Esta es una pregunta que nos hacen a menudo nuestros clientes. La redacción de la Directiva NIS2 no siempre es muy explícita. NIS2 es un marco que los países deben aplicar. Como es una Directiva y no un Reglamento, cada país de la UE tiene autonomía para aplicarla según su propia interpretación.
El lenguaje de NIS2 es amplio, lo que dificulta su comprensión, especialmente hasta que los países publiquen sus especificaciones. No obstante, responderemos con la mayor claridad posible a qué empresas afecta actualmente el NIS2.
Autocomprobación rápida NIS2 de Aikidopara ver si está dentro del ámbito de aplicación
Nos gusta que las cosas sean prácticas y sencillas. Así que, para que le resulte más fácil, aquí tiene nuestra autocomprobación rápida en 5 pasos para saber si está dentro del ámbito de aplicación de NIS2:
- ¿Su empresa trabaja en un sector "esencial" o "importante"?
- Compruebe si forma parte de una subindustria.
- ¿Cumple los requisitos de tamaño?
- Si ha respondido "no" a las preguntas 1, 2 y 3, compruebe que no se trata de una excepción (consejo profesional: puede que necesite asesoramiento jurídico para estar seguro).
- Y, si "no" a todo lo anterior, compruebe si sus clientes están o no dentro del ámbito de aplicación.
¿A quién se aplica NIS2?
Hay dos parámetros clave que debe comprobar para saber si NIS2 afecta a su empresa:
- Industria: Si perteneces a un sector "esencial" o "importante".
- Tamaño: Si el tamaño de su empresa cumple determinados umbrales "esenciales" o "importantes", es decir, si tiene más de X empleados, X euros de ingresos o X euros de balance.
Veamos ambas cosas con más detenimiento.
¿A qué sectores se aplica NIS2?
Todo empieza aquí. El objetivo de NIS2 es conseguir que las industrias esenciales e importantes sean seguras. NIS2 amplía el número de industrias en las que se centraba la primera Directiva NIS. Distingue entre esencial e importante, pero ambas categorías están incluidas en su ámbito de aplicación.
Industrias esenciales: energía, agua potable, aguas residuales, transporte, banca, mercados financieros, gestión de servicios TIC, administración pública, sanidad y espacio.
Industrias importantes: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentación, fabricación (por ejemplo, dispositivos médicos, informática/electrónica, maquinaria/equipos, vehículos de motor, remolques/semirremolques/otros equipos de transporte), proveedores digitales (por ejemplo, mercados en línea) y organizaciones de investigación.
Algunos sectores tienen un alcance instantáneo, pase lo que pase. Algunos ejemplos son los registradores de nombres de dominio, los proveedores de servicios de confianza, los proveedores de servicios DNS, los registros de nombres TLD y los proveedores de telecomunicaciones.
Además, las autoridades nacionales tendrán potestad para designar empresas individuales que no entren claramente en las categorías de sector esencial o importante. Podrán hacerlo si consideran que la empresa presta un servicio único, tiene un impacto significativo y/o es esencial para la sociedad.
Criterios de tamaño de las empresas NIS2
NIS2 tiene normas sobre límites de tamaño. Esto significa que tendrá que cumplir la Directiva si supera determinados umbrales.
¿Cuáles son las empresas esenciales e importantes para los criterios de tamaño?
- Empresas esenciales: más de 250 empleados O más de 50 millones de euros de volumen de negocio anual O más de 43 millones de euros de balance
Nota: Una empresa esencial que no alcance los umbrales de tamaño esenciales (arriba) pero que sí alcance los umbrales de tamaño de las empresas importantes (abajo) se considera una empresa importante. Y, por tanto, sigue dentro del ámbito de aplicación. - Empresas importantes: Más de 50 empleados O más de 10 millones de euros de volumen de negocios anual O más de 10 millones de euros de balance general
Así que, a primera vista, el NIS2 se aplica a las medianas empresas y a las grandes corporaciones. Y deja fuera a las pequeñas empresas y microempresas. Pero, habrá excepciones. Por ejemplo, si una empresa no cumple los umbrales de tamaño, una autoridad nacional puede ejercer su prerrogativa de designación, como ocurre con los criterios sectoriales.
¿Cómo sé qué país tiene jurisdicción sobre mi empresa?
La Comisión Europea dice: "Por regla general, se considera que las entidades esenciales e importantes están bajo la jurisdicción del Estado miembro en el que están establecidas. Si la entidad está establecida en más de un Estado miembro, debe estar bajo la jurisdicción de cada uno de estos Estados miembros.
Hay excepciones. En algunos casos, hay que tener en cuenta dónde presta la empresa el servicio (por ejemplo, los proveedores de servicios DNS). En otros casos, la clave es dónde está su establecimiento principal (por ejemplo, los proveedores de servicios de computación en nube).
¿Existen otras excepciones a las normas?
Por supuesto, hay algunas relacionadas con la industria y las normas de tamaño. Además, a medida que los países vayan aplicando la directiva, habrá que prestar atención a las diferencias de un país a otro a medida que entren en vigor las normas localizadas (todas antes del 17 de octubre de 2024).
Por ejemplo, si no cumple los requisitos de tamaño PERO es el único proveedor de un servicio crítico para la actividad social o económica en un Estado miembro, es posible que tenga que implantar NIS2.
Nota: Si trabajas en el sector financiero, probablemente ya estés familiarizado con la Digital Operational Resilience Act (DORA). La DORA es un texto legislativo, no una directiva como la NIS2, por lo que tiene prioridad sobre la NIS2. Le recomendamos que centre primero sus esfuerzos en ella, pero asegúrese de que la NIS2 se transponga a la legislación local de su Estado miembro de la UE.
No se olvide tampoco de la Ley de Ciberresiliencia (CRA). La CRA establece requisitos de ciberseguridad para una serie de productos de hardware y software comercializados en la UE. Entre ellos se incluyen altavoces inteligentes, juegos, sistemas operativos, etc.
¿Busca más detalles?
El Centro de Ciberseguridad de Bélgica ha elaborado un magnífico resumen de quiénes están incluidos:
Si sus clientes están afectados, es probable que NIS2 les afecte.
¿Sabía que NIS2 incluye el efecto dominó de terceros? Eso significa que aunque usted no esté directamente incluido en el ámbito de aplicación, pero sí sus clientes, es probable que tenga que cumplir la normativa NIS2.
Las empresas que deban implantar NIS2 tendrán que "gestionar y evaluar los riesgos" asociados a sus "terceros proveedores". Esto incluye, por ejemplo, realizar evaluaciones de seguridad periódicas, asegurarse de que dispone de medidas de ciberseguridad adecuadas y aplicar contratos/acuerdos que le obliguen a cumplir los requisitos de NIS2.
Así pues, si usted es una empresa B2B y pensaba que estaba fuera del ámbito de aplicación por su sector y tamaño, pero sus clientes están en el ámbito de aplicación de NIS2, ¡debe empezar a prepararse!
Aikido presenta el informe NIS2
Aikido Security ha creado una función de informe NIS2 disponible en nuestra app. Hemos diseñado este informe para ayudar a las empresas que necesitan cumplir con la directiva.
¿Es probable que le afecte NIS2?
Averigüe en qué situación se encuentra su aplicación con respecto a NIS2.
Aunque nuestro informe no es exhaustivo (y sólo cubre su configuración técnica), le servirá para empezar y seguir el camino correcto.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)