Qué Compañías Deben Cumplir con la NIS 2

¿Qué Compañías Deben Cumplir con la NIS 2? Una Guía para Entidades Esenciales e Importantes

La Directiva NIS 2 (SRI 2) representa una actualización crítica de la normativa de ciberseguridad de la Unión Europea, afectando a una amplia gama de sectores. Con su objetivo de fortalecer la seguridad y resiliencia de las infraestructuras digitales, NIS 2 amplía su alcance significativamente en comparación con la anterior directiva. Sin embargo, determinar exactamente quién debe cumplir y en qué medida puede ser complejo, especialmente al considerar las diferencias entre entidades esenciales e entidades importantes. Qué Compañías Deben Cumplir con la NIS 2


Sectores que Deben Cumplir con la NIS 2

La NIS 2 aplica a empresas medianas y grandes que operan en sectores críticos, como energía, transporte, banca, infraestructuras del mercado financiero, sector sanitario, gestión de agua, infraestructura digital, servicios TIC, administración pública, espacio, servicios postales y de mensajería, gestión de residuos, fabricación química, producción de alimentos, y más. Esto significa que cualquier organización que desempeñe un papel clave en estos sectores debe alinearse con las nuevas exigencias.

Desglose Detallado de Sectores

 

Sector Subsector Tipo de entidad Microempresas y empresas pequeñas* Empresas medianas Grandes organizaciones
Sectores de alta criticidad
1. Energía (a) Electricidad Empresas eléctricas que efectúan la función de ‘suministro’ (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de distribución (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de transporte (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Productores (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores designados para el mercado eléctrico
Participantes en el mercado de la electricidad
Operadores de un punto de recarga
(No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(b) Sistemas urbanos de calefacción y de refrigeración Operadores de sistemas urbanos de calefacción o de refrigeración (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(c) Crudo Operadores de oleoductos de transporte de crudo (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades centrales de almacenamiento (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(d) Gas Empresas suministradoras (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de distribución (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de transporte (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de almacenamientos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de GNL (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Compañías de gas natural (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de instalaciones de refinado y tratamiento de gas natural (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(e) Hidrógeno Operadores de producción, almacenamiento y tratamiento de gas natural (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
2.Transporte (a) Transporte aéreo Compañías aéreas utilizadas con fines comerciales (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades gestoras de aeropuertos, aeropuertos (incluyendo los aeropuertos de la red básica) y entidades que explotan instalaciones anexas dentro de los recintos de los aeropuertos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de control de la gestión del tráfico que prestan servicios de control del tránsito aéreo (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(b) Transporte por ferrocarril Administradores de infraestructuras (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Empresas ferroviarias, incluidos los explotadores de instalaciones de servicio (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(c) Transporte marítimo y fluvial Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías, sin incluir los buques particulares explotados por esas empresas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Organismos gestores de los puertos, incluidas sus instalaciones portuarias, y entidades que operan obras y equipos que se encuentran en los puertos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de servicios de tráfico de buques (STB) (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(d) Transporte por carretera Autoridades viarias responsables del control de la gestión del tráfico, excluidas las entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de sistemas de transporte inteligentes (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
3. Banca (subsector no especificado) Entidades de crédito (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
4. Infraestructuras de los mercados financieros (subsector no especificado) Gestores de centros de negociación (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades de contrapartida central (ECC) (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
5. Sector sanitario (subsector no especificado) Prestadores de asistencia sanitaria (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Laboratorios de referencia de la UE (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades que realizan actividades de investigación y desarrollo de medicamentos
Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas
Entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública (lista de productos sanitarios esenciales durante la emergencia de salud pública)
(No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
6. Agua potable (subsector no especificado) Suministradores y distribuidores de aguas destinadas al consumo humano, excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
7. Aguas residuales (subsector no especificado) Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
8. Infraestructura digital (subsector no especificado) Proveedores de puntos de intercambio de internet (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Proveedores de servicios de DNS, excluidos los operadores de servidores raíz Entidad esencial Entidad esencial Entidad esencial
Registros de nombres de dominio de primer nivel Entidad esencial Entidad esencial Entidad esencial
Servicios de registro de nombres de dominio Entidad importante Entidad importante Entidad importante
Proveedores de servicios de computación en nube (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Proveedores de servicios de centro de datos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Proveedores de redes de distribución de contenidos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Prestadores de servicios de confianza Entidad esencial Entidad esencial Entidad esencial
Proveedores de redes públicas de comunicaciones electrónicas Entidad importante Entidad esencial Entidad esencial
Proveedores de servicios de comunicaciones electrónicas disponibles para el público Entidad importante Entidad esencial Entidad esencial
9. Gestión de servicios de TIC (de empresa a empresa) (subsector no especificado) Proveedores de servicios gestionados
Proveedores de servicios de seguridad gestionados
(No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
10. Administración pública (subsector no especificado) Entidades de la Administración pública central, tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional Entidad esencial Entidad esencial Entidad esencial
Entidades de la Administración pública a escala regional, según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional Entidad esencial Entidad esencial Entidad esencial
Entidades de la Administración pública a escala local (si un Estado miembro así lo decide) (si un Estado miembro así lo decide) (si un Estado miembro así lo decide)
11. Espacio (subsector no especificado) Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Otros sectores críticos
1. Servicios postales y de mensajería (subsector no especificado) Proveedores de servicios postales, incluidos los proveedores de servicios de mensajería (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
2. Gestión de residuos (subsector no especificado) Empresas que realizan la gestión de residuos, excepto aquellas para las que la gestión de residuos no es su principal actividad económica (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
3. Fabricación, producción y distribución de químicos (subsector no especificado) Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas y empresas que realizan la producción de artículos a partir de sustancias y mezclas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
4. Producción, transformación y distribución de alimentos (subsector no especificado) Empresas alimentarias que se dediquen a la distribución al por mayor y a la producción y transformación industriales (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
5. Fabricación (a) Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro Entidades que fabrican productos sanitarios y entidades que fabrican productos sanitarios para diagnóstico in vitro, excepto las entidades que fabrican productos sanitarios (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(b) Fabricación de productos informáticos, electrónicos y ópticos Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(c) Fabricación de material eléctrico Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(d) Fabricación de maquinaria y equipo n.c.o.p. Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(e) Fabricación de vehículos de motor, remolques y semirremolques Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(f) Fabricación de otro material de transporte Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
6. Proveedores de servicios digitales (subsector no especificado) Proveedores de mercados en línea (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
Proveedores de motores de búsqueda en línea (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
Proveedores de plataformas de servicios de redes sociales (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
7. Investigación (subsector no especificado) Organismos de investigación (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
Centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación (si un Estado miembro así lo decide) (si un Estado miembro así lo decide) (si un Estado miembro así lo decide)

(El desglose puede incluir más sectores según la tabla proporcionada por la directiva, que detalla el grado de cumplimiento exigido según el tipo de entidad).


Criterios para el Cumplimiento de la NIS 2

Para determinar si una organización debe cumplir con la NIS 2, se deben tener en cuenta los siguientes criterios generales:

  1. Ubicación Geográfica: La directiva se aplica a todas las empresas que operen o presten servicios en cualquier Estado miembro de la UE, sin importar si su sede se encuentra dentro o fuera de la Unión Europea.
  2. Tamaño de la Organización: La NIS 2 hace una distinción entre microempresas y pequeñas empresas (menos de 50 empleados y menos de 10 millones de euros de ingresos anuales), empresas medianas (50-250 empleados y entre 10 y 50 millones de euros de ingresos) y grandes organizaciones (más de 250 empleados y más de 50 millones de euros de ingresos).
  3. Sector: Solo las empresas que operan en sectores críticos, según los 18 sectores descritos, están sujetas al cumplimiento de la NIS 2.

Clasificación de Entidades: Entidades Esenciales e Importantes

Entidades Esenciales

Las entidades esenciales son aquellas empresas clasificadas como grandes organizaciones y que operan en los 11 sectores críticos identificados por la directiva. Además, esta clasificación puede incluir:

  • Prestadores de servicios de confianza.
  • Proveedores de servicios de DNS.
  • Redes públicas de comunicaciones electrónicas.
  • Entidades de la Administración Pública.
  • Otras entidades que sean consideradas críticas según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER) o según la evaluación de cada Estado miembro.

Obligaciones y Sanciones:

  • Mayor supervisión y controles de ciberseguridad.
  • Multas de hasta 10 millones de euros o el 2% de la facturación anual global.

Entidades Importantes

Las entidades importantes son aquellas que no cumplen con los requisitos para ser consideradas entidades esenciales, pero que sí cumplen con los tres criterios generales (ubicación, tamaño y sector).
Obligaciones y Sanciones:

  • Supervisión menos estricta en comparación con las entidades esenciales.
  • Multas de hasta 7 millones de euros o el 1,4% de la facturación anual global.

¿Qué Pasa con las Micro y Pequeñas Empresas?

Aunque, en principio, las microempresas y pequeñas empresas están exentas del cumplimiento de la NIS 2, hay ciertas excepciones en las que estas deben cumplir, tales como:

  • Ser el único proveedor de un servicio esencial en un Estado miembro.
  • Cuando su interrupción pudiera tener repercusiones significativas para la seguridad pública o generar riesgos sistémicos importantes.
  • Si son consideradas críticas por su importancia específica a nivel nacional o regional.

Diferencias Clave en el Tratamiento de Entidades

El artículo 32 de la directiva establece un nivel de supervisión más riguroso para las entidades esenciales en comparación con el artículo 33 para entidades importantes. Asimismo, el artículo 34 especifica diferencias en las multas aplicables, siendo más severas para las entidades esenciales. Esto refleja el mayor impacto que una posible interrupción de sus servicios podría tener.


Impacto y Alcance de la NIS 2

La Directiva NIS 2 representa un paso fundamental hacia la mejora de la ciberseguridad en la Unión Europea. Su alcance, significativamente más amplio que la anterior normativa, garantiza que sectores críticos estén protegidos frente a amenazas digitales. Las entidades esenciales y entidades importantes que deben cumplir con la NIS 2 no solo abarcan grandes organizaciones, sino también muchas empresas medianas y, en casos específicos, microempresas y pequeñas empresas. Esto refleja la importancia que la Unión Europea atribuye a la seguridad cibernética para salvaguardar servicios críticos y el bienestar social.

El cumplimiento de la NIS 2 requiere que las organizaciones afectadas adopten medidas robustas de seguridad y procedimientos proactivos. La diferenciación entre entidades esenciales e importantes resalta la prioridad que tienen ciertos sectores y el impacto potencial que una brecha de seguridad podría causar. Mientras que las entidades esenciales enfrentan mayores controles y sanciones, las entidades importantes no quedan exentas de significativas obligaciones.

En un entorno digital en constante evolución, asegurar el cumplimiento con la NIS 2 es esencial para mantener la confianza, la resiliencia y la estabilidad en toda la infraestructura crítica de la Unión Europea. Con un impacto estimado en más de 100,000 organizaciones, esta directiva es una clara señal de que la ciberseguridad ya no es una opción, sino una responsabilidad compartida que afecta a todos los niveles de la sociedad.


Desde Aelis Consulting, Podemos Ayudarte

En Aelis Consulting, entendemos la complejidad y los desafíos que puede implicar cumplir con la Directiva NIS 2. Nuestro equipo de expertos está aquí para ofrecerte un enfoque personalizado, adaptado a las necesidades específicas de tu sector y organización. Podemos apoyarte en la implementación de políticas y procedimientos de ciberseguridad, en la evaluación de riesgos, y en el diseño de medidas de protección para garantizar el cumplimiento con las exigencias de la NIS 2.

Nuestro compromiso es guiarte en cada paso del camino, desde la planificación hasta la ejecución y supervisión continua de tus medidas de ciberseguridad. Juntos, podemos fortalecer la seguridad de tu organización, mitigar riesgos y asegurarte de que cumples con las regulaciones europeas, protegiendo tus operaciones críticas y contribuyendo a la resiliencia de todo el ecosistema digital.

Contacta con nosotros para obtener más información y descubre cómo podemos ayudarte a alcanzar el cumplimiento de la NIS 2 con confianza y eficacia.

 

Scroll al inicio
Llámanos al 933 800 852 | 917 482 870
Si lo prefieres te llamamos nosotros.

Envíanos tu Cv

Sube tu CV *

Solo PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX.

Completa el formulario

    Indícanos cuándo quieres que te llamemos