Sí, las entidades de la administración pública están cubiertas por la Directiva NIS2, aunque con algunas especificidades. Para comprender el objetivo principal de la Directiva NIS2 y su ámbito de aplicación, es útil partir del análisis de las disposiciones que afectan directamente al sector público.

[Callforaction-NIS2]

He aquí un análisis detallado:

• Inclusión General: El Artículo 2 de la Directiva NIS2 establece explícitamente que la directiva se aplica tanto a las entidades públicas como privadas que operan en diversos sectores. Esto significa que, en términos generales, los organismos de la administración pública entran dentro del ámbito de aplicación de la NIS2.
• Disposiciones Específicas para la Administración Pública: Las fuentes destacan algunas disposiciones dentro de la NIS2 que conciernen directamente a los organismos de la administración pública:
  • Definición: El Artículo 25, punto 35, define una “entidad de la administración pública” como una entidad reconocida como tal en un Estado miembro según el derecho nacional, excluyendo al poder judicial, los parlamentos y los bancos centrales. Para calificar como tal, la entidad debe cumplir criterios específicos, como haber sido creada para fines no comerciales, poseer personalidad jurídica, recibir financiación predominantemente de fuentes públicas y tener el poder de adoptar decisiones administrativas que afecten a determinados derechos relacionados con el mercado interior.
  • Entidades Esenciales: El Artículo 2, apartado 2, letra f), aclara que los organismos de la administración pública pueden ser designados como “entidades esenciales” según la NIS2. Se especifican dos categorías:
    • (i) Entidades pertenecientes a la administración central, según lo definido por la legislación nacional de cada Estado miembro.
    • (ii) Entidades a nivel regional, según lo definido por la legislación nacional de cada Estado miembro, siempre que una evaluación de riesgos determine que las interrupciones de sus servicios puedan tener un impacto significativo en las actividades críticas de la sociedad o la economía.
  • Nivel Local e Instituciones Educativas: El Artículo 2, apartado 5, concede a los Estados miembros la discreción de extender la aplicación de la NIS2 a:
    • (a) Organismos de la administración pública a nivel local.
    • (b) Instituciones educativas, en particular aquellas dedicadas a actividades de investigación críticas.
  • Exenciones: Aunque generalmente están incluidos, se aplican algunas excepciones a los organismos de la administración pública:
    • El Artículo 2, apartado 7, establece que la directiva no se aplica a los organismos de la administración pública que operan en ámbitos como:
      • Seguridad nacional;
      • Seguridad pública;
      • Defensa;
      • Aplicación de la ley (incluida la prevención, investigación, detección y enjuiciamiento de delitos).
    • El Artículo 2, apartado 8, permite a los Estados miembros eximir a entidades específicas dedicadas a la seguridad nacional, seguridad pública, defensa o aplicación de la ley, o que presten servicios a dichas entidades, de algunas obligaciones previstas en los Artículos 21 (medidas de gestión de riesgos de ciberseguridad) y 23 (obligaciones de notificación de incidentes). Las exenciones también pueden aplicarse a los Artículos 3 (estrategias nacionales de ciberseguridad y designación de autoridades competentes) y 27 (registro de entidades) en los casos en que las actividades o servicios de una entidad entren exclusivamente en las categorías exentas especificadas.
    • Sin embargo, el Artículo 2, apartado 9, aclara que los apartados 7 y 8, relativos a las exenciones, no se aplican cuando una entidad actúa como prestador de servicios de confianza. Esto implica que los organismos de la administración pública que desempeñan el papel de prestadores de servicios de confianza deben cumplir con la NIS2, incluso si sus actividades afectan a la seguridad nacional u otros ámbitos exentos.
• Supervisión y Aplicación: Las fuentes tratan aspectos relativos a la supervisión y aplicación de la NIS2 frente a los organismos de la administración pública:
• El Artículo 31, apartado 5, aclara que las medidas de aplicación previstas en el Artículo 32, apartado 5 (relativas a las infracciones del Artículo 21 por parte de entidades que proporcionan servicios de registro de nombres de dominio) no son aplicables a los organismos de la administración pública. Esto sugiere que, aunque son posibles exenciones de obligaciones específicas, otras disposiciones de la NIS2, incluidas las relativas a la supervisión y aplicación, generalmente se aplican.
• El Artículo 34, apartado 7, concede a los Estados miembros la flexibilidad de establecer normas que determinen la cuantía de las sanciones administrativas a imponer a los organismos de la administración pública por infracciones de la NIS2. Esto indica el reconocimiento de la naturaleza específica de la administración pública y la necesidad de mecanismos de aplicación adaptados.

Puntos Clave:

• La Directiva NIS2 cubre un amplio espectro de organismos de la administración pública en diversos niveles de gobernanza.
• La directiva reconoce el papel único de la administración pública al prever disposiciones específicas relativas a definiciones, exenciones y aplicación.
• Aunque existen exenciones para las entidades dedicadas a sectores sensibles como la seguridad nacional y la defensa, el objetivo general es incluir a los organismos de la administración pública en el ámbito de aplicación de la NIS2 para reforzar la ciberseguridad en toda la UE. Para las entidades que entran en el perímetro, iniciar un camino estructurado de cumplimiento de la Directiva NIS2 es el paso concreto para respetar las obligaciones previstas. Para verificar si su organización ya está incluida en el listado de sujetos NIS2 gestionado por la ACN y los plazos relativos, es útil consultar las indicaciones operativas publicadas por la autoridad nacional competente. El texto íntegro de la normativa está disponible en el documento oficial de la Directiva NIS2.

[Callforaction-NIS2-Footer]