ISGroup Consultoría de Ciberseguridad

¿Cuáles son los sectores específicos y los tipos de entidades cubiertos por la Directiva NIS2?

A continuación, se presenta un desglose de los sectores específicos y los tipos de entidades cubiertos por la Directiva NIS2.

Sectores y entidades cubiertos por la Directiva NIS2

La Directiva NIS2 clasifica a las entidades en dos grupos principales: aquellas que operan en sectores de alta criticidad y aquellas en otros sectores críticos. Si deseas comprender cuál es el objetivo principal de la Directiva NIS2 antes de entrar en los detalles del perímetro, puedes empezar por ahí.

Sectores de alta criticidad

Estos sectores se consideran esenciales para el funcionamiento de la economía y la sociedad, por lo que están sujetos a requisitos de ciberseguridad más estrictos. Los sectores de alta criticidad, junto con sus subsectores y ejemplos de tipos específicos de entidades, se enumeran en el Anexo I del texto oficial de la Directiva NIS2. Estos sectores incluyen:

  • Energía: Este sector comprende electricidad, calefacción y refrigeración urbana, petróleo, gas e hidrógeno. Ejemplos de entidades cubiertas incluyen proveedores de electricidad, operadores de sistemas de transmisión, productores y gestores de oleoductos y gasoductos, e instalaciones de almacenamiento.
  • Transporte: Este sector abarca el transporte aéreo, ferroviario, marítimo y por carretera. Las entidades cubiertas incluyen aerolíneas, gestores aeroportuarios, empresas ferroviarias, compañías navieras, autoridades portuarias y operadores de gestión de tráfico.
  • Banca: Este sector cubre las instituciones de crédito según lo definido por las normativas financieras.
  • Infraestructuras de los mercados financieros: Incluye entidades como centros de negociación y contrapartes centrales, cruciales para el funcionamiento de los mercados financieros.
  • Salud: Comprende proveedores de servicios sanitarios y, en particular, entidades involucradas en la producción de productos farmacéuticos, incluidas las vacunas.
  • Agua potable: Cubre entidades involucradas en el suministro y distribución de agua potable.
  • Aguas residuales: Incluye entidades responsables de la recogida, tratamiento y eliminación de aguas residuales.
  • Infraestructuras digitales: Este sector cubre una amplia gama de entidades que proporcionan servicios digitales cruciales, entre ellos puntos de intercambio de Internet, proveedores de servicios DNS, registros de nombres de dominio de primer nivel (TLD), proveedores de servicios de computación en la nube, centros de datos, redes de distribución de contenidos (CDN), proveedores de servicios de confianza y proveedores de redes y servicios de comunicaciones electrónicas públicas.
  • Gestión de servicios TIC: Comprende proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados, destacando la importancia de la ciberseguridad para los servicios de TI externalizados.
  • Administración pública: Cubre entidades de la administración pública tanto a nivel central como regional, según lo definido por cada Estado miembro.
  • Espacio: Incluye operadores de infraestructuras terrestres que soportan servicios basados en el espacio, subrayando la creciente dependencia de los recursos espaciales.

[Callforaction-NIS2]

Otros sectores críticos

Aunque se consideran menos críticos que los sectores enumerados anteriormente, estos sectores siguen estando sujetos a los requisitos de ciberseguridad previstos por la Directiva NIS2. Algunos ejemplos incluyen:

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Química
  • Alimentación
  • Fabricación de diversos productos, incluidos dispositivos médicos, ordenadores, electrónica, maquinaria, vehículos de motor, remolques y otros equipos de transporte
  • Proveedores digitales, como mercados en línea, motores de búsqueda en línea y plataformas de redes sociales
  • Organizaciones de investigación

Entidades no enumeradas específicamente en el Anexo I o II

Además de los sectores enumerados, la Directiva NIS2 cubre:

  • Entidades que proporcionan servicios de registro de nombres de dominio: Estas entidades están cubiertas independientemente de su tamaño.
  • Entidades identificadas como críticas según la Directiva (UE) 2022/2557: Aunque no figuren específicamente en el Anexo I o II, estas entidades entran en el ámbito de la NIS2 debido a su criticidad determinada por otras normativas.

Umbral dimensional

La Directiva NIS2 introduce un umbral dimensional para determinar si una entidad en un sector cubierto está sujeta a sus requisitos. Por lo general, la directiva se aplica a empresas medianas y grandes en los sectores especificados. Sin embargo, los Estados miembros tienen la flexibilidad de identificar e incluir a entidades más pequeñas con perfiles de riesgo elevados en materia de seguridad.

Entidades excluidas de algunas disposiciones

Es importante señalar que algunas entidades están excluidas de algunas, aunque no de todas, las disposiciones de la Directiva NIS2. Por ejemplo, las entidades financieras sujetas al Reglamento (UE) 2022/2554 están exentas de las obligaciones de gestión de riesgos de ciberseguridad y de notificación previstas por la Directiva NIS2, ya que el DORA ya aborda estos aspectos. No obstante, estas entidades financieras se tienen en cuenta en el contexto de incidentes de ciberseguridad a gran escala y planes de respuesta nacionales.

La Directiva NIS2 tiene como objetivo crear un panorama de ciberseguridad más robusto y armonizado en toda la UE, imponiendo obligaciones a una amplia gama de entidades que operan en sectores críticos. El enfoque integral de la directiva reconoce la naturaleza interconectada del mundo digital actual y el potencial de impactos en cascada derivados de incidentes de ciberseguridad. Si tu organización pertenece a uno de los sectores descritos, el primer paso concreto es verificar el perímetro de aplicación con el apoyo del itinerario de cumplimiento NIS2 de ISGroup.

Para las organizaciones que aún deben completar el registro, también es útil consultar las indicaciones de la ACN sobre la lista NIS2 y los plazos para los sujetos obligados.

Preguntas frecuentes sobre el perímetro NIS2

  • ¿Cómo sé si mi empresa entra en el perímetro NIS2?
  • Debes verificar dos condiciones: que el sector en el que operas esté incluido en el Anexo I o II de la directiva, y que tu organización supere los umbrales dimensionales previstos (generalmente empresas medianas y grandes). Sin embargo, los Estados miembros pueden extender la obligación a entidades más pequeñas con perfiles de riesgo elevados, por lo que es conveniente realizar una evaluación específica.
  • ¿Están siempre excluidas las pequeñas empresas de la NIS2?
  • No necesariamente. La regla general excluye a las microempresas y pequeñas empresas, pero existen excepciones: por ejemplo, los proveedores de servicios de registro de nombres de dominio están sujetos a la directiva independientemente de su tamaño. Además, cada Estado miembro puede incluir entidades más pequeñas que presenten un riesgo significativo para la seguridad.
  • ¿Qué sucede si mi organización opera en varios sectores, algunos cubiertos y otros no?
  • En este caso se aplica el principio de prevalencia: si una parte relevante de la actividad entra en un sector cubierto por la NIS2, toda la organización tiende a estar sujeta a las obligaciones para esa parte. Es aconsejable analizar las unidades operativas individuales y verificar caso por caso, también según las indicaciones de la autoridad nacional competente.

[Callforaction-NIS2-Footer]

In