La cuenta atrás permanente que obliga a reordenar la ciberseguridad pública y su contratación
La NIS2 ya actúa como un marco de cumplimiento que empuja a administraciones y proveedores a medir, evidenciar y contratar capacidades. España sigue bajo la referencia del procedimiento europeo y el mercado público se prepara para un salto en servicios y controles.
El debate en la UE ya no es si NIS2 llega, sino cómo se aplica cuando cada país avanza a un ritmo distinto. La Comisión publica un estado de situación construido con la información aportada por los Estados miembro, y recuerda que lo hace en coordinación con ENISA, sin prejuzgar la evaluación formal de cada transposición. Esto es relevante porque, a efectos prácticos, el sector ya opera bajo un horizonte de exigencia creciente, incluso con leyes nacionales aún incompletas.
En ese contexto, el calendario es el gran acelerador. Los Estados debían transponer NIS2 antes del 17 de octubre de 2024 y, el 7 de mayo de 2025, la Comisión remitió un dictamen motivado a 19 países (incluida España) por no notificar la transposición completa, con una ventana de respuesta y la opción de escalar al Tribunal de Justicia.
La arquitectura institucional española
La página oficial de la Comisión dedicada a España resume la situación con el hito del dictamen motivado (7 de mayo de 2025) y detalla los puntos de contacto. En particular, fija como punto único de contacto al Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional, con atención 24/7. Este dato, aunque administrativo, condiciona flujos de coordinación, notificación y relaciones con la UE.
También delimita quién juega qué papel. Para el sector público se indica al Ministerio de Defensa, a través del CCN, como autoridad competente en el ámbito de los DSP, y se identifica a CCN-CERT como CSIRT para el sector público, mientras que para el sector privado figura INCIBE-CERT. En términos de mercado, esa división suele acabar reflejada en requisitos de interlocución, procedimientos y evidencias exigibles a adjudicatarios.
Obligaciones NIS2
NIS2 establece un marco común de ciberseguridad y amplía alcance y herramientas de supervisión. Se aplica a entidades en sectores críticos (incluida la administración pública) y eleva el listón: reglas más claras, más exigencia y más control. Desde el punto de vista práctico, esto implica convertir la ciberseguridad en un sistema verificable: políticas, medidas, gestión del riesgo y capacidad de respuesta, con continuidad operativa y gobernanza interna.
El calendario también empuja tareas de inventario y clasificación. INCIBE recoge que los Estados debían elaborar una lista de entidades esenciales e importantes y mantenerla actualizada, y que la definición de mecanismos nacionales (registro, procedimientos, autoridades) depende de la transposición. Para España, esta dimensión es decisiva: define quién está obligado, con qué intensidad, y qué exigencias deben incorporarse a los contratos TIC.
Efecto dominó en contratación pública de ciberseguridad
Cuando una obligación regulatoria se vuelve exigible, el mercado público suele responder de dos maneras: reforzando equipos internos y contratando capacidad especializada. En ciberseguridad, eso se traduce en compras de servicios: SOC, monitorización, respuesta a incidentes, auditorías, pruebas, continuidad, gestión de vulnerabilidades y herramientas de gobierno del riesgo. Además, se endurecen los criterios: solvencia, experiencia, SLAs, reporting y penalidades, porque el cumplimiento se demuestra con datos y procedimientos.
Para el proveedor, el cambio es estructural: ya no basta con ofertar tecnología; hay que acreditar operación, metodologíay evidencia. En 2026 esto se verá, previsiblemente, en pliegos más detallados, cláusulas de cadena de suministro y requisitos de seguridad transversales a proyectos de nube, CPD, comunicaciones, aplicaciones y datos.
La trazabilidad del gasto TIC
Para no perderte ninguna novedad sobre licitaciones y adjudicaciones TIC, como esta, visita Tenderstool. Se trata de una plataforma de Big Data y market intelligence para seguir la inversión TIC del sector público, con datos y análisis sobre licitaciones, adjudicaciones, anuncios previos, vencimientos y compras centralizadas, y con capacidad de segmentación por organismos y tipologías.
Su importancia, en una agenda como NIS2, es doble: permite detectar dónde se está materializando la exigencia normativa (qué compras crecen, qué organismos lideran, qué categorías se repiten) y ayuda a anticipar oportunidades y riesgos con contexto. Además, su oferta incluye consultoría para empresas tecnológicas (datos, estrategia y acompañamiento) y servicios orientados a entender cómo compra la administración y cómo se valoran las ofertas, clave cuando la ciberseguridad se convierte en condición de entrada en buena parte de los concursos TIC.
Somos un portal neutral de información cuyo principal objetivo es difundir las principales adjudicaciones, concursos públicos, compras centralizadas y anuncios previos del sector tecnológico (TIC), lanzados por la Administración Pública a nivel local, regional y nacional.
Todo ello 100 % online, con búsquedas por título, importe, área tecnológica, tecnología, ámbito geográfico de la entidad adjudicadora, región, mercado vertical, fecha, procedimiento, tipo de concurso, organismo adjudicador, adjudicatario… y una presentación gráfica interactiva de los resultados.
Además, ofrecemos información competitiva, como avisos de vencimiento de contratos, ratios de reducción de precio en los proyectos, criterios de adjudicación…
