La Directiva NIS2 extiende su ámbito de aplicación a las entidades que operan en sectores específicos, incluso si no están establecidas en la UE. La directiva pone el énfasis en dónde una entidad presta sus servicios o desarrolla sus actividades, más que en su sede física.

El Artículo 2, Apartado 1 establece que la directiva se aplica a las entidades públicas o privadas de los tipos enumerados en los Anexos I o II, “consideradas empresas medianas… o que superen los límites previstos para las empresas medianas… y que presten sus servicios o realicen sus actividades dentro de la Unión.“

El Artículo 2, Apartado 2 aclara además que la directiva se aplica a las entidades enumeradas en los Anexos I o II, independientemente de su tamaño, si sus servicios son ofrecidos por:

• Proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público;
• Prestadores de servicios de confianza.

El Artículo 2, Apartado 4 especifica que la directiva también se aplica a las entidades que prestan servicios de registro de nombres de dominio, independientemente de su tamaño.

El Artículo 26 establece la jurisdicción y la territorialidad de la directiva. En particular, el Artículo 26, Apartado 1(b) precisa que ciertas entidades entran en la jurisdicción de la directiva en función de la ubicación de su establecimiento principal en la UE. Esto incluye a los proveedores de servicios del sistema de nombres de dominio, los registros de nombres de dominio de primer nivel, las entidades que ofrecen servicios de registro de nombres de dominio, los proveedores de servicios en la nube, los proveedores de servicios de centros de datos, los proveedores de redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, así como los proveedores de mercados en línea, motores de búsqueda en línea y plataformas de redes sociales.

Para garantizar el cumplimiento de las entidades no establecidas en la UE pero que ofrecen servicios dentro de sus fronteras, el Artículo 26, Apartado 3 impone a dichas entidades la obligación de designar un representante dentro de la UE. Este representante debe estar establecido en uno de los Estados miembros en los que se ofrecen los servicios. Las organizaciones que se encuentren en esta situación y deban iniciar un camino estructurado de adecuación a la NIS2 pueden encontrar útil un apoyo especializado para mapear las obligaciones aplicables y definir las acciones concretas.

Puntos clave:

• La aplicabilidad de la Directiva NIS2 se basa en el lugar donde una entidad opera o presta servicios, y no exclusivamente en el lugar donde está establecida.
• Las entidades que operan en sectores como las comunicaciones electrónicas, los servicios de confianza y el registro de nombres de dominio, entre otros, están particularmente sujetas a la NIS2 incluso si están establecidas fuera de la UE, siempre que presten servicios dentro de la Unión.
• El requisito de designar un representante en la UE garantiza que las entidades externas a la UE puedan ser consideradas responsables del cumplimiento de la NIS2.

Consideraciones adicionales:

• No se especifica cómo pretende la UE hacer cumplir la Directiva NIS2 a las entidades que operan en jurisdicciones sin acuerdos de cooperación con la UE. Podría ser necesario profundizar en este aspecto con investigaciones adicionales. Para quienes deseen partir del texto oficial de la Directiva NIS2, está disponible el documento íntegro de referencia.

[Callforaction-NIS2-Footer]