ISGroup Consultoría de Ciberseguridad

¿Están cubiertas las pequeñas y medianas empresas (PYMES) por la Directiva NIS2?

La aplicación de la Directiva NIS2 a las PYMES no es universal y depende de varios factores, entre ellos el sector, el tamaño de la empresa y el perfil de riesgo.

Regla general: La directiva se aplica principalmente a las empresas medianas y grandes en los sectores enumerados en los Anexos I y II. Esto implica que las pequeñas empresas generalmente no entran en el ámbito de aplicación, salvo las excepciones específicas que se indican a continuación.

  • Umbral dimensional: La directiva se aplica a las entidades consideradas “empresas medianas” según lo definido en la Recomendación 2003/361/CE o de dimensiones superiores.
  • Inclusión sectorial: Las PYMES que operan en determinados sectores están siempre cubiertas por la Directiva NIS2, independientemente de su tamaño. Entre estos sectores encontramos:
    • Proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público;
    • Proveedores de servicios de confianza;
    • Entidades que prestan servicios de registro de nombres de dominio.
  • Infraestructuras críticas: Las PYMES identificadas como “entidades críticas” en virtud de la Directiva CER (Resiliencia de las Entidades Críticas) también están cubiertas por la NIS2, independientemente de su tamaño. Esto subraya la interconexión entre la resiliencia física y cibernética para las infraestructuras críticas.
  • PYMES de alto riesgo: Los Estados miembros tienen la facultad de identificar entidades de menor tamaño con un perfil de riesgo elevado que deben estar sujetas a las obligaciones de la directiva. Esta disposición reconoce que el tamaño no es el único factor determinante para el riesgo de ciberseguridad.

Nota importante: Aunque las PYMES pueden no entrar directamente en el ámbito de aplicación de la NIS2, la directiva las anima a adoptar prácticas de ciberseguridad robustas. Por ejemplo, las empresas más grandes sujetas a la NIS2 deben abordar los riesgos de ciberseguridad dentro de sus cadenas de suministro, influyendo indirectamente en la postura de ciberseguridad de sus proveedores PYME. Si tu empresa se encuentra en una zona gris o quiere verificar con precisión su perímetro, puede ser útil iniciar un camino estructurado de cumplimiento de la NIS2 con el apoyo de expertos.

[Callforaction-NIS2-Footer]

In