Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Análisis legal de aplicabilidad de la Directiva NIS2 a una empresa

Fecha de publicación 11/02/2025
Análisis legal de aplicabilidad de la Directiva NIS2 a una empresa

¿Qué ha ocurrido?

Se puso en contacto a través del teléfono gratuito y confidencial 017 de la Línea de Ayuda en Ciberseguridad, una empresa confusa ante la nueva normativa de la Directiva NIS2.

La empresa, dedicada a la mecánica de precisión, nos indicó que eran 110 empleados, tenían una facturación de 35 millones de euros y un balance general de 53 millones de euros. 

Aunque conocían la existencia de la Directiva NIS2, no sabían si les aplicaba o no, y esto les generaba mucha incertidumbre.

Decidieron ponerse en contacto con nosotros ya que querían asegurarse de cumplir con las medidas de ciberseguridad necesarias según la nueva normativa, desde un punto de vista legal y para evitar posibles sanciones.

¿Qué pautas le hemos dado?

Una vez analizada la situación, les explicamos los criterios necesarios para poder determinar si la empresa entraba dentro del ámbito de aplicación de la Directiva NIS2, para ello, les facilitamos las siguientes pautas:

  • Analizar los criterios para determinar si una empresa resulta afectada por NIS2:
    • En primer lugar, el tamaño de la organización, pues la norma aplica a grandes y medianas empresas, de conformidad con la Recomendación 2003/361/CE, sobre la definición de microempresas, pequeñas, medianas y grandes empresas. También se puede determinar el tamaño de una empresa en ¿Soy una Pyme?.
    • En segundo lugar, determinar el sector de actividad, NIS2 diferencia entre entidades esenciales e importantes, en función del grado de criticidad, enumerando una serie de sectores como energía, salud, transporte, etc. en sus Anexos I y II, los cuales se pueden consultar fácilmente a través del NIS2: lo que necesitas saber.
    • Por último, que la organización preste servicios o lleve a cabo sus actividades en algún o alguno de los estados miembros de la Unión Europea.
  • Tener en cuenta que, independientemente del tamaño de la organización, por su papel clave en la sociedad, existen excepciones para pequeñas empresas y microempresas, quedando incluidas en su ámbito de aplicación, las cuales se encuentran recogidas en el art.2.2. de la Directiva.
  • Determinar si la empresa forma parte de la cadena de suministro de una entidad a la que le resulta de aplicación la Directiva NIS2, en caso de no encontrarse en ninguno de los sectores mencionados.
  • Determinar si la empresa, dedicada a la “mecánica de precisión” y con el CNAE 2815 “Fabricación de cojinetes, engranajes y órganos mecánicos de transmisión”, puede considerarse incluida en la “Fabricación de maquinaria y equipo n.c.o.p.” según el apartado d) del punto 5 del Anexo II de la Directiva NIS2.
  • Con estos criterios, considerar si la empresa es una entidad  importante, al ser una mediana empresa, salvo que el Estado la identifique como esencial.
  • Asimismo, le recordamos que la Directiva NIS2 aún no ha sido traspuesta al ordenamiento jurídico español, por lo que habrá que esperar a la publicación de la ley para conocer las medidas correctas que serán de obligado cumplimiento, así como las entidades afectadas.
  • Por otra parte, le facilitamos también la información de la sección de FAQ-NIS2.

Por último, le recordamos que ante cualquier duda que le pueda surgir, puede volver a contactar con el servicio de Tu Ayuda en Ciberseguridad de INCIBE todos los días del año de 08:00 am a 23:00 pm.

Tu Ayuda en Ciberseguridad

Etiquetas