La UE inicia investigación al Gobierno español por incumplimiento en la transposición de la directiva de ciberseguridad desde 2023 debido a hackeos en España

Pedro Sánchez, presidente del Gobierno, habla por teléfono a su entrada al Consejo Europeo, en una imagen de archivo.

La Unión Europea está investigando al Gobierno español por no haber incorporado la directiva NIS2 sobre ciberseguridad, tras múltiples ataques informáticos a instituciones clave como la Fiscalía, la Policía Nacional y el Consejo de Seguridad Nacional.

Durante los meses de febrero y marzo, se expusieron datos confidenciales de altos cargos, incluyendo al presidente Pedro Sánchez y varios ministros, debido a fallos en la seguridad digital.

España encabeza el listado de incumplimientos de directivas europeas, con 101 pendientes y un déficit de trasposición del 3,19%, la cifra más elevada de toda la UE.

El sistema de protección informática de la Moncloa permaneció desactualizado cerca de 100 días, periodo durante el cual tuvieron lugar las filtraciones más graves.

Las recientes fallas en la ciberseguridad de la Fiscalía, la Policía Nacional, la Guardia Civil y el Consejo de Seguridad Nacional, todas en menos de una semana, han alertado a las autoridades en Bruselas.

El Gobierno español, desde 2023, no ha implementado la directiva de ciberseguridad. En 2025, la Comisión inició un procedimiento sancionador. Ahora deberá examinar la relación entre esta debilidad legislativa y los ataques sufridos por el Gobierno, las fuerzas policiales y la Fiscalía.

El eurodiputado del PP, Juan Ignacio Zoido, ha llevado ante la Comisión Europea los ataques que, entre el 26 de febrero y el 1 de marzo, expusieron información sensible de altos funcionarios públicos. Entre ellos, la fiscal general, integrantes del Consejo de Seguridad Nacional (CSN), incluyendo al presidente Pedro Sánchez, varios ministros y el Jemad.

En una pregunta parlamentaria presentada este lunes, el exministro del Interior denuncia que los mismos hackers accedieron a las credenciales de cientos de agentes de la Policía Nacional y la Guardia Civil. Esta vulneración tuvo lugar el 28 de febrero, y dos días antes se vulneró la Fiscalía.

Zoido plantea dos cuestiones a la Comisión, que debe responder. La primera: si estos incidentes «podrían suponer un riesgo para la seguridad de la UE» y qué acciones piensa adoptar.

La segunda: si la falta de implementación de la directiva NIS2 «coloca a España y sus empresas en una posición vulnerable» y si el Gobierno debería impulsar su incorporación efectiva.

«Lo pagamos los españoles»

Estos hechos ocurren en un contexto inquietante. Según el Instituto Nacional de Ciberseguridad (INCIBE), en 2025 se registraron más de 122.000 ciberataques contra organizaciones y entidades españolas. Esta cifra representa un aumento del 26% comparado con el año previo.

No obstante, España continúa sin adaptar la directiva NIS2, aprobada por la UE en 2022 con el fin de fortalecer la ciberseguridad en infraestructuras críticas y organismos públicos.

Después de su entrada en vigor el 1 de enero de 2023, el plazo para la trasposición finalizó en octubre de 2024.

Aunque el Consejo de Ministros aprobó en enero de 2025 un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, la norma sigue bloqueada en el Parlamento después de 15 meses, debido a la incapacidad del Gobierno para formar mayorías estables.

La Comisión Europea no ha permanecido inactiva. En noviembre de 2024 remitió a España una carta de emplazamiento y en mayo de 2025 emitió un dictamen motivado. El próximo paso es llevar el caso al Tribunal de Justicia de la UE, que podría imponer sanciones económicas.

«Si no transponemos las leyes europeas de ciberseguridad, la Comisión nos llevará ante el TJUE y enfrentaremos sanciones, incluidas pérdidas de fondos europeos«, advierte Zoido en declaraciones a EL ESPAÑOL. «Sánchez no cumple, y somos los españoles quienes pagamos las consecuencias».

Récord en incumplimientos

El problema supera la directiva NIS2. España es el Estado miembro de la UE con más incumplimientos. Cuenta con 101 directivas europeas pendientes de incorporación, de las cuales 50 han excedido su fecha límite.

Tabla de países incumplidores de la legislación de la UE.

También lidera la lista de procedimientos de infracción abiertos por la Comisión, con 92 casos activos. Dos de ellos ya han derivado en sanciones económicas.

España ha sido tradicionalmente uno de los países más lentos en la integración normativa. El último informe anual de la Comisión sobre la aplicación del Derecho de la UE, correspondiente a 2023, ya señalaba a España entre los Estados con peor desempeño.

Desde entonces, la brecha ha crecido aún más: el déficit español en trasposición alcanza el 3,19%, el más alto de la UE, triplicando la media europea de 1,1%.

La situación se ha agravado desde noviembre de 2023, cuando la parálisis legislativa por falta de mayorías ha detenido la tramitación de numerosas normas europeas.

«Poner en riesgo a toda la UE»

Zoido también advierte sobre el «hartazgo» en Bruselas ante España debido a la ciberseguridad. «Se entiende que una brecha de seguridad en un país como el nuestro podría convertirse en la puerta de entrada para comprometer la seguridad de otros Estados miembros», afirma el eurodiputado.

España tampoco ha aplicado el llamado Toolbox del 5G, el conjunto de medidas acordadas por los 27 para limitar la entrada de proveedores de alto riesgo como Huawei y ZTE en las redes de telecomunicaciones.

La Comisión ya se pronunció sobre los contratos del Ministerio de Interior con Huawei, señalando el riesgo de «crear una dependencia de un proveedor de alto riesgo en un sector crítico y aumentar el peligro de interferencias extranjeras».

«Políticamente, este es el Gobierno español más descuidado en materia de seguridad«, sostiene Zoido. «Sánchez actúa con irresponsabilidad en lo fundamental: la ciberseguridad de los niveles más altos del Estado, como el CSN y los sistemas de las Fuerzas y Cuerpos de Seguridad del Estado».

Merz no logra contactar con Sánchez

El incidente diplomático de la semana pasada evidencia el alcance del problema de ciberseguridad en Moncloa. Cuando Donald Trump criticó a España desde la Casa Blanca, sentado junto al canciller alemán Friedrich Merz, este intentó luego comunicarse con el presidente español.

Llamó dos veces a su teléfono y dejó un mensaje de voz explicando la situación. Nunca obtuvo respuesta.

Según Politico.eu, tras consultar con el Ministerio de Exteriores sobre la falta de respuesta —lo que en Berlín se consideró una falta de cortesía— se descubrió que Sánchez ya no usaba ese número.

Exteriores aclaró que el presidente «cambia de teléfono periódicamente por razones de seguridad«… como sucedió tras otra grave vulneración al ser espiado con el software Pegasus.

No obstante, esta explicación podría tener una lectura más inmediata, dado que el incidente con Merz ocurrió apenas 48 horas después de que el domingo 1 de marzo se revelara el hackeo al Consejo de Seguridad Nacional.

Dicha brecha expuso datos personales de Sánchez, incluidas direcciones de dos propiedades y cuentas de correo, así como información de varios ministros —como Yolanda Díaz, María Jesús Montero y Félix Bolaños— y del jefe de los ejércitos.

De hecho, el sistema anti-APT de ciberseguridad de Moncloa quedó desactualizado en noviembre de 2025, cuando el proveedor dejó de ofrecer actualizaciones, según The Objective. El contrato para reemplazarlo no se firmó hasta tres meses después, en febrero de 2026.

Esto implica que la Presidencia del Gobierno operó con un sistema sin soporte ante amenazas avanzadas durante casi 100 días, justo durante las filtraciones más críticas.

«La lucha contra la ciberdelincuencia va más allá de proteger datos», concluye Zoido. «Estas circunstancias se traducen en millones de euros y miles de empleos perdidos cada año por ataques, y representan un riesgo real para la seguridad nacional«.

Scroll al inicio