ISGroup Consultoría de Ciberseguridad

¿Cuáles son los umbrales dimensionales para entrar en el ámbito de aplicación de la NIS2?

La Directiva NIS2 introduce un cambio significativo respecto a su versión anterior, incorporando los umbrales dimensionales como criterio clave para determinar si una entidad entra en su ámbito de aplicación. Las fuentes indican un enfoque de dos niveles: un umbral dimensional general basado en el tamaño de la empresa y un enfoque más flexible que considera factores más allá del tamaño.

[Callforaction-NIS2]

  • Umbral Dimensional General: El Artículo 2 de la Directiva NIS2 establece la regla general para la inclusión basada en el tamaño. Las entidades generalmente entran en el ámbito de aplicación de la directiva si cumplen uno de los siguientes criterios:
    • Empresa de Mediana Dimensión: Clasificada como empresa de mediana dimensión según el Artículo 2, Párrafo 1 del Anexo a la Recomendación 2003/361/CE.
    • Superación de los umbrales para las empresas de mediana dimensión: Superación de los umbrales máximos para las empresas de mediana dimensión, según lo establecido en el Artículo 2, Párrafo 1 del Anexo a la Recomendación 2003/361/CE.
  • Más allá del tamaño: Flexibilidad para los Estados miembros: Aunque el tamaño es un factor primario, la Directiva NIS2 reconoce que incluso las entidades más pequeñas podrían representar un riesgo significativo para la ciberseguridad. Concede a los Estados miembros la discrecionalidad para incluir entidades que no alcanzan el umbral dimensional general basándose en criterios específicos:
    • Perfil de Riesgo Elevado: Los Estados miembros pueden identificar entidades de dimensiones reducidas con un perfil de riesgo elevado y someterlas a las obligaciones de la Directiva NIS2. Los criterios para determinar un perfil de riesgo elevado no están explícitamente definidos en los textos proporcionados, lo que sugiere que los Estados miembros pueden tener cierto margen de autonomía al definir dichos criterios.
    • Entidades Esenciales: El Artículo 2, Párrafo 2(b)-(e) permite a los Estados miembros designar a ciertas entidades como “entidades esenciales”, incluso si no cumplen con los umbrales dimensionales generales. Esta designación depende de la posibilidad de que las interrupciones de los servicios ofrecidos por la entidad puedan tener un impacto significativo en el mantenimiento de las actividades críticas de la sociedad o de la economía. Los factores para realizar esta determinación incluyen:
      • La entidad es el único proveedor en un Estado miembro de un servicio considerado esencial para el mantenimiento de funciones vitales de la sociedad o de la economía.
      • La posibilidad de que las interrupciones de los servicios ofrecidos por la entidad puedan tener un impacto sustancial en la seguridad pública, la salud pública o la seguridad nacional.
      • La posibilidad de que las interrupciones de los servicios ofrecidos por la entidad puedan provocar un riesgo sistémico significativo, en particular en sectores donde tales interrupciones podrían tener implicaciones transfronterizas.
  • Casos específicos independientemente del tamaño: Algunas entidades, independientemente de su tamaño, entran automáticamente en el campo de aplicación de la NIS2:
    • Entidades Críticas: El Artículo 2, Párrafo 3 establece que la Directiva se aplica a todas las entidades designadas como “entidades críticas” según la Directiva (UE) 2022/2557. Esto implica que las infraestructuras críticas y las entidades esenciales para la seguridad nacional o los servicios esenciales están cubiertas por la NIS2 independientemente de su tamaño.
    • Servicios de Registro de Nombres de Dominio: El Artículo 2, Párrafo 4 impone que la Directiva se aplique a todas las entidades que proporcionan servicios de registro de nombres de dominio, independientemente de su tamaño. Esto subraya el papel crítico del registro de nombres de dominio en la ciberseguridad y la importancia de garantizar que estas entidades cumplan con estándares de seguridad sólidos.

En resumen, aunque la NIS2 introduce un umbral dimensional general basado en la definición de empresa de mediana dimensión, permite a los Estados miembros cierta flexibilidad para incluir entidades más pequeñas según sus perfiles de riesgo o si son consideradas proveedores de servicios esenciales. Además, algunas entidades críticas y proveedores de servicios de registro de nombres de dominio están cubiertos independientemente de su tamaño. Si su organización entra en uno de estos perímetros, un camino estructurado de adaptación a la Directiva NIS2 ayuda a identificar las obligaciones aplicables y a planificar las medidas necesarias —incluidos los plazos de registro en la lista ACN que los sujetos NIS2 deben respetar.

[Callforaction-NIS2-Footer]

In