La Directiva europea NIS2 cataloga la producción y distribución de alimentos como sector crítico y obligará a bodegas, cooperativas y empresas agroalimentarias con más de 50 empleados o 10 millones de euros de facturación a demostrar un nivel exigible de protección frente a ciberataques. España aún no ha completado la transposición, pero el retraso no exime del cumplimiento: la ley definitiva podría publicarse en el BOE en cualquier momento de 2026.

La Directiva (UE) 2022/2555, conocida como NIS2, entró en vigor en enero de 2023 con un plazo de transposición para los Estados miembros hasta el 17 de octubre de 2024. España no llegó a tiempo. El Consejo de Ministros aprobó en enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad y realizó una transposición parcial mediante el Real Decreto-ley 7/2025, pero la ley definitiva sigue en tramitación parlamentaria. La Comisión Europea abrió un procedimiento de infracción y en mayo de 2025 envió a España un dictamen motivado que puede derivar en un recurso ante el Tribunal de Justicia de la UE.

Lo que los expertos del INCIBE (Instituto Nacional de Ciberseguridad) y el Centro Criptológico Nacional subrayan es que el retraso legislativo no protege a las empresas: las obligaciones serán exigibles desde el momento en que la ley entre en vigor, sin periodo transitorio prolongado. Las organizaciones que empiecen a prepararse ahora partirán con ventaja cuando llegue ese momento.

Para el sector vitivinícola y agroalimentario, la novedad más relevante de NIS2 es la inclusión explícita de la producción y distribución de alimentos como sector crítico. Esto significa que cualquier bodega, cooperativa o empresa de la cadena alimentaria andaluza que supere los 50 trabajadores o facture más de 10 millones de euros anuales entra en el ámbito de aplicación de la directiva. La norma clasifica a las entidades en dos categorías —esenciales e importantes— con distintos niveles de supervisión y régimen sancionador.

"Los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación." — Directiva (UE) 2022/2555, artículo 20, según interpretación del Centro Criptológico Nacional

La norma introduce un cambio de paradigma: la ciberseguridad deja de ser responsabilidad exclusiva del departamento de IT. Los órganos de dirección deben aprobar las medidas, supervisar su ejecución y acreditar formación específica en la materia. El incumplimiento puede derivar en sanciones de hasta 10 millones de euros o el 2% de la facturación global para entidades esenciales, y hasta 7 millones o el 1,4% para las importantes. Además, la directiva contempla la inhabilitación temporal de directivos en casos de negligencia grave.

El sector vitivinícola presenta una vulnerabilidad específica: los sistemas de operación (OT) que controlan fermentación, temperatura, embotellado o trazabilidad no fueron diseñados originalmente con criterios de seguridad digital. A eso se suma el despliegue creciente de dispositivos IoT en la viticultura de precisión —sensores de suelo, sistemas de riego, estaciones climáticas— que amplían la superficie de ataque. Incidentes documentados en el sector muestran que un ciberataque puede detener líneas de producción, comprometer parámetros críticos de elaboración o bloquear la trazabilidad del producto en plena campaña de vendimia.

Las obligaciones concretas que establece la directiva incluyen políticas de gestión de riesgos, planes de continuidad de negocio y recuperación ante desastres, evaluación de proveedores con acceso a sistemas críticos, y un sistema de notificación de incidentes por fases: alerta temprana en 24 horas, informe completo en 72 horas e informe final en el plazo de un mes. El INCIBE-CERT actúa como equipo de referencia para la respuesta a incidentes en España.

Ante la incertidumbre sobre la fecha exacta de entrada en vigor de la ley nacional, tanto el INCIBE como el CCN recomiendan a las empresas afectadas no esperar a la publicación en el BOE. El primer paso es determinar si la organización está dentro del ámbito de aplicación —actividad CNAE/NACE frente a los Anexos I y II de la directiva— y elaborar un inventario de activos digitales y sistemas críticos. El INCIBE mantiene actualizada una página de referencia sobre NIS2 con orientación para entidades afectadas.

➤ vtm.news 16 de mayo de 2026