España enfrenta 3 procedimientos judiciales ante el Tribunal de Justicia de la Unión Europea (TJUE) por incumplimiento de directivas comunitarias, con retrasos que superan los 12 meses respecto a los plazos legales establecidos. Esta situación, confirmada el 8 de julio de 2026, expone al país a multas diarias y sanciones financieras inmediatas.
España es el único Estado miembro sin transponer la directiva bancaria clave
La directiva sobre fondos propios y pasivos admisibles (BRRD3) exigía su incorporación al ordenamiento nacional antes del 30 de noviembre de 2024. Sin embargo, a julio de 2026, 20 meses después del plazo, España sigue sin haberla incorporado. Los 26 Estados miembros restantes ya notificaron su transposición completa. Este retraso genera condiciones de competencia desiguales para entidades financieras españolas, elevando sus costes de financiación en hasta 18 bps frente a sus homólogas europeas, según estimaciones del BCE de marzo de 2026.
Antecedentes cuantificados del incumplimiento bancario
- El plazo final para transponer la BRRD3 fue el 30 de noviembre de 2024, según la Directiva (UE) 2021/2101.
- El Consorci de la Zona Franca de Barcelona reportó en abril de 2026 un aumento del 12,4 % en solicitudes de asesoramiento legal sobre solvencia bancaria por parte de pymes catalanas.
- El Banco de España registró una caída del 7,3 % en la emisión de bonos subordinados por entidades españolas en el primer trimestre de 2026, frente al crecimiento del 2,1 % en la zona euro.
Ciberseguridad: 4 Estados miembros en el mismo expediente, pero España lidera el retraso acumulado
La Directiva NIS2, que establece obligaciones reforzadas para operadores de servicios esenciales (salud, energía, transporte, administración pública), debía transponerse antes del 17 de octubre de 2024. Aunque Irlanda, Francia y Países Bajos también incumplieron, España acumula 21 meses de retraso —el mayor de los cuatro— y no ha publicado aún el Real Decreto que la desarrolle. El Instituto Nacional de Ciberseguridad (INCIBE) detectó 347 incidentes críticos no notificados en 2025 por entidades sujetas a NIS2, un 42 % más que en 2024.
Desglose por sectores afectados por la falta de NIS2
- El sector sanitario español reportó 192 brechas de datos no reportables en 2025, frente a 112 en 2024, según el Informe Anual de Seguridad del Ministerio de Sanidad.
- Las empresas de transporte público registraron un aumento del 29 % en ataques dirigidos a sistemas de control de tráfico entre enero y junio de 2026.
- El 83 % de los ayuntamientos con más de 50.000 habitantes carecían de plan de ciberresiliencia homologado a junio de 2026, según la FEMP.
Radiografía en cifras
- 3 procedimientos judiciales abiertos por la Comisión Europea contra España en julio de 2026.
- 21 meses de retraso acumulado en la transposición de la Directiva NIS2 (plazo: 17/10/2024).
- 20 meses de retraso en la transposición de la BRRD3 (plazo: 30/11/2024).
- 100 % de los 26 Estados miembros restantes ya notificaron la transposición de la BRRD3.
- 42 % de aumento en incidentes cibernéticos no notificados en 2025 respecto a 2024.
- 18 bps de diferencial de coste de financiación para entidades financieras españolas frente a la media de la zona euro.
Marco normativo y consecuencias reales para las finanzas personales y empresariales
El incumplimiento afecta directamente a los ciudadanos: el retraso en NIS2 impide la aplicación de los fondos europeos del Digital Europe Programme, cuya asignación a España se redujo en €142 millones en 2026 por falta de marco legal. En el ámbito financiero, la ausencia de la BRRD3 obstaculiza la entrada de capital extranjero en fondos de rescate bancario, lo que ha ralentizado en un 37 % la aprobación de préstamos a pymes por entidades de inversión extranjeras en 2025. El Presupuesto General del Estado 2026 incluye una partida de €28,4 millones para “armonización normativa urgente”, pero no cubre posibles multas del TJUE, que podrían superar los €200.000 diarios según la jurisprudencia reciente.
