¿NIS2 Aplica a tu PYME? Averígualo con estas Preguntas

por | ISO 27001 | 0 Comentarios

imagen principal NIS2 Aplica a tu PYME.

¿La Directiva NIS2 aplica a tu PYME?

Muchas pequeñas y medianas empresas prestan servicios a las Administraciones Públicas, pero desconocen si están obligadas a cumplir con esta normativa y qué requisitos deben adoptar.

Si ya sabes que es la Directiva NIS2, habrás observado que aplica a las Administraciones Públicas, pero ¿le aplica a tu PYME por tener de cliente a la Administración Pública?

En este artículo, te voy a resolver esa duda con una serie de preguntas clave que te permitirán saber si NIS2 aplica a tu PYME.

Además, analizo el fondo que hay detrás de esas preguntas para que no te queden dudas.

Contents

Preguntas para saber si la NIS2 Aplica a tu PYME

Si tienes una PYME y presta servicios a Organismos Públicos, hazte estas dos grandes preguntas:

  1. ¿Está la actividad de mi PYME incluida en el Anexo I o Anexo II de la Directiva NIS 2?
    • Si la actividad de tu PYME se encuentra en alguno de estos anexos, la directiva NIS2 sí le aplica.
    • Si no está incluida, pasa a hacerte la siguiente pregunta.
  2. Evaluar la naturaleza del servicio que tu PYME presta a la Administración Pública:
    • ¿Es un servicio esencial que, en caso de interrupción, podría tener un impacto significativo en la sociedad o la economía?
    • ¿Es tu PYME el único proveedor de un servicio esencial, y una interrupción podría afectar la seguridad pública o el bienestar de los ciudadanos?
    • ¿Maneja o protege tu PYME infraestructura digital clave para la Administración Pública?

Gráficamente, estas preguntas se podrían resumir en este diagrama:

diagrama preguntas para conocer si NIS2 aplica a tu empresa

Ahora bien, a la hora de evaluar la naturaleza del servicio que tu PYME presta a la Administración Pública:

  • El concepto de un servicio esencial, se entiende bien.
  • Pero ¿a qué se refiere con que la PYME sea el único proveedor de un servicio esencial?
  • Y, ¿qué se entiende por infraestructura digital clave para la administración pública?

Vamos a profundizar en estas dos preguntas…

¿Cuándo se considera que una PYME maneja infraestructura digital crítica de una Administración Pública? Y por lo tanto le aplica la NIS 2

Independientemente de dónde esté alojada la infraestructura (servidores propios del Organismo Público o nube), tu PYME puede verse afectada por la NIS 2 si se da alguna de estas circunstancias:

  • Tu PYME administra, gestiona o configura los repositorios digitales del Organismo Público.
  • Si tu PYME tiene acceso directo a datos críticos y/o controla medidas de seguridad en la infraestructura del Organismo Público.
  • Si tu PYME presta servicios esenciales en los que una interrupción podría afectar gravemente a la Administración Pública.
  • El Organismo Público depende de tu PYME para la continuidad operativa de su infraestructura digital.

Gráficamente esta pregunta se resume así:

Identificar infraestructura digital Crítica según NIS2

Bien, pues ahora profundizamos en la otra pregunta acerca de ser «el único proveedor de un servicio esencial».

¿Cuándo se considera que una PYME es el único proveedor de un servicio esencial para un Organismo Público? Y por lo tanto una interrupción podría afectar la seguridad pública o el bienestar de los ciudadanos

El criterio «único proveedor de un servicio esencial» en la NIS2 no se basa solo en la posibilidad de sustituir a la empresa, sino en el impacto de una interrupción del servicio y la seguridad de la información durante la vigencia de un contrato entre tu PYME y la Administración Pública.

  • Si la interrupción temporal del servicio compromete la seguridad pública, la salud, el orden o datos críticos, entonces tu PYME debe cumplir con la NIS2, aunque pueda ser reemplazada en semanas.
  • Si tu PYME no maneja datos sensibles y su reemplazo no implica riesgos significativos, no le aplicará la NIS2.

Por lo tanto, la gestión de la seguridad de la información en tu PYME, cuando presta un servicio a un Organismo Público, es clave para determinar su afectación por la NIS2.

Y como lo mejor es entender todo con un ejemplo, te voy a poner 6 ejemplos donde verás situaciones donde la NIS2 si aplica y no aplica a una PYME.

Ejemplos donde la NIS2 Sí Aplica y No Aplica

Voy a ir intercalando una situación donde No aplica las NIS2 a una PYME, y donde sí aplica. En todos los ejemplos se trata de una PYME que presta servicio a la Administración Pública, pero dependiendo de cada caso aplica o no aplica la NIS2 en esta PYME.

Ejemplo 1 (NO aplica NIS2)

Imagina un Ayuntamiento que contrata una PYME para llevar a cabo el mantenimiento de su página web institucional (no siendo la web un sistema de información crítico para el Ayuntamiento, tan solo informativo).

Si la PYME desaparece, el Ayuntamiento puede contratar a otra sin impacto en la seguridad pública o la operatividad crítica.

Conclusión: No hay dependencia operativa real ni manejo de datos críticos, por lo que No aplica la NIS2 en esta PYME.

Ejemplo 2 (SÍ aplica NIS2)

Vamos a suponer ahora una PYME gestiona un software relacionado con la violencia de género para un organismo público.

Si la empresa desaparece, los datos de miles de mujeres en situación de vulnerabilidad podrían quedar inaccesibles hasta que se encuentre otro proveedor.

Además, la esta PYME tiene acceso a datos sensibles de salud y asistencia social, lo que implica riesgos de seguridad de la información.

Conclusión: Aunque se pueda sustituir a la empresa en semanas, el impacto de una interrupción es crítico. Por lo tanto, sí se justificaría que esta PYME le aplica la NIS2.

 Ejemplo 3 (NO aplica NIS2)

Supón ahora una PYME que ofrece cursos de formación online para funcionarios públicos.

Un organismo público contrata esta PYME para crear y gestionar cursos de formación online para sus funcionarios.

Aunque la plataforma puede ser importante para la formación del personal, no es esencial para la continuidad operativa del organismo público.

Si la PYME deja de prestar el servicio, el organismo público puede contratar fácilmente otro proveedor sin un impacto significativo en la seguridad pública o la economía.

Conclusión: No le aplica la NIS2, ya que la formación no es un servicio esencial o crítico.

Ejemplo 4 (SÍ aplica NIS2)

En este ejemplo imaginamos una PYME que gestiona la plataforma de citas médicas de un hospital público.

Esta PYME desarrolla y mantiene la plataforma digital que gestiona las citas médicas en varios hospitales públicos.

El sistema es crítico para la continuidad asistencial de los pacientes y contiene datos sensibles de salud.

Si la PYME desaparece o sufre un ciberataque, el sistema quedaría inoperativo y afectaría la atención sanitaria, retrasando consultas y tratamientos.

Conclusión: Le aplica la NIS2 a esta PYNME porque afecta directamente a la prestación de un servicio esencial en el sector sanitario (Anexo I).

Ejemplo 5 (NO aplica NIS2)

Ahora imagina una PYME que diseña material gráfico y cartelería para un Ministerio.

Esta PYME es contratada para diseñar y producir material gráfico, cartelería y documentos impresos para una campaña de comunicación institucional.

El servicio es totalmente reemplazable y no afecta la operatividad del Ministerio.

Si la PYME sufre un ciberataque desaparece, la administración puede contratar a cualquier otro proveedor sin impacto en la seguridad o infraestructura crítica.

Conclusión: No le aplica la NIS2, porque no maneja datos sensibles ni afecta la continuidad de servicios esenciales.

Ejemplo 6 (SÍ aplica NIS2)

Por último, vamos a suponer una PYME que gestiona la seguridad de la red informática de una Diputación Provincial.

La PYME es contratada para administrar la seguridad y el acceso a la red de una Diputación Provincial.

Maneja firewalls, VPNs y sistemas de detección de intrusos para proteger los datos de la administración pública.

Si la empresa sufre un ciberataque o deja de operar, la infraestructura digital del organismo podría quedar expuesta a ataques.

Conclusión: Se aplica la NIS 2 porque la empresa gestiona infraestructura digital crítica para una administración pública.

 

Bueno, hasta aquí con este artículo donde quería exponerte las preguntas clave que tienes que hacerte para saber si NIS2 Aplica a tu PYME.

Si ya sabes que te aplica la NIS2 he creado un artículo muy completo para explicarte qué debes hacer, el artículo es este Como implementar la Directiva NIS2: El Paso a Paso Práctico. No dejes de leerlo porque te lo explico con todo detalle.

Y recuerda que si necesitas ayuda para el cumplimiento de NIS2, nosotros podemos ayudarte.

Fecha: 8 febrero 2025

Fuente Bibliográfica: Elaboración propia tras lectura de la Directiva NIS2: Directiva 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Fuente imagen principal: Elaboración propia usando Inteligencia Artificial.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.