ISGroup Consultoría de Ciberseguridad

Directiva NIS2: ¿A quién se aplica?

La Directiva NIS2 cubre un amplio espectro de sectores y tipos de entidades en la UE, con el objetivo de fortalecer la ciberseguridad en toda la Unión. Si deseas saber si tu organización entra dentro del perímetro, el primer paso es verificar el sector al que pertenece y el tamaño de la empresa.

Aquí tienes una visión general de las entidades sujetas a las normativas de la Directiva:

Entidades esenciales e importantes

La Directiva NIS2 clasifica a las entidades según su impacto potencial en los servicios esenciales y las funciones sociales. Se definen dos categorías principales:

  • Entidades Esenciales: Son aquellas cuya interrupción tendría un impacto significativo en los servicios esenciales y las funciones sociales. Esta categoría incluye entidades de gran tamaño que operan en sectores específicos, como energía, transporte, salud e infraestructuras de los mercados financieros.
  • Entidades Importantes: En esta clasificación entran las entidades consideradas importantes para determinados sectores, pero cuya interrupción no tendría el mismo impacto generalizado que las entidades esenciales. Típicamente, esta categoría incluye empresas de tamaño mediano que operan en sectores como servicios postales y de mensajería, gestión de residuos y proveedores de servicios digitales.

[Callforaction-NIS2]

La Directiva NIS2 enumera explícitamente los sectores y subsectores sujetos a sus normativas de ciberseguridad. Estos se dividen en “sectores de alta criticidad” y “otros sectores críticos”, según su importancia para el funcionamiento general de la UE. Aquí tienes un resumen:

Sectores de alta criticidad

  • Energía: Incluye electricidad, calefacción y refrigeración urbana, petróleo, gas e hidrógeno.
  • Transporte: Cubre transporte aéreo, ferroviario, marítimo y por carretera.
  • Bancario
  • Infraestructuras de los mercados financieros
  • Salud: Incluye la producción de productos farmacéuticos, incluidas las vacunas.
  • Agua potable
  • Aguas residuales
  • Infraestructuras digitales: Comprende puntos de intercambio de Internet, proveedores de servicios DNS, registros de nombres de dominio de primer nivel (TLD), proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, redes de distribución de contenidos (CDN), proveedores de servicios de confianza y proveedores de redes de comunicaciones electrónicas públicas y servicios de comunicaciones electrónicas disponibles para el público.
  • Gestión de servicios TIC: Incluye proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados.
  • Administración Pública
  • Espacio

Otros sectores críticos

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Industria química
  • Alimentación
  • Fabricación de dispositivos médicos, ordenadores y electrónica, maquinaria y equipos, vehículos de motor, remolques y semirremolques y otros medios de transporte
  • Proveedores de servicios digitales: Incluye mercados en línea, motores de búsqueda en línea y plataformas de redes sociales.
  • Organizaciones de investigación

Consideraciones sobre el umbral dimensional

Aunque los umbrales dimensionales específicos no se detallan en estas secciones de las fuentes, es importante notar que todas las empresas medianas y grandes que operan en los sectores enumerados están generalmente sujetas a las normativas de la NIS2. Esto representa un cambio significativo respecto a la NIS1, que se centraba en un número limitado de operadores designados. Si tu organización opera en uno de estos sectores, es conveniente verificar con atención su propio perímetro de aplicación: el camino de adaptación a la Directiva NIS2 comienza precisamente con esta evaluación inicial.

Consideraciones adicionales sobre la Directiva NIS2

La Directiva NIS2 otorga a los Estados miembros cierta flexibilidad en la identificación de las entidades sujetas a sus normativas.

  • Entidades con perfil de riesgo elevado: Los Estados miembros tienen la discrecionalidad de identificar entidades más pequeñas con un perfil de riesgo de seguridad elevado que deberían incluirse, incluso si no cumplen con las dimensiones típicas previstas.
  • Entidades que prestan servicios de registro de nombres de dominio: Independientemente de su tamaño, las entidades que prestan estos servicios entran en el ámbito de aplicación de la Directiva NIS2.

Exenciones de la Directiva NIS2

Aunque la Directiva NIS2 apunta a una cobertura completa de la ciberseguridad, prevé algunas exenciones.

  • Actividades de seguridad nacional y pública: Las entidades que operan en sectores como seguridad nacional, seguridad pública, defensa y fuerzas del orden pueden estar exentas de algunas obligaciones de la Directiva NIS2.
  • Entidades que prestan servicios exclusivamente a la Administración Pública: Las entidades que prestan servicios exclusivamente a organismos de la Administración Pública indicados en la Directiva también pueden estar exentas.
  • Entidades exentas según el Reglamento DORA: Las entidades ya exentas según el Reglamento sobre la resiliencia operativa digital para el sector financiero (DORA) no están sujetas a los requisitos de la Directiva NIS2.

Alineación con la legislación sectorial específica

La Directiva NIS2 subraya la alineación con la legislación sectorial existente y futura de la Unión. En los casos en que dicha legislación prevea medidas de gestión del riesgo de ciberseguridad o requisitos de notificación de incidentes con efectos equivalentes o más estrictos que la Directiva NIS2, prevalecerá la legislación sectorial específica. Un ejemplo relevante es la relación entre la Directiva NIS2 y el Reglamento DORA en el sector financiero.

Para profundizar en el marco normativo completo, puedes consultar el documento oficial de la Directiva NIS2 o leer cuál es el objetivo principal de la Directiva NIS2. Si, por el contrario, tu organización ya está en fase de registro, encontrarás información práctica sobre cómo funciona la lista ACN y los plazos para los sujetos NIS2.

Preguntas frecuentes sobre la aplicación de la Directiva NIS2

  • ¿Las pequeñas empresas están siempre excluidas de la Directiva NIS2?
  • En términos generales, sí: la NIS2 se aplica a las empresas medianas y grandes que operan en los sectores cubiertos. Sin embargo, los Estados miembros pueden incluir entidades más pequeñas si presentan un perfil de riesgo elevado, y algunas categorías —como los proveedores de servicios de registro de nombres de dominio— entran en el perímetro independientemente de su tamaño.
  • ¿Los proveedores y subcontratistas de una entidad sujeta a la NIS2 deben adaptarse también?
  • La Directiva no impone obligaciones directas a los proveedores de la cadena de suministro, pero las entidades sujetas están obligadas a gestionar los riesgos relacionados con sus proveedores TIC. En la práctica, esto a menudo se traduce en requisitos contractuales de seguridad que los proveedores deben cumplir para seguir operando con los sujetos NIS2.
  • ¿Cómo se verifica concretamente si la propia organización entra en el perímetro NIS2?
  • El primer paso es verificar si el sector de actividad se encuentra entre los enumerados en los anexos de la Directiva, y luego comprobar si se superan los umbrales dimensionales previstos (al menos 50 empleados o 10 millones de euros de facturación para las empresas medianas). En Italia, la ACN gestiona el proceso de registro y proporciona indicaciones operativas para la autoevaluación.

[Callforaction-NIS2-Footer]

In