NIS2 en Espagne

1. Aperçu rapide de l'applicabilité pour les PME en Espagne

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les PME en Espagne ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Espagne et, dans certains cas, aux fournisseurs numériques étrangers desservant le marché espagnol.

Les PME doivent évaluer leur éligibilité au titre du cadre national de cybersécurité de l'Espagne en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en œuvre de NIS2 en Espagne

L'Espagne n'a pas encore adopté sa transposition de NIS2. L'Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a été approuvé par le Conseil des ministres le 14 janvier 2025 mais, en avril 2026, demeure en attente de débat parlementaire devant les Cortes Generales. L'Espagne a manqué le délai de transposition du 17 octobre 2024 et a reçu un avis motivé de la CE le 7 mai 2025. Le cadre NIS1 (Royal Decree-Law 12/2018) continue de s'appliquer.

Une fois adoptée, la nouvelle loi créera le Centro Nacional de Ciberseguridad (CNC) en tant qu'autorité principale, point de contact unique pour l'UE et coordinateur de crise. Trois CSIRT de référence sont désignés — CCN-CERT (secteur public), INCIBE-CERT (entités privées) et ESPDEF-CERT (Forces armées). Les notifications transiteront par la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

L'avant-projet espagnol étend le champ d'application au-delà du minimum prévu par la Directive (universités, centres de recherche, grandes municipalités, entreprises de sécurité privée, entités à implication de défense et entreprises étrangères disposant d'un établissement permanent en Espagne), introduit une structure d'amendes nationales graduée (10 000 €–2 M€, avec des plafonds supérieurs de type NIS2 pour les cas les plus graves), et exige que chaque entité désigne un Responsable de Seguridad de la Información.

3. Champ d'application en Spain

La portée de Spain reflète les catégories sectorielles minimales de la Directive sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME en Spain

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui satisfont aux deux critères dans les secteurs couverts sont automatiquement incluses dans le champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités espagnoles conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Espagne

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations en matière de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifie une surveillance renforcée.

L'Espagne suit la structure de supervision à deux niveaux de la Directive.

6. Exigences de gestion des risques de cybersécurité en Espagne

Le régime national de l'Espagne est aligné sur le socle de la Directive pour la gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées portant sur :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 en Espagne
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et mesures de protection cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter des normes à l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les lignes directrices espagnoles en matière de cybersécurité est encouragé.

7. Responsabilité des dirigeants et gouvernance en Spain

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre de Spain :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir des compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent viser les défaillances de gouvernance.
• La suspension temporaire de fonctions dirigeantes peut être prévue dans le cadre de mécanismes d'application alignés sur la Directive.

En Espagne, les attentes en matière de responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification des incidents en Espagne

9. Autorités de surveillance et modèle d'exécution en Espagne

Sous le cadre NIS1 actuel (toujours en vigueur), les ministères sectoriels font office d'autorités compétentes. Au titre du projet de Ley (non encore adopté), le Centro Nacional de Ciberseguridad (CNC) sera l'autorité principale, point de contact unique pour l'UE et autorité de gestion de crise, coordonnant les trois CSIRT nationaux (CCN-CERT, INCIBE-CERT, ESPDEF-CERT). Un régime transitoire maintient les autorités sectorielles jusqu'à ce que le CNC soit opérationnel.

L'Espagne met en œuvre un modèle de supervision multi-autorités. Les ministères sectoriels supervisent actuellement au titre de NIS1 ; le projet de loi centraliserait la coordination sous le CNC, avec CCN-CERT, INCIBE-CERT et ESPDEF-CERT apportant un appui à la réponse aux incidents. Ces dispositions ne sont pas encore juridiquement opérationnelles.

Les pouvoirs de surveillance comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coordination de la cybersécurité de l'EU

La structure d'application est conforme aux exigences de coopération au niveau de la directive. Ces pouvoirs ne sont pas encore juridiquement opérationnels dans l'attente de l'adoption de la Ley de Coordinación y Gobernanza de la Ciberseguridad.

10. Amendes et sanctions NIS2 en Espagne

L'Espagne applique des sanctions administratives conformes à la directive.

L'application des amendes NIS2 en Espagne peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension à l'encontre des dirigeants

La responsabilité pénale ne s'applique que lorsqu'elle est explicitement prévue par la législation espagnole.

11. NIS2 - Sécurité de la chaîne d'approvisionnement et des fournisseurs en Espagne

Les entités doivent gérer l'exposition aux cyberrisques liés aux tiers au moyen de :

• Évaluations des risques des fournisseurs
• Dispositions contractuelles de transfert en cascade des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de l'Espagne est conforme aux attentes de base de la directive en matière de gestion des risques fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Espagne

Les entités entrant dans le champ d'application doivent :

• Aucune obligation d'enregistrement NIS2 n'existe actuellement en Espagne — la Ley de Coordinación y Gobernanza n'a pas encore été adoptée ; les exigences d'enregistrement seront établies une fois la loi votée ; les entités devraient commencer dès maintenant une auto-évaluation volontaire pour déterminer leur classification probable comme essentielles/importantes
• Fournir les informations d'identification de l'entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les points de contact de déclaration

Il n'existe aucun délai actif d'enregistrement ou de conformité NIS2 en Espagne. Une fois adoptée, la loi fixera des délais d'enregistrement et exigera la désignation d'un Responsable de Seguridad de la Información par entité. Utilisez les guides sectoriels et outils d'auto-classification d'INCIBE pour vous préparer.

L'auto-identification deviendra obligatoire une fois la loi adoptée. Une évaluation volontaire du périmètre dès maintenant (classification sectorielle + seuils de taille) est fortement recommandée.

13. Interaction avec le GDPR et d'autres lois en Espagne

Le General Data Protection Regulation continue de s'appliquer parallèlement.

Les considérations de chevauchement incluent :

• Notification de violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se trouve en Espagne sont supervisées par les autorités espagnoles pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Espagne peuvent être soumis à des obligations nationales selon la structure de leur établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché espagnol.

15. Calendrier de mise en œuvre en Espagne

• Adoption de la Directive : 2022
• Adoption de la directive : 2022
• Modifications législatives nationales : Anteproyecto approuvé par le Conseil des ministres le 14 janvier 2025 ; consultation publique janvier–février 2025 ; en attente de débat parlementaire devant les Cortes Generales en avril 2026
• Entrée en vigueur : Non encore adoptée ; le RD-Loi NIS1 12/2018 continue de s'appliquer
• Notification à la Commission : Avis motivé de la CE du 7 mai 2025 ; un renvoi devant la CJUE reste possible
• Jalon de conformité : Aucune échéance NIS2 actuellement active ; les obligations d'enregistrement, de classification et de gestion des risques seront fixées après l'adoption

L'Espagne a manqué le délai européen pour NIS2 et reste sous procédure d'infraction de la CE. La Ley de Coordinación y Gobernanza est en attente d'adoption parlementaire ; NIS1 continue de s'appliquer. Les entités devraient profiter de cette période pour réaliser des évaluations volontaires du périmètre et préparer la conformité.

16. Points clés pour les PME en Espagne

• Les entités de taille moyenne dans les secteurs couverts entreront dans le champ d'application une fois la loi adoptée ; le projet étend le champ au-delà du minimum prévu par la Directive (universités, centres de recherche, grandes municipalités, entreprises de sécurité privée) — commencez dès maintenant une évaluation volontaire du périmètre.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• Une supervision de la gouvernance au niveau du conseil d'administration est obligatoire.
• La notification des incidents suivra des délais de 24 h / 72 h / 1 mois une fois adoptée, soumise au CSIRT compétent — CCN-CERT (public) / INCIBE-CERT (privé) / ESPDEF-CERT (Forces armées).
• Les sanctions financières peuvent atteindre €10 millions ou 2 % du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est obligatoire.
• Le projet de loi n'est pas encore adopté mais son adoption pourrait intervenir à tout moment. Réalisez une évaluation volontaire du périmètre avec les outils INCIBE, alignez la gouvernance interne sur le cadre ENS (Esquema Nacional de Seguridad) et préparez la désignation d'un Responsable de Seguridad de la Información dès l'adoption.

FAQ : Guide NIS2 pour les PME en Espagne