cuando cambia conductas y mejora preparación ante incidentes. Falla cuando se convierte en arqueología documental. NIS2 todavía puede caer en cualquiera de los dos lados, dependiendo de cómo se supervise y de cómo se retoque.

La conclusión incómoda: 2026 no es un punto de partida, es una corrección de rumbo

La noticia de las targeted amendments no debería leerse como permiso para esperar. Debería leerse como aviso de que el régimen ya ha entrado en su fase adulta: la fase en la que aparecen costes imprevistos, choques entre normas, dudas de alcance y necesidad de cirugía fina. Eso pasa cuando una regulación empieza a tocar negocio de verdad.

Mi lectura es clara. La Comisión no parece dispuesta a rebajar la exigencia sustantiva de NIS2. Sí parece abierta a corregir fricciones que amenazan la coherencia del sistema. Las empresas que interpreten esto como una señal para congelar decisiones llegarán tarde. Las que lo lean como oportunidad para revisar perímetro, reporte, terceros y gobernanza llegarán mejor a 2026, cambie lo que cambie en el texto final.

Aquí está el quid. Si tu programa de cumplimiento depende de que Bruselas te aclare cada esquina antes de actuar, no tienes un programa de resiliencia; tienes una política de espera. Y la ciberseguridad, por desgracia, no suele conceder ese lujo.

Lo sensato ahora es vigilar de cerca el proceso legislativo de la Comisión, seguir la transposición y aplicación nacional donde todavía haya flecos, mapear las interacciones con DORA y GDPR, y usar 2025-2026 para consolidar evidencias operativas reales. No solo políticas. No solo matrices. Procedimientos ensayados, inventario de terceros críticos, criterios de escalado, trazabilidad de decisiones del consejo y capacidad de reporte bajo presión.

Bruselas va a retocar NIS2. La cuestión no es si el cambio llegará. La cuestión es si, cuando llegue, tu organización habrá hecho los deberes básicos o seguirá discutiendo si “conocimiento del incidente” significa que alguien leyó una alerta o que alguien la entendió. Ese debate, por cierto, conviene tenerlo antes de la próxima crisis. No durante.