¿A quién afecta la directiva NIS2 en España?

El panorama de la ciberseguridad ha cambiado para siempre. Con la llegada de la directiva NIS2, proteger los datos de tu empresa ya no es solo una recomendación o un dolor de cabeza exclusivo del departamento de IT. Ahora es una obligación legal muy estricta para miles de organizaciones en España.

Se habla mucho de esta nueva normativa, pero la pregunta que realmente ronda la cabeza de muchos directivos es: ¿Esto va conmigo o mi empresa se libra?. La realidad es que afecta a muchísimas más empresas de las que imaginas, arrastrando a miles de pymes a través de la cadena de suministro.

Si quieres salir de dudas y evitar multas millonarias, en este artículo traducimos la jerga legal a un lenguaje claro para que descubras si tu empresa está obligada a cumplir con la directiva NIS2.

¿Quiénes están obligados a cumplir con la directiva NIS2?

La directiva NIS2 no se aplica a todas las empresas por igual. Para determinar qué organizaciones deben cumplirla y adoptar medidas de ciberseguridad más estrictas, la normativa evalúa la combinación de tres factores principales:

• Ámbito geográfico: la empresa opera o presta sus servicios dentro de la Unión Europea.
• Sector de actividad: pertenece a uno de los sectores contemplados en la directiva, lo que determinará si la organización es clasificada como una entidad esencial o una entidad importante.
• Tamaño de la organización: alcanza los umbrales de mediana o gran empresa (por regla general, más de 50 empleados o un volumen de negocio anual superior a 10 millones de euros), diseñados para identificar a las organizaciones con mayor impacto económico o social.

Ámbito geográfico: empresas que operan en la Unión Europea

La directiva NIS2 se aplica a organizaciones establecidas en la Unión Europea, pero su alcance va más allá de sus fronteras físicas, ya que también afecta a empresas con sede fuera de la UE si prestan servicios dentro del mercado europeo.

Esto significa que cualquier compañía internacional que ofrezca servicios digitales, infraestructuras o productos críticos a usuarios o empresas de la UE puede verse obligada a cumplir con la normativa. El objetivo es garantizar que todos los sistemas que sustentan la economía europea mantengan un nivel elevado y uniforme de ciberseguridad, independientemente de dónde se encuentre la sede principal de la empresa.

Sector de actividad: entidades esenciales vs. importantes

Otro factor determinante es el sector de actividad. La directiva identifica una serie de actividades consideradas estratégicas para el funcionamiento de la sociedad y divide a las organizaciones afectadas en dos grandes categorías legales: entidades esenciales y entidades importantes.

Para hacer esta distinción, la normativa lista de forma exhaustiva los sectores obligados, dividiéndolos en dos grandes grupos según su nivel de criticidad:

Sectores de alta criticidad (Anexo I):

• Energía: electricidad, redes de calefacción y refrigeración, petróleo, gas e hidrógeno.
• Transporte: aéreo, ferroviario, marítimo y por carretera.
• Banca: entidades de crédito.
• Infraestructuras de los mercados financieros: operadores de centros de negociación y entidades de contrapartida central.
• Sanidad: prestadores de asistencia, laboratorios de referencia, investigación (I+D) farmacéutica y fabricación de medicamentos.
• Agua potable: proveedores y distribuidores.
• Aguas residuales: empresas de recogida, eliminación o tratamiento.
• Infraestructura digital: proveedores de servicios en la nube, centros de datos, redes de telecomunicaciones, proveedores de DNS, etc.
• Gestión de servicios TIC: proveedores de servicios gestionados (MSP) y de seguridad (MSSP) entre empresas (B2B).
• Administración pública: entidades de la administración central y regional.
• Espacio: operadores de infraestructuras terrestres vinculadas al espacio.

Otros sectores críticos (Anexo II):

• Servicios postales y de mensajería.

• Gestión de residuos.

• Industria química: fabricación, producción y distribución de sustancias químicas.

• Alimentación: producción, transformación y distribución al por mayor de alimentos.

• Fabricación: incluye la fabricación de dispositivos médicos, productos informáticos, electrónicos y ópticos, equipos eléctricos, maquinaria, vehículos de motor y otro material de transporte.

• Proveedores digitales: mercados en línea (marketplaces), motores de búsqueda y plataformas de redes sociales.
• Investigación: organizaciones e institutos de investigación.

La clasificación final de una empresa como «esencial» o «importante» definirá su nivel de supervisión (siendo más estricta para las esenciales) y dependerá de la combinación exacta entre el sector al que pertenece (dentro de estas listas) y su tamaño.

Tamaño de la organización: la regla del límite

Por regla general, la NIS2 aplica lo que se conoce como la «regla del tamaño límite». Esto significa que la normativa se dirige principalmente a medianas y grandes empresas, ya que un incidente cibernético en sus redes tendría un mayor impacto económico o social.

Los umbrales que determinan la entrada automática en la directiva (siempre que se pertenezca a los sectores mencionados) son:

• Tener más de 50 empleados, o
• Tener un volumen de negocio o balance general anual superior a 10 millones de euros.

Las empresas que superan estos límites quedan dentro de su ámbito de aplicación. Sin embargo, existen excepciones vitales: las microempresas y pequeñas empresas (que no llegan a esos umbrales) también estarán obligadas a cumplir la NIS2 si ofrecen servicios altamente críticos.

Lista completa de sectores y subsectores afectados por la NIS2

Como hemos detallado en los puntos anteriores, la directiva clasifica las actividades obligadas en 18 grandes bloques. A continuación, te presentamos una tabla resumen con todos los sectores, subsectores y la categoría legal que te correspondería, para que puedas identificar de un vistazo en qué situación se encuentra tu empresa:

* Notas importantes para entender la tabla:

Criterios de Tamaño (Regla general):

• Micro y pequeñas empresas: menos de 50 empleados y un volumen de negocio o balance general anual inferior a 10 millones de euros. Por regla general, quedan excluidas de la directiva.

• Empresas medianas: entre 50 y 249 empleados, y un volumen de negocio anual de hasta 50 millones de euros (o balance hasta 43 millones).
• Grandes organizaciones: más de 250 empleados y un volumen de negocio anual superior a 50 millones de euros (o balance superior a 43 millones).

Excepciones clave para las micro y pequeñas empresas: existen entidades que deben cumplir la NIS2 independientemente de su tamaño. Estas incluyen: proveedores de redes públicas de comunicaciones electrónicas, prestadores de servicios de confianza (firmas electrónicas), registros de nombres de dominio de primer nivel (TLD) y entidades que sean el único proveedor de un servicio crítico en España.

Entonces, ¿Si soy soy una pequeña empresa no me afecta la NIS2?

Es muy tentador pensar que, al no llegar a los 50 empleados o a los 10 millones de euros de facturación, tu pyme está automáticamente exenta de cumplir con la directiva. Sin embargo, la realidad es que sí te puede afectar, y puede hacerlo por dos vías muy distintas:

1. Afectación directa

Como vimos en los apartados anteriores, la propia ley establece que el tamaño no importa si tu empresa ofrece servicios que son altamente críticos para la sociedad o la economía. Tendrás que cumplir con la NIS2 obligatoriamente, aunque seáis una microempresa, si tu negocio es:

• Un proveedor de redes públicas de comunicaciones o servicios de comunicaciones electrónicas.
• Un prestador de servicios de confianza (por ejemplo, emisión de firmas o certificados electrónicos).
• Un registro de nombres de dominio de primer nivel (TLD) o proveedor de servicios de DNS.
• El único proveedor de un servicio que sea esencial para mantener actividades sociales o económicas críticas en un Estado miembro.

2. Afectación indirecta

Esta es la situación que va a impactar a la inmensa mayoría de las pymes europeas. Aunque la ley no te obligue de forma directa por tu tamaño o sector, la NIS2 exige a las entidades esenciales e importantes que garanticen la ciberseguridad de toda su cadena de suministro.

¿Qué significa esto en la práctica? Que si tu pequeña empresa es proveedora de una organización que sí debe cumplir la NIS2 (por ejemplo, ofreces soporte informático, software, logística o mantenimiento a un banco, un hospital o una empresa energética), tu cliente te va a exigir por contrato que apliques medidas de ciberseguridad estrictas.

Si no lo haces, esa gran empresa se verá obligada a prescindir de tus servicios y buscar otro proveedor para no exponerse a vulnerabilidades ni a las millonarias multas de la directiva. Por tanto, incluso siendo una pyme, la ciberseguridad ya no es opcional: es un requisito comercial indispensable para sobrevivir y seguir operando en el mercado B2B.

¿En qué se diferencian las entidades esenciales de las importantes?

Dado que la normativa divide a las empresas afectadas en estas dos categorías, es normal preguntarse en qué se diferencian a la hora de la verdad. A nivel técnico, la directiva exige a ambas que apliquen medidas de ciberseguridad similares, pero la gran diferencia radica en cómo las vigila el Gobierno y en el tamaño de las multas.

• Entidades esenciales: al tener un impacto crítico en el país, sufren una supervisión proactiva. Es decir, las autoridades les harán auditorías e inspecciones periódicas para comprobar que cumplen la ley, y se enfrentan a las multas más altas de la directiva.
• Entidades importantes: tienen una supervisión reactiva. Por regla general, el Gobierno solo las investigará o inspeccionará si sufren un ciberataque grave o hay pruebas de que están incumpliendo la normativa. Las multas máximas también son ligeramente inferiores.

Ejemplos prácticos de aplicación de la NIS2

Para entender mejor cómo se cruzan todos los criterios que hemos visto (sector, tamaño y criticidad), vamos a analizar dos escenarios cotidianos. Uno en el que la empresa está obligada a cumplir la directiva y otro en el que, en principio, quedaría fuera de su alcance directo.

Caso 1: La empresa que SÍ está afectada

Imagina una empresa llamada «Distribuciones Alimentarias del Sur».

• Sector: se dedica a la distribución al por mayor de alimentos (Sector incluido en el Anexo II: Otros sectores críticos).
• Tamaño: tiene 120 empleados y una facturación anual de 15 millones de euros.

¿Le afecta la NIS2? Sí. Al tener más de 50 empleados y superar los 10 millones de euros de facturación, cumple con la «regla del tamaño límite» (es una mediana empresa). Como pertenece a un sector del Anexo II, la directiva la clasifica automáticamente como una “entidad importante”. Tendrá que aplicar las medidas de ciberseguridad exigidas y notificar cualquier incidente grave, aunque las inspecciones del Gobierno solo se realizarán de forma reactiva si hay algún problema.

Caso 2: La empresa que NO está afectada directamente

Imagina ahora una empresa llamada «Transportes Rápidos Locales».

• Sector: se dedica al transporte de mercancías por carretera (Sector incluido en el Anexo I: Sectores de alta criticidad).
• Tamaño: es una empresa familiar con 25 empleados y una facturación anual de 3 millones de euros.

¿Le afecta la NIS2? No de forma directa. A pesar de operar en un sector de alta criticidad (transporte), esta compañía no alcanza los umbrales mínimos de tamaño (menos de 50 empleados y menos de 10 millones de facturación), por lo que se considera una pequeña empresa. Al no ser el proveedor exclusivo de un servicio crítico a nivel nacional, queda excluida de la obligación legal directa.

Pero como vimos en el apartado anterior, si esta empresa es contratada por una gran cadena de supermercados que sí debe cumplir la NIS2, esta gran empresa podría exigirle por contrato que mejore su ciberseguridad, viéndose afectada de forma indirecta por la cadena de suministro.