ISGroup Consultoría de Ciberseguridad

NIS2: ¿Existen exenciones o derogaciones?

Las fuentes indican diversos ejemplos de exenciones y derogaciones que eximen a una entidad de tener que cumplir con todas o algunas de las disposiciones de la Directiva NIS2.

[Callforaction-NIS2]

NIS2: Legislación sectorial específica

La Directiva NIS2 tiene como objetivo establecer un estándar mínimo de ciberseguridad en una amplia gama de sectores. Sin embargo, reconoce que algunos sectores pueden estar ya sujetos a legislaciones específicas de la UE que abordan los riesgos informáticos y los requisitos de notificación de incidentes. Si los requisitos de la legislación sectorial específica son al menos tan estrictos como los previstos por la Directiva NIS2, las entidades afectadas estarán exentas de las disposiciones correspondientes de la Directiva NIS2. Dicha exención se refiere a las disposiciones relativas a las medidas de gestión de riesgos informáticos y a las obligaciones de notificación de incidentes.

  • Equivalencia: Para establecer si una ley sectorial es equivalente, esta debe cumplir uno de los dos criterios:
  • Los efectos de las medidas de gestión de riesgos de la legislación sectorial deben ser al menos equivalentes a los artículos 21(1-2) de la Directiva NIS2.
  • La legislación sectorial debe garantizar acceso inmediato (y potencialmente automático y directo) a las notificaciones de incidentes enviadas por los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), por las autoridades competentes o por los puntos de contacto únicos. Además, las obligaciones relativas a la notificación de incidentes significativos en la legislación sectorial deben ser al menos equivalentes a las previstas en los artículos 23(1-6) de la Directiva NIS2.
  • Cobertura parcial: Si la legislación sectorial cubre solo un subconjunto de entidades dentro de un sector que entra en el ámbito de aplicación de la Directiva NIS2, las disposiciones de la directiva se aplicarán de todos modos a las entidades restantes de dicho sector.

Las fuentes citan el Reglamento de Resiliencia Operativa Digital (DORA) como ejemplo específico de legislación sectorial que exime a determinadas entidades de la Directiva NIS2. DORA regula la ciberseguridad del sector financiero, y las entidades que entran en su ámbito de aplicación no están sujetas a las disposiciones correspondientes de la Directiva NIS2. Para las organizaciones que, por el contrario, caen plenamente en el ámbito NIS2, iniciar un camino estructurado de adaptación a la directiva es la forma más eficaz de gestionar las obligaciones de manera ordenada.

Administración pública y seguridad nacional

La Directiva NIS2 exime a algunas entidades de la administración pública que operan en sectores relacionados con la seguridad nacional, la seguridad pública, la defensa o las actividades de aplicación de la ley. Esta exención se aplica a actividades como la prevención, investigación, detección y enjuiciamiento de delitos. Las entidades que prestan servicios exclusivamente a estas administraciones públicas exentas también pueden estar exentas de algunas obligaciones de la Directiva NIS2, según la decisión de los Estados miembros.

  • Proveedores de servicios de confianza: Sin embargo, aunque una entidad esté exenta debido a su participación en sectores relacionados con la seguridad nacional o pública, la Directiva NIS2 se aplica de todos modos si la entidad actúa como proveedor de servicios de confianza.

NIS2: Otras exenciones y derogaciones

La Directiva NIS2 prevé también otras exenciones y derogaciones, entre ellas:

  • Entidades exentas del DORA: Las entidades que los Estados miembros han eximido del DORA de conformidad con el artículo 2(4) de dicho reglamento también están exentas de la Directiva NIS2.
  • Protección de los intereses esenciales: Las obligaciones de la directiva no exigen a las entidades divulgar información que comprometería los intereses esenciales de seguridad nacional, seguridad pública o defensa de un Estado miembro.
  • Confidencialidad de la información: La información confidencial, como los secretos comerciales, protegida por la normativa de la UE o nacional, solo puede compartirse con la Comisión y las demás autoridades competentes si es estrictamente necesario para la aplicación de la directiva.
  • Protección de datos: El tratamiento de datos personales en el marco de la Directiva NIS2 debe ser conforme al Reglamento General de Protección de Datos (RGPD). Los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público también deben cumplir con la normativa de la UE en materia de protección de datos y privacidad, incluida la Directiva 2002/58/CE.

Estándares nacionales más elevados

La Directiva NIS2 establece requisitos mínimos de ciberseguridad en toda la UE. Sin embargo, no impide que los Estados miembros adopten o mantengan disposiciones más estrictas en materia de ciberseguridad. Mientras dichas disposiciones nacionales sean compatibles con el derecho de la UE, pueden coexistir con la Directiva NIS2.

Directrices de la Comisión

La Comisión Europea es responsable de proporcionar directrices para aclarar la aplicación de estas exenciones y derogaciones, especialmente en situaciones que involucran legislaciones sectoriales específicas. La Comisión también proporciona indicaciones sobre la información que los Estados miembros deben transmitir cuando notifican a la Comisión las listas de entidades esenciales e importantes cubiertas por la directiva.

Es importante señalar que las fuentes se centran principalmente en las exenciones y derogaciones mencionadas explícitamente en la Directiva NIS2. Es posible que el derecho nacional u otras normativas de la UE puedan influir en la aplicación de la directiva de formas no tratadas explícitamente en el texto proporcionado. Para obtener un panorama completo de las obligaciones aplicables a su organización, es útil consultar también la lista de sujetos NIS2 publicada por la ACN y los plazos de cumplimiento correspondientes.

Preguntas frecuentes sobre las exenciones NIS2

  • ¿Cómo puede una organización verificar si entra en una exención de la Directiva NIS2?
  • El punto de partida es verificar si la organización opera en un sector ya regulado por una normativa sectorial específica de la UE —como DORA para el sector financiero— y si dicha normativa cumple los criterios de equivalencia previstos por la NIS2. En caso de duda, es aconsejable realizar un análisis del perímetro de aplicación antes de asumir que se está exento.
  • ¿Una entidad parcialmente cubierta por DORA está sujeta a la NIS2?
  • Depende del ámbito de aplicación. Si DORA cubre solo algunas actividades o algunas entidades de un sector, las entidades o actividades restantes no cubiertas permanecen sujetas a la Directiva NIS2. La exención no es automática ni total: debe verificarse caso por caso respecto al perímetro efectivo de cada normativa.
  • ¿Los estándares nacionales más estrictos se aplican también a las entidades que se benefician de una exención NIS2?
  • Las exenciones previstas por la NIS2 se refieren a las obligaciones de la propia directiva. Los Estados miembros pueden adoptar disposiciones nacionales más estrictas compatibles con el derecho de la UE, y estas pueden, en principio, aplicarse también a sujetos que resultan exentos de la NIS2, dependiendo de cómo el legislador nacional haya transpuesto y delimitado las exenciones.

[Callforaction-NIS2-Footer]

In