Descifrar el ámbito de aplicación de la NIS2: Qué PYME entran en el ámbito de aplicación de la Directiva y qué significa para su empresa

La Directiva NIS2 (Directiva (UE) 2022/2555) representa la revisión más importante de la legislación sobre ciberseguridad de la UE desde la Directiva NIS original de 2016. Al ampliar drásticamente su ámbito de aplicación, introducir obligaciones más estrictas e imponer sanciones sustanciales, la NIS2 obliga a miles de organizaciones de toda Europa a reevaluar su postura en materia de ciberseguridad. Para las pymes, el reto consiste en comprender si la Directiva se aplica a su negocio y de qué manera.

Ampliación del ámbito de aplicación: ¿Quién está cubierto?

La Directiva NIS original se aplicaba a un reducido conjunto de operadores de servicios esenciales y proveedores de servicios digitales. La NIS2 la sustituye por una clasificación mucho más amplia: entidades esenciales y entidades importantes. La distinción es importante porque determina la intensidad de la vigilancia supervisora y la severidad de las sanciones.

Entidades esenciales

Las entidades esenciales están sujetas a medidas de supervisión proactivas y ex ante. Esta categoría incluye organizaciones de los siguientes sectores:

• Energía (electricidad, petróleo, gas, hidrógeno, calefacción urbana)
• Transporte (aéreo, ferroviario, fluvial, por carretera)
• Infraestructuras bancarias y de mercados financieros
• Sanidad (proveedores de asistencia sanitaria, laboratorios de referencia de la UE, fabricación de productos farmacéuticos)
• Suministro y distribución de agua potable
• Gestión de aguas residuales
• Infraestructura digital (IXP, proveedores de DNS, registros de TLD, computación en nube, centros de datos, CDN)
• Gestión de servicios TIC en B2B (proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados)
• Administración pública (gobierno central)
• Espacio

Entidades importantes

Las entidades importantes están sujetas a una supervisión reactiva a posteriori. Entre los sectores figuran:

• Servicios postales y de mensajería
• Gestión de residuos
• Fabricación, producción y distribución de productos químicos
• Producción, transformación y distribución de alimentos
• Fabricación de dispositivos médicos, ordenadores, electrónica, maquinaria y vehículos de motor
• Proveedores digitales (mercados en línea, motores de búsqueda, plataformas de redes sociales)
• Organismos de investigación

Umbrales de tamaño

NIS2 aplica una norma de límite de tamaño. En general, la Directiva se aplica a las empresas medianas y de tamaño superior: organizaciones con 50 empleados o más O un volumen de negocios anual (o balance general anual) de 10 millones de euros o más. Sin embargo, algunas entidades entran en el ámbito de aplicación independientemente de su tamaño, como los proveedores de servicios DNS, los registros de nombres TLD y las entidades que son el único proveedor de un servicio crítico en un Estado miembro.

Las PYME por debajo de estos umbrales están generalmente exentas a menos que operen en uno de los subsectores específicamente designados. Sin embargo, cualquier organización de la cadena de suministro de una entidad esencial o importante puede enfrentarse a obligaciones contractuales de ciberseguridad impuestas por sus clientes para cumplir los requisitos de seguridad de la cadena de suministro NIS2.

Principales obligaciones en virtud de NIS2

1. Gestión de riesgos de ciberseguridad (artículo 21)

El artículo 21 exige que las entidades esenciales e importantes adopten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos para la seguridad de las redes y los sistemas de información. Estas medidas deben incluir, como mínimo:

• Políticas de análisis de riesgos y seguridad de los sistemas de información
• Procedimientos de gestión de incidentes
• Continuidad de la actividad y gestión de crisis (incluida la gestión de copias de seguridad y la recuperación en caso de catástrofe)
• Seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones con los proveedores directos.
• Seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades.
• Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad
• Prácticas básicas de ciberhigiene y formación en ciberseguridad
• Políticas sobre el uso de criptografía y, en su caso, cifrado.
• Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos
• Uso de autenticación multifactor, comunicaciones seguras y comunicaciones de emergencia seguras

2. Notificación de incidentes (artículos 23 y 30)

La NIS2 introduce una obligación de notificación de incidentes en varias fases que es significativamente más estricta que la directiva original:

1. Alerta temprana: En un plazo de 24 horas tras tener conocimiento de un incidente significativo, notifíquelo a la autoridad competente o al CSIRT. La alerta temprana debe indicar si se sospecha que el incidente ha sido causado por actos ilícitos o malintencionados y si podría tener repercusiones transfronterizas.
2. Notificación del incidente: En un plazo de 72 horas, proporcionar una evaluación inicial que incluya la gravedad y el impacto, así como indicadores de compromiso cuando se disponga de ellos.
3. Informe final: En el plazo de un mes, facilite una descripción detallada del incidente, la causa raíz, las medidas paliativas aplicadas y el impacto transfronterizo cuando proceda.

Un incidente significativo se define como aquel que ha causado o puede causar graves trastornos operativos o pérdidas financieras, o ha afectado o puede afectar a otras personas físicas o jurídicas causándoles daños materiales o inmateriales considerables.

3. Seguridad de la cadena de suministro

El artículo 21, apartado 2, letra d), exige explícitamente a las entidades que aborden la seguridad de la cadena de suministro. Esto significa evaluar las prácticas de ciberseguridad de sus proveedores directos y proveedores de servicios, incorporar requisitos de seguridad en los contratos de adquisición y supervisar el riesgo de terceros de forma continua. Para muchas PYME, esta obligación llegará indirectamente a través de requisitos contractuales impuestos por clientes más grandes que son a su vez entidades reguladas por la NIS2.

4. Responsabilidad del órgano de gestión (artículo 20)

La NIS2 responsabiliza directamente al órgano de dirección (consejo de administración, dirección ejecutiva) de aprobar y supervisar la aplicación de las medidas de gestión de riesgos de ciberseguridad. Los miembros del órgano de dirección deben recibir formación en ciberseguridad y pueden ser considerados personalmente responsables de las infracciones. Esto supone un cambio significativo con respecto a la Directiva SRI original y equipara la gobernanza de la ciberseguridad al nivel de responsabilidad que se observa en la regulación financiera.

Transposición y aplicación a escala nacional

Los Estados miembros debían transponer la NIS2 a su legislación nacional antes del 17 de octubre de 2024. A principios de 2026, la mayoría de los Estados miembros han completado la transposición, aunque los plazos de aplicación y los requisitos específicos varían. Las organizaciones deben consultar la transposición nacional en cada Estado miembro en el que operan, ya que los requisitos pueden superar el mínimo de la NIS2.

Sanciones

Las sanciones previstas en la NIS2 son sustanciales y se diferencian según el tipo de entidad:

• Entidades esenciales: Multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios total anual a nivel mundial, la cantidad que sea mayor.
• Entidades importantes: Multas administrativas de hasta 7 millones de euros o el 1,4% del volumen de negocios total anual a nivel mundial, la cifra que sea mayor.

Las autoridades supervisoras también pueden imponer soluciones no monetarias, como instrucciones vinculantes, órdenes de aplicar recomendaciones de auditoría, órdenes de adecuar las medidas de seguridad y suspensión temporal de certificaciones o autorizaciones.

Pasos prácticos para las PYME

Si su organización entra en el ámbito de aplicación de NIS2, o si opera en la cadena de suministro de una entidad regulada, los siguientes pasos constituyen un punto de partida pragmático:

1. Evaluación del alcance: Determine si su organización es una entidad esencial, una entidad importante o está fuera del ámbito de aplicación. Tenga en cuenta tanto la clasificación sectorial como los umbrales de tamaño.
2. Análisis de carencias: Compare sus medidas actuales de ciberseguridad con los requisitos del Artículo 21. Identifique las áreas en las que sus controles actuales se quedan cortos.
3. Preparación de la respuesta a incidentes: Elabore o mejore su plan de respuesta a incidentes para cumplir los plazos de notificación de 24 horas, 72 horas y un mes.
4. Revisión de la cadena de suministro: Evalúe la postura de ciberseguridad de sus proveedores críticos e incorpore requisitos de seguridad en los contratos de adquisición.
5. Compromiso de la dirección: Informe a su consejo de administración o dirección ejecutiva sobre sus responsabilidades en materia de NIS2 y organice cursos de formación sobre ciberseguridad.
6. Documentación: Mantener pruebas de todas las medidas de ciberseguridad, evaluaciones de riesgos e informes de incidentes. El cumplimiento de NIS2 es un cumplimiento demostrable.

La Directiva NIS2 no es una preocupación normativa lejana. Es una obligación de cumplimiento activa para miles de organizaciones europeas. Las PYME que actúen ahora para comprender sus obligaciones y colmar sus lagunas en materia de ciberseguridad estarán mucho mejor posicionadas que las que esperen a que la acción coercitiva les obligue a actuar.