ISGroup Consultoría de Ciberseguridad

¿Cuáles son los criterios para determinar si una entidad se considera “esencial” o “importante” según la Directiva NIS2?

La Directiva NIS2 establece dos categorías principales de entidades: entidades esenciales y entidades importantes. La clasificación se basa en el sector al que pertenece la entidad, su tamaño y el impacto potencial de los servicios esenciales prestados en la sociedad.

  • Entidades esenciales: Están sujetas a un régimen de supervisión más riguroso que las entidades importantes. Estas entidades se enfrentan a auditorías más frecuentes y estrictas, sanciones potencialmente más elevadas por incumplimiento y una mayor expectativa de adoptar medidas de ciberseguridad proactivas.
  • Entidades importantes: Aunque deben cumplir con las obligaciones previstas por la NIS2, están sujetas a un régimen de supervisión más ligero que las entidades esenciales. Tienen mayor flexibilidad sobre cómo implementar las medidas de ciberseguridad y se enfrentan a sanciones potencialmente menores en caso de incumplimiento.

[Callforaction-NIS2]

Criterios para las Entidades Esenciales:

La Directiva NIS2 define las entidades esenciales basándose en los siguientes criterios:

  • Sector: La entidad opera en un sector considerado de “alta criticidad”. El Anexo I de la Directiva NIS2 enumera estos sectores, entre ellos energía, transporte, banca, salud, agua potable, aguas residuales, infraestructuras digitales, administración pública y espacio. Dentro de cada sector, el anexo especifica subsectores adicionales y tipos de entidades.
  • Dimensiones: La entidad supera el umbral dimensional de las empresas medianas, entrando por tanto en la categoría de grandes empresas.
  • Designaciones específicas: La entidad entra en las siguientes designaciones específicas:
    • Proveedores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel, así como los proveedores de servicios DNS, independientemente de su tamaño.
    • Entidades de administración pública según lo indicado en el Artículo 2, Párrafo 2(f)(i).
    • Entidades identificadas como “críticas” de conformidad con la Directiva (UE) 2022/2557, según lo indicado en el Artículo 2, Párrafo 3.
    • Entidades identificadas previamente por los Estados miembros como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 o la legislación nacional, si así lo prevé el Estado miembro.
  • Identificación por parte del Estado miembro: Además, los Estados miembros tienen la autoridad para designar a otras entidades indicadas en los Anexos I o II como esenciales basándose en los criterios indicados en el Artículo 2, Párrafos 2(b) a (e). Estos criterios se refieren a:
    • El papel de la entidad como único proveedor de un servicio esencial para el mantenimiento de las actividades económicas o sociales críticas en un Estado miembro.
    • El impacto potencial en la seguridad pública, la seguridad nacional o la salud pública en caso de interrupción del servicio.
    • La capacidad de causar un riesgo sistémico significativo, en particular con implicaciones transfronterizas, en caso de interrupción del servicio.

Criterios para las Entidades Importantes:

Las entidades importantes se definen de la siguiente manera:

  • Sector y dimensiones: La entidad pertenece a un sector enumerado en los Anexos I o II, pero no cumple los criterios para ser clasificada como entidad esencial. Esto incluye típicamente entidades de tamaño mediano o inferior que operan en los sectores especificados.
  • Identificación por parte del Estado miembro: De forma análoga a las entidades esenciales, los Estados miembros pueden designar a entidades enumeradas en los Anexos I o II como importantes basándose en los criterios especificados en el Artículo 2, Párrafos 2(b) a (e).

Puntos clave:

  • La clasificación de una entidad como esencial o importante conforme a la NIS2 depende de una combinación de factores, donde el sector de pertenencia, el tamaño y el impacto social potencial desempeñan papeles cruciales.
  • Las entidades esenciales están sujetas a un entorno normativo más riguroso, con obligaciones de ciberseguridad más estrictas y posibles sanciones más elevadas en caso de incumplimiento. Para iniciar un camino estructurado de adaptación a la Directiva NIS2, es útil comenzar con una evaluación de su propio perímetro y de las obligaciones aplicables.
  • Los Estados miembros mantienen cierto grado de flexibilidad al designar entidades específicas como esenciales o importantes según el contexto nacional y las evaluaciones de riesgo. Para las organizaciones italianas, una referencia práctica es el procedimiento de inscripción en el registro ACN y los plazos previstos para los sujetos NIS2.

[Callforaction-NIS2-Footer]

In