¿A quién aplica la NIS2? Descubre si tu empresa está obligada

por | ISO 27001 | 0 Comentarios

La Directiva NIS2 a quien aplica

Esta será una pregunta que te estarás haciendo si has abierto este artículo.

En este artículo te voy a detallar los sectores a los que aplica la Directiva NIS2.

¿Aplica a empresas medianas, grandes? ¿Qué se entiende por sectores esenciales y sectores críticos ?

¿Está tu empresa en un sector esencial o sector crítico?

Mi objetivo es que no te quedes con ninguna de estas dudas si lees este artículo entero y con calma.

Así que vamos allá…

Contents

NIS2 a quien aplica

Parte de la base de que ya tienes conocimientos de lo que es la Directiva NIS 2.

Si no los tienes, te recomiendo que leas este artículo para que entiendas todo lo que necesitas saber sobre la Directiva NIS2 .

La Directiva NIS 2 se aplica principalmente a empresas públicas y privadas medianas y grandes dentro de sectores esenciales y críticos mencionados en el Anexo I y Anexo II de la NIS2. Aunque en ciertos casos incluyen pequeñas empresas si desempeñan un papel crucial para la sociedad o la economía.

Por lo tanto, tenemos de momento algunos conceptos que hay que entender para conocer a quien aplica la NIS 2:

  • ¿Qué actividades están dentro del Anexo I y Anexo II?
  • ¿Cuáles son los sectores esenciales y sectores críticos?
  • ¿Qué empresas pequeñas pueden verse afectadas por la NIS2?

Esto es lo que vamos a ver ahora para que identifiques si te aplica la NIS2 o no te aplica.

¿Qué actividades están dentro del Anexo I y Anexo II para que deban cumplir con la NIS2?

El Anexo I lo componen los sectores esenciales (la NIS2 los llama sectores de Alta Criticidad).

Las entidades que operan en estos sectores y cumplen los criterios de tamaño (medianas y grandes empresas) se consideran por lo tanto entidades esenciales.

Estas entidades están sujetas a requisitos de ciberseguridad más estrictos ya un mayor nivel de supervisión.

Preparó una tabla con los sectores, subsectores y tipo de entidades para que quede claro:

Anexo I aplicable por la NIS2

Por otra parte, el Anexo II lo componen sectores críticos (más adelante en este artículo te describe cuál es la diferencia entre sector esencial y sector crítico).

Las entidades que operan en estos sectores y cumplen los criterios de tamaño (medianas y grandes empresas) se consideran por lo tanto entidades críticas.

Estas entidades tienen obligaciones de ciberseguridad, pero su supervisión es más flexible en comparación con las entidades esenciales.

Preparó una tabla con los sectores, subsectores y tipo de entidades para que quede claro:

Anexo II aplicable por la NIS2

¿Cuáles son los sectores esenciales y sectores críticos que deben cumplir con la NIS2?

Si has leído con atención este artículo hasta aquí habrás visto que:

  • Los sectores esenciales son los del Anexo I.
  • Los sectores críticos son los del Anexo II.

Todo ello según la Directiva NIS2.

Por lo tanto recuerda que si quieres saber sobre la NIS2 a quien aplica, si tu empresa es una empresa mediana y/o grande y está incluida en estos Anexo I, Anexo II, la Directiva NIS2 sí deberán cumplir con ella.

El concepto entre sector esencial y sector crítico puede llevar a una confusión , por lo tanto preparó una tabla para explicarte las principales diferencias entre sector esencial y sector crítico.

El criterio para diferenciar un sector esencial y sector crítico, lo he basado en:

  • Impacto económico.
  • Impacto en la sociedad.
  • Sectores incluidos.

Aquí tienes la tabla comparativa:

Diferencias entre sector esencial y sector crítico NIS2

Vale, pero, ¿una empresa pequeña puede considerar que presta un servicio en un sector esencial y/o crítico y por tanto le aplica la NIS2?

Eso es lo que voy a tratar a continuación.

¿A qué tipo de empresas pequeñas les aplica la NIS2?

La NIS2 también se aplica a entidades pequeñas cuando se presta un servicio:

A) Por parte de Proveedores de servicios críticos:

  • Redes públicas de comunicaciones electrónicas.
  • Prestadores de servicios de confianza (como servicios relacionados con identificación digital).
  • Registros y proveedores de servicios de nombres de dominio.

B) Por parte de Proveedores únicos de servicios esenciales: Si son el único proveedor de un servicio esencial en un país.

C) Con un Impacto en la seguridad pública: cuando una interrupción de sus servicios tiene repercusiones significativas en la seguridad pública, el orden público o la salud pública.

D) Por Entidades críticas: Si su importancia a nivel nacional o regional las convierte en esenciales para otros sectores o servicios interdependientes.

E) Por Administraciones públicas: Incluye entidades centrales o regionales cuya perturbación pueda afectar actividades sociales o económicas críticas.

 

Voy a ponerte un ejemplo para cada una de las categorías que he indicado anteriormente:

A) Por parte de Proveedores de servicios críticos : Por ejemplo, un proveedor pequeño de ciberseguridad que protege redes gubernamentales.

B) Por parte de Proveedores únicos de servicios esenciales : Por ejemplo, una empresa que gestiona el abastecimiento de agua en una localidad pequeña y aislada.

C) Con un Impacto en la seguridad pública : Por ejemplo, un desarrollador de software que proporciona sistemas de control de tráfico aéreo.

D) Por Entidades críticas : Por ejemplo, una empresa de fabricación de chips que produce componentes esenciales para hospitales y servicios de emergencia.

E) Por Administraciones públicas : Por ejemplo, una administración pública regional que gestiona el suministro de agua en varias localidades. Aunque el servicio lo preste una empresa privada, si la administración es responsable de su control, podría estar sujeta a la NIS 2 si se considera que una interrupción podría tener un impacto crítico.

Sé que muchas personas que leen este artículo trabajaran dentro de una PYME que presta servicios a la administración, ¿la NIS2 aplica a esta PYME?

Sigue leyendo para que salgas de dudas…

Trabajo en una PYME que presta servicios a la Administración, ¿la NIS2 aplica a la PYME dónde trabajo?

Cada vez es más habitual ver cómo una PYME presta servicios a administraciones públicas y por lo tanto muchos de esos servicios se convierten en servicios críticos según la NIS 2.

Un ejemplo de esto es este artículo que encontró en donde se describe como se aumenta un Clúster Tecnológico para prestar servicios al ayuntamiento de Jerez de la Frontera. Te dejo el link por si te interesa leerlo.

Artículo aumento de PYMES que trabajan con Administración Pública

Como es probable que te encuentres trabajando en una PYME que presta servicios a la administración pública, te voy a poner varios ejemplos donde sí aplica la NIS 2 a una PYME por la tipología de servicios que entrega a la Administración.

Caso 1: Proveedor de servicios críticos de TIC a la administración pública

Contexto : La empresa privada proporciona infraestructura digital crítica a la administración pública, y por lo tanto la NIS2 le aplica.

Ejemplos :

  1. Una empresa que gestiona servicios de nube y almacenamiento de datos para un ministerio.
  2. Un proveedor de seguridad gestionada que protege los servidores de la policía nacional.

 

Caso 2: Proveedor único de un servicio esencial

Contexto : Si una empresa privada es el único proveedor de un servicio esencial para la administración en un país, su interrupción puede comprometer operaciones críticas . Por lo tanto la aplicación NIS2.

Ejemplos :

  1. Una empresa que gestiona el único sistema de agua potable de una comunidad bajo contrato con el gobierno.
  2. Un proveedor exclusivo de software de gestión hospitalaria para la red de hospitales públicos.

 

Caso 3: Proveedor con un servicio que tiene un impacto en la seguridad pública

Contexto: Una empresa que presta un servicio a una administración, si la interrupción del servicio prestado por la empresa privada puede afectar la seguridad pública, el orden público o la salud pública, la NIS2 aplica a esta empresa privada.

Ejemplos :

  1. Una empresa que gestiona el sistema de videovigilancia urbana de una ciudad.
  2. Un proveedor de sistemas de emergencias médicas (112 o 911) contratado por el gobierno.

 

Caso 4: Empresas privadas que gestionan infraestructuras críticas del Estado

Contexto: Si la empresa privada administra la infraestructura esencial para la administración pública, su alteración podría afectar sectores interdependientes , por lo tanto la NIS2 le aplica.

Ejemplos :

  1. Un proveedor privado que mantiene el software de los radares de tráfico y control de velocidad en autopistas estatales.
  2. Una empresa de ciberseguridad que protege la infraestructura de las redes eléctricas nacionales, utilizadas por el gobierno.

 

Caso 5: Empresas que administran bases de datos sensibles del gobierno

Contexto: Empresas privadas que gestionan bases de datos críticos para el Estado, cuya filtración o interrupción podría comprometer la seguridad pública o generar un colapso sistémico . La NIS2 aplica a esta empresa.

Ejemplos :

  1. Un proveedor de software que almacena información de censo y padrón municipal, controlando registros de identidad.
  2. Una compañía que desarrolla el sistema informático de votaciones electrónicas en elecciones nacionales.

Bueno, espero que este artículo haya respondido a la pregunta de la NIS2 a quien aplica.

Y recuerda que si necesitas ayuda para el cumplimiento de NIS2 , nosotros podemos ayudarte.

Fecha : 31 de enero de 2025

Fuente Bibliográfica: Elaboración propia tras lectura de la Directiva NIS2: Directiva 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Fuente imagen principal: Elaboración propia usando Inteligencia Artificial

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.