¿Qué compañías deben cumplir con la NIS 2? Entidades esenciales y entidades importantes

La Directiva NIS 2 (SRI 2) enumera claramente todos los sectores y subsectores (industrias) que tienen que cumplir con esta directiva europea sobre ciberseguridad. Sin embargo, hay muchas excepciones a esta lista y no siempre es fácil trazar la línea entre entidades esenciales e importantes. En este artículo, ofrezco una clara explicación sobre quién debe cumplir esta norma y cuál es su situación.

Las empresas de tamaño mediano y grande de los siguientes sectores deben cumplir con la NIS2: energía; transporte; banca; infraestructuras de los mercados financieros; sector sanitario; agua potable; aguas residuales; infraestructura digital; gestión de servicios de TIC (de empresa a empresa); Administración pública; espacio; servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; fabricación; proveedores de servicios digitales e investigación.

Criterios que determinan qué compañías deben cumplir con la NIS2

Hay tres criterios generales que caracterizan las organizaciones que deben cumplir con la NIS 2:

  • 1) Ubicación – si ofrecen servicios o desarrollan actividades en cualquier país de la Unión Europea (con independencia de si tienen su sede en la UE o no); y
  • 2) Tamaño – si están clasificadas como organizaciones de medio o gran tamaño (consultar los criterios en la siguiente sección), y
  • 3) Sector – si operan en alguno de los 18 sectores enumerados en la tabla que aparece más abajo.

Sin embargo, hay algunas excepciones a estas reglas, como puede comprobar en la tabla de la siguiente sección.

¿Qué son las entidades esenciales e importantes?

“Entidades esenciales” y “entidades importantes” es la forma que usa la NIS 2 para referirse a las compañías y otras organizaciones que deben cumplir con la directiva.

La NIS 2 define las entidades esenciales de la siguiente manera:

  • Compañías que se clasifican como grandes empresas (consulte los criterios en la siguiente sección) y pertenecen a uno de los 11 sectores críticos (enumerados en la tabla más abajo)
  • Prestadores de servicios de confianza
  • Proveedores de servicios de DNS
  • Redes públicas de comunicaciones electrónicas
  • Entidades de la Administración pública
  • Cualquier entidad considerada crítica según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER)
  • Otras entidades especificadas por los Estados miembros

Las entidades importantes son todas las demás organizaciones que no se clasifican como entidades esenciales, pero que cumplen con los 3 criterios mencionados en la sección anterior.

¿Qué compañías deben cumplir con la NIS 2? Entidades esenciales y entidades importantes - Advisera

Desglose de sectores y entidades esenciales e importantes

Como la explicación anterior extraída la NIS 2 es un poco confusa, hemos preparado la siguiente tabla para mostrar qué organizaciones deben cumplir con la NIS 2 y detallar si están clasificadas como entidades esenciales o importantes.

Para más claridad, así es como la UE clasifica a las compañías dependiendo de su tamaño:

  • Microempresas y pequeñas empresas — si tienen menos de 50 empleados y menos de 10 millones de euros en ingresos anuales.
  • Empresas medianas — si tienen entre 50 y 250 empleados y entre 10 y 50 millones de euros en ingresos anuales.
  • Grandes organizaciones — si tienen más de 250 empleados y más de 50 millones de euros en ingresos anuales.
Sector Subsector Tipo de entidad Microempresas y empresas pequeñas* Empresas medianas Grandes organizaciones
Sectores de alta criticidad
1. Energía (a) Electricidad Empresas eléctricas que efectúan la función de ‘suministro’ (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de distribución (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de transporte (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Productores (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores designados para el mercado eléctrico
Participantes en el mercado de la electricidad
Operadores de un punto de recarga
(No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(b) Sistemas urbanos de calefacción y de refrigeración Operadores de sistemas urbanos de calefacción o de refrigeración (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(c) Crudo Operadores de oleoductos de transporte de crudo (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades centrales de almacenamiento (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(d) Gas Empresas suministradoras (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de distribución (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de transporte (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de almacenamientos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Gestores de la red de GNL (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Compañías de gas natural (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de instalaciones de refinado y tratamiento de gas natural (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(e) Hidrógeno Operadores de producción, almacenamiento y tratamiento de gas natural (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
2.Transporte (a) Transporte aéreo Compañías aéreas utilizadas con fines comerciales (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades gestoras de aeropuertos, aeropuertos (incluyendo los aeropuertos de la red básica) y entidades que explotan instalaciones anexas dentro de los recintos de los aeropuertos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de control de la gestión del tráfico que prestan servicios de control del tránsito aéreo (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(b) Transporte por ferrocarril Administradores de infraestructuras (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Empresas ferroviarias, incluidos los explotadores de instalaciones de servicio (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(c) Transporte marítimo y fluvial Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías, sin incluir los buques particulares explotados por esas empresas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Organismos gestores de los puertos, incluidas sus instalaciones portuarias, y entidades que operan obras y equipos que se encuentran en los puertos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de servicios de tráfico de buques (STB) (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
(d) Transporte por carretera Autoridades viarias responsables del control de la gestión del tráfico, excluidas las entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Operadores de sistemas de transporte inteligentes (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
3. Banca (subsector no especificado) Entidades de crédito (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
4. Infraestructuras de los mercados financieros (subsector no especificado) Gestores de centros de negociación (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades de contrapartida central (ECC) (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
5. Sector sanitario (subsector no especificado) Prestadores de asistencia sanitaria (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Laboratorios de referencia de la UE (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Entidades que realizan actividades de investigación y desarrollo de medicamentos
Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas
Entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública (lista de productos sanitarios esenciales durante la emergencia de salud pública)
(No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
6. Agua potable (subsector no especificado) Suministradores y distribuidores de aguas destinadas al consumo humano, excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
7. Aguas residuales (subsector no especificado) Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
8. Infraestructura digital (subsector no especificado) Proveedores de puntos de intercambio de internet (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Proveedores de servicios de DNS, excluidos los operadores de servidores raíz Entidad esencial Entidad esencial Entidad esencial
Registros de nombres de dominio de primer nivel Entidad esencial Entidad esencial Entidad esencial
Servicios de registro de nombres de dominio Entidad importante Entidad importante Entidad importante
Proveedores de servicios de computación en nube (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Proveedores de servicios de centro de datos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Proveedores de redes de distribución de contenidos (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Prestadores de servicios de confianza Entidad esencial Entidad esencial Entidad esencial
Proveedores de redes públicas de comunicaciones electrónicas Entidad importante Entidad esencial Entidad esencial
Proveedores de servicios de comunicaciones electrónicas disponibles para el público Entidad importante Entidad esencial Entidad esencial
9. Gestión de servicios de TIC (de empresa a empresa) (subsector no especificado) Proveedores de servicios gestionados
Proveedores de servicios de seguridad gestionados
(No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
10. Administración pública (subsector no especificado) Entidades de la Administración pública central, tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional Entidad esencial Entidad esencial Entidad esencial
Entidades de la Administración pública a escala regional, según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional Entidad esencial Entidad esencial Entidad esencial
Entidades de la Administración pública a escala local (si un Estado miembro así lo decide) (si un Estado miembro así lo decide) (si un Estado miembro así lo decide)
11. Espacio (subsector no especificado) Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad esencial
Otros sectores críticos
1. Servicios postales y de mensajería (subsector no especificado) Proveedores de servicios postales, incluidos los proveedores de servicios de mensajería (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
2. Gestión de residuos (subsector no especificado) Empresas que realizan la gestión de residuos, excepto aquellas para las que la gestión de residuos no es su principal actividad económica (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
3. Fabricación, producción y distribución de químicos (subsector no especificado) Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas y empresas que realizan la producción de artículos a partir de sustancias y mezclas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
4. Producción, transformación y distribución de alimentos (subsector no especificado) Empresas alimentarias que se dediquen a la distribución al por mayor y a la producción y transformación industriales (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
5. Fabricación (a) Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro Entidades que fabrican productos sanitarios y entidades que fabrican productos sanitarios para diagnóstico in vitro, excepto las entidades que fabrican productos sanitarios (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(b) Fabricación de productos informáticos, electrónicos y ópticos Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(c) Fabricación de material eléctrico Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(d) Fabricación de maquinaria y equipo n.c.o.p. Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(e) Fabricación de vehículos de motor, remolques y semirremolques Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
(f) Fabricación de otro material de transporte Empresas que realizan cualquiera de las actividades económicas (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
6. Proveedores de servicios digitales (subsector no especificado) Proveedores de mercados en línea (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
Proveedores de motores de búsqueda en línea (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
Proveedores de plataformas de servicios de redes sociales (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
7. Investigación (subsector no especificado) Organismos de investigación (No se exige el cumplimiento de la NIS 2) Entidad importante Entidad importante
Centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación (si un Estado miembro así lo decide) (si un Estado miembro así lo decide) (si un Estado miembro así lo decide)

*Las microempresas y pequeñas empresas también deben cumplir con la NIS 2 en los siguientes casos:

  • Si, según el artículo 2 párrafo 2 de la NIS2:
    • “(b) la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas;
    • (c) una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
    • (d) una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;
    • (e) la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro;”
  • Si un Estado miembro ha definido a esa entidad como “entidad crítica” según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER)

¿Cuál es la diferencia para las entidades esenciales e importantes en la NIS2?

Aquí están las diferencias más importantes sobre el tratamiento de la NIS 2 hacia las entidades esenciales e importantes:

  • El artículo 32 establece medidas de supervisión y ejecución más estrictas para las entidades esenciales que las previstas en el artículo 33 para las entidades importantes.
  • El artículo 34 contempla multas más altas para las entidades esenciales:
    • Para entidades esenciales: las multas son de hasta 10 millones de euros o el 2% de la facturación anual total.
    • Para entidades importantes: las multas son de hasta 7 millones de euros o el 1,4% de la facturación anual total.

Un alcance mucho mayor que la anterior Directiva NIS

Se estima que al menos 100.000 compañías tienen que cumplir con la NIS 2: este número supera con creces al que abarcaba la anterior Directiva NIS. Además de esto, la NIS2 también afecta a entidades esenciales e importantes que ofrecen servicios en cualquier país de la UE, aunque tengan su sede fuera de la Unión Europea.

En fin, no faltará trabajo para los profesionales de la ciberseguridad.

Para encontrar todos los documentos necesarios para cumplir la Directiva NIS 2 (SRI 2), consulta el Paquete de Documentos NIS 2 que incluye todas las políticas, procedimientos, planes y otras plantillas.

Advisera Dejan Kosutic

Dejan Kosutic

Destacado experto en ciberseguridad y seguridad de la información y autor de varios libros, artículos, webinars y cursos. Como experto de primer nivel, Dejan fundó Advisera para ayudar a las pequeñas y medianas empresas a conseguir los recursos que necesitan para cumplir con la normativa de la UE y las normas ISO. Cree que conseguir que los marcos regulatorios complejos resulten fáciles de entender y usar crea una ventaja competitiva para los clientes de Advisera, y que la IA es clave para lograrlo.

Como experto en ISO 27001 y NIS 2, Dejan ayuda a las empresas a encontrar el mejor camino hacia el cumplimiento normativo, eliminando gastos fijos y adaptando la implementación al tamaño y las necesidades específicas del sector.

Leer más artículos de Dejan Kosutic