NIS2: ¿Quiénes se ven afectados?

Esta es una pregunta que nos hacen mucho nuestros clientes. La redacción de la Directiva NIS2 no siempre es muy explícita. NIS2 es un marco que los países deben implementar. Al ser una Directiva y no un Reglamento, cada país de la UE tiene autonomía para aplicarla según su propia interpretación.

El lenguaje de la NIS2 es amplio, lo que dificulta su comprensión, especialmente hasta que los países publiquen sus especificaciones. No obstante, responderemos con la mayor claridad posible a qué empresas afecta actualmente la NIS2.

Aikido’s quick NIS2 autoevaluación para saber si está dentro del ámbito de aplicación

Nos gusta que las cosas sean prácticas y directas. Por ello, para facilitarle la tarea, aquí tiene nuestra rápida autoevaluación de 5 pasos para saber si está dentro del ámbito de aplicación de la NIS2:

1. ¿Opera su empresa en un sector «esencial» o «importante»?
2. Compruebe si forma parte de una subindustria.
3. ¿Cumple los requisitos de tamaño?
4. Si la respuesta es «no» a 1, 2 y 3, verifique que no es una excepción (consejo profesional: es posible que necesite asesoramiento legal para estar seguro).
5. Y, si la respuesta es «no» a todo lo anterior, compruebe si sus clientes están o no dentro del ámbito de aplicación.

¿A quién se aplica la NIS2?

Hay dos parámetros clave a comprobar para determinar si la NIS2 afecta a su empresa:

• Sector: Si forma parte de un sector ‘esencial’ o ‘importante’.
• Tamaño: Si el tamaño de su empresa cumple ciertos umbrales ‘esenciales’ o ‘importantes’, es decir, por encima de X número de empleados, €X de ingresos o €X de balance.

Analicemos ambos con mayor profundidad.

¿A qué sectores se aplica la NIS2?

Todo empieza aquí. La NIS2 tiene como objetivo garantizar la seguridad de las industrias esenciales e importantes. La NIS2 amplía el número de sectores que eran el foco de la primera Directiva NIS. Diferencia entre esenciales e importantes, pero ambas categorías están incluidas en su ámbito de aplicación.

Sectores esenciales: energía, agua potable, aguas residuales, transporte, banca, mercados financieros, gestión de servicios TIC, administración pública, sanidad y espacio.

Sectores importantes: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentación, fabricación (por ejemplo, dispositivos médicos, ordenadores/electrónica, maquinaria/equipos, vehículos de motor, remolques/semirremolques/otros equipos de transporte), proveedores digitales (por ejemplo, mercados en línea) y organizaciones de investigación.

Algunos sectores están instantáneamente dentro del ámbito de aplicación, pase lo que pase. Algunos ejemplos incluyen registradores de nombres de dominio, proveedores de servicios de confianza, proveedores de servicios DNS, registros de nombres TLD y proveedores de telecomunicaciones.

Además, las autoridades nacionales tendrán la facultad de designar empresas individuales que no encajen perfectamente en las categorías de sectores esenciales o importantes. Pueden hacerlo si consideran que la empresa presta un servicio único, tiene un impacto significativo y/o es esencial para la sociedad.

Criterios de tamaño de empresa de la NIS2

La NIS2 tiene reglas de límites de tamaño. Esto significa que deberá cumplir con la Directiva si supera ciertos umbrales.

¿Qué se consideran empresas esenciales e importantes según los criterios de tamaño?

• Empresas esenciales: 250+ empleados O 50M€+ de facturación anual O 43M€+ de balance
  Nota: Una empresa esencial que no cumpla los umbrales de tamaño esencial (arriba) pero sí los umbrales de tamaño de empresas importantes (abajo) se considera una empresa importante. Y, por lo tanto, sigue estando dentro del ámbito de aplicación.
• Empresas importantes: 50+ empleados O 10M€+ de facturación anual O 10M€+ de balance

Así pues, en principio, la NIS2 se aplica a medianas y grandes empresas, y excluye a las pequeñas y microempresas. Sin embargo, habrá excepciones. Por ejemplo, si una empresa no cumple los umbrales de tamaño, una autoridad nacional puede ejercer su prerrogativa de designación, al igual que con los criterios sectoriales.

¿Cómo sé qué país tiene jurisdicción sobre mi negocio?

La Comisión Europea afirma: ‘Por regla general, se considera que las entidades esenciales e importantes están bajo la jurisdicción del Estado miembro en el que están establecidas. Si la entidad está establecida en más de un Estado miembro, deberá estar bajo la jurisdicción de cada uno de estos Estados miembros.’

Existen excepciones. En algunos casos, esto significa considerar dónde presta la empresa el servicio (por ejemplo, proveedores de servicios DNS). En otros casos, la clave es dónde se encuentra su establecimiento principal (por ejemplo, proveedores de servicios de cloud computing).

¿Existen otras excepciones a las reglas?

Por supuesto, existen algunas relacionadas con las reglas de sector y tamaño. Además, a medida que los países implementen la directiva, habrá diferencias entre países a las que prestar atención a medida que las reglas localizadas entren en vigor (todas antes del 17 de octubre de 2024).

Por ejemplo, si no cumple los requisitos de tamaño PERO es el único proveedor de un servicio crítico para la actividad social o económica en un Estado miembro, es posible que aún deba implementar la NIS2.

Nota: Si opera en el sector financiero, probablemente ya esté familiarizado con la Ley de Resiliencia Operativa Digital (DORA). DORA es una ley – no una directiva como la NIS2 – por lo que prevalece sobre la NIS2. Le recomendamos centrar sus esfuerzos allí primero, pero asegúrese de comprobarlo cuando la NIS2 sea transpuesta a la legislación local por su Estado miembro de la UE.

No olvide tampoco la Ley de Ciberresiliencia (CRA). La CRA establece requisitos de ciberseguridad para una serie de productos de hardware y software comercializados en el mercado de la UE. Estos incluyen altavoces inteligentes, juegos, sistemas operativos, etc.

¿Busca un poco más de detalle?

Aquí tienes una excelente visión general de quién está dentro del alcance, desarrollada por el Centro de Ciberseguridad de Bélgica:

Si tus clientes están dentro del alcance, es probable que NIS2 te afecte

¿Sabías que NIS2 incluye el efecto indirecto de terceros? Esto significa que, incluso si no estás directamente dentro del alcance pero tus clientes sí lo están, es probable que debas cumplir con NIS2.

Las empresas que deben implementar NIS2 tendrán que 'gestionar y evaluar los riesgos' asociados con sus 'proveedores externos'. Esto incluye, por ejemplo, la realización de evaluaciones de seguridad periódicas, asegurarse de contar con medidas de ciberseguridad adecuadas e implementar contratos/acuerdos que exijan el cumplimiento de los requisitos de NIS2.

Así que, si eres una empresa B2B y pensabas que estabas fuera del alcance por tu sector y tamaño, pero tus clientes están dentro del alcance de NIS2, ¡deberías empezar a prepararte!

Aikido proporciona un informe NIS2

Aikido Security ha creado una función de informe NIS2 disponible en nuestra aplicación. Hemos diseñado este informe para ayudar a las empresas que necesitan cumplir con la directiva.

¿Es probable que te afecte NIS2?
Descubre tu posición respecto a NIS2 con tu aplicación.
Aunque nuestro informe no es exhaustivo (y solo cubre tu configuración técnica), te ayudará a empezar y a ir por el buen camino.

Regístrate en Aikido y obtén tu informe NIS2 ¡gratis!