norppa.io
Guías

Guía NIS2 · 8 min

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

NIS2 se aplica de forma mucho más amplia que la Directiva NIS original, pero no a todo el mundo. Que tu organización esté sujeta depende de tres cosas: tu sector, tu tamaño y un puñado de excepciones independientes del tamaño. Esta guía recorre cada prueba para que puedas determinar tu situación, y explica por qué la designación no es la única forma en que la directiva te alcanza. El plazo de transposición (17 de octubre de 2024) ha vencido y los Estados miembros la aplican a medida que finalizan su legislación nacional.

Dos categorías: entidades esenciales e importantes

NIS2 clasifica a las organizaciones sujetas en dos niveles. Ambos deben cumplir las mismas obligaciones básicas de seguridad y notificación; la diferencia está en la intensidad de la supervisión y las sanciones máximas aplicables.

Entidades esenciales

Grandes organizaciones de los sectores de mayor criticidad (anexo I), más ciertas entidades designadas con independencia del tamaño. Sujetas a supervisión proactiva (ex ante): pueden producirse auditorías, inspecciones y solicitudes de información sin un incidente previo.

Entidades importantes

La mayoría del resto de organizaciones sujetas que alcanzan el umbral de tamaño, incluidos los sectores del anexo II. Sujetas a supervisión reactiva (ex post): las autoridades actúan cuando hay indicios de incumplimiento.

¿Qué sectores están cubiertos?

NIS2 enumera los sectores cubiertos en dos anexos. El anexo I cubre los sectores de alta criticidad; el anexo II, otros sectores críticos. Si tu actividad principal entra en alguna de las listas y alcanzas el umbral de tamaño, es probable que estés sujeto.

Anexo I — sectores de alta criticidad

  • Energía (electricidad, petróleo, gas, calefacción urbana, hidrógeno)
  • Transporte (aéreo, ferroviario, marítimo, por carretera)
  • Banca e infraestructuras de los mercados financieros
  • Salud (proveedores, laboratorios de referencia de la UE, medicamentos, productos sanitarios)
  • Agua potable y aguas residuales
  • Infraestructura digital (DNS, registros de TLD, centros de datos, nube, CDN, servicios de confianza, comunicaciones electrónicas)
  • Gestión de servicios TIC, B2B (proveedores de servicios gestionados y de seguridad gestionada)
  • Administración pública (central y regional)
  • Espacio

Anexo II — otros sectores críticos

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación, producción y distribución de productos químicos
  • Producción, transformación y distribución de alimentos
  • Fabricación (productos sanitarios, informática y electrónica, maquinaria, vehículos de motor, otro material de transporte)
  • Proveedores digitales (mercados en línea, motores de búsqueda, redes sociales)
  • Organizaciones de investigación

El umbral de tamaño

Dentro de un sector cubierto, NIS2 suele aplicarse solo a partir de un tamaño mínimo: la regla del límite de tamaño. Se tienen en cuenta tanto la plantilla como las cifras financieras.

Grande — generalmente 'esencial' (anexo I)

Al menos 250 empleados, o volumen de negocios superior a 50 millones de euros y balance general superior a 43 millones de euros. Las grandes entidades de los sectores del anexo I suelen clasificarse como esenciales. Las grandes entidades de los sectores del anexo II siguen siendo importantes, no esenciales.

Mediana — generalmente 'importante'

Al menos 50 empleados, o volumen de negocios anual y balance general superiores a 10 millones de euros. Alcanzar el umbral de tamaño mediano en un sector cubierto suele incorporarte como entidad importante.

Por debajo del umbral mediano, las microorganizaciones y pequeñas organizaciones suelen quedar fuera del ámbito, salvo que se aplique una excepción independiente del tamaño.

Excepciones independientes del tamaño — sujeto con independencia del tamaño

Algunas entidades están cubiertas con independencia de su tamaño debido a su función. Entre ellas figuran los prestadores cualificados de servicios de confianza, los registros de nombres de dominio de primer nivel y los proveedores de servicios DNS, los proveedores de redes o servicios públicos de comunicaciones electrónicas, y las entidades que sean el único proveedor de un servicio esencial para la actividad social o económica de un Estado miembro.

Las entidades de la administración pública y las organizaciones identificadas como críticas en virtud de la Directiva sobre la resiliencia de las entidades críticas (CER) también pueden estar sujetas con independencia del tamaño, y los Estados miembros pueden designar entidades de forma individual. Si operas infraestructura crítica o un servicio sin sustituto, consulta la lista de designación de tu autoridad nacional en lugar de basarte solo en la prueba de tamaño.

¿No designado? Aun así pueden incorporarte a través de la cadena de suministro

Aunque no estés sujeto directamente, NIS2 te alcanza de forma indirecta. Las organizaciones sujetas deben gestionar el riesgo de ciberseguridad de sus proveedores y prestadores de servicios (art. 21.2.d). En la práctica, eso significa que tus clientes —bancos, hospitales, energéticas, organismos públicos— exigirán cada vez más pruebas de tu nivel de seguridad como condición para hacer negocios.

Por eso la pregunta práctica rara vez es solo '¿estoy designado?'. También es '¿están mis clientes sujetos a NIS2?'. Si lo están, sus obligaciones te llegan a través de contratos, cuestionarios y supervisión continua, seas o no formalmente una entidad esencial o importante.

Qué significa estar sujeto en la práctica

Si estás sujeto, las obligaciones principales son:

  • Medidas de gestión de riesgos — la base del art. 21: análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, cifrado, control de acceso y más.
  • Notificación de incidentes — una alerta temprana a tu CSIRT nacional en un plazo de 24 horas tras un incidente significativo, una notificación más completa en 72 horas y un informe final en un mes (art. 23).
  • Gobernanza y responsabilidad — los órganos de dirección deben aprobar y supervisar las medidas y pueden ser considerados responsables; se espera formación del personal.
  • Registro — muchas entidades deben registrarse ante su autoridad nacional, aportando datos de contacto y de sector.

Las entidades esenciales e importantes cumplen la misma base; el nivel afecta sobre todo a cómo se supervisan y a las sanciones máximas aplicables.

Fuente: Directiva (UE) 2022/2555 (NIS2), artículos 2 y 3 y anexos I y II — consulta tu ley nacional de transposición y tu autoridad de supervisión para los detalles vinculantes en tu país.

Cómo ayuda norppa.io

Una vez que sabes que tus proveedores están sujetos —o que tus clientes esperan garantías de nivel NIS2— norppa.io aporta la evidencia continua que ambas direcciones necesitan. Cada dominio de proveedor monitorizado se comprueba en más de 100 puntos de control a diario, los eventos críticos cada seis horas, con los hallazgos mapeados automáticamente a artículos de NIS2.

Los cuestionarios de autoevaluación (SAQ) se envían a los proveedores directamente desde norppa.io y se combinan con el perfil técnico de riesgo, de modo que la evidencia de proceso y técnica están en un solo lugar, listas para la diligencia debida de tus clientes o una auditoría de supervisión.

Mira cómo es la monitorización de nivel NIS2

Un informe de proveedor de ejemplo —hallazgos, mapeo NIS2 y evidencia— en dos minutos.

Ver informe de ejemplo

Guías relacionadas

NIS2 y el requisito de la cadena de suministro — qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

NIS2 Art. 21(2) — lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.