Recordamos que la Directiva NIS 2 (Network and Information Security), también conocida como la Directiva (UE) 2022/2555, establece ciertas obligaciones que han de cumplir las empresas pertenecientes a los Estados miembros de la Unión Europea para garantizar un elevado nivel común de ciberseguridad. Pero… ¿A qué entidades afecta específicamente?

Criterios que determinan qué compañías deben cumplir con la Directiva NIS 2

Hay tres criterios generales que afectan a una empresa para cumplir o no con la Directiva NIS 2:

Ubicación

Una empresa que ofrece sus servicios y desarrolle su actividad dentro de cualquier país de la unión Europea deberá estar certificada en la Directiva NIS 2

Tamaño

La Directiva NIS 2 será de obligado cumplimiento para medianas (entre 50 y 250 empleados y entre 10 y 50 millones de euros en ingresos anuales) y grandes empresas (más de 250 empleados y más de 50 millones de euros en ingresos anuales)

Sector

Una empresa deberá cumplir la Directiva NIS 2 siempre y cuando pertenezca a uno de los 18 sectores afectados, segmentados según la criticidad de su actividad:

  • Sectores de Alta Criticidad: energía; transporte; banca; infraestructuras de los mercados financieros; sector sanitario; agua potable; aguas residuales; infraestructura digital; gestión de servicios de TIC (de empresa a empresa); Administración pública; espacio.
  • Otros sectores críticos: servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; fabricación; proveedores de servicios digitales e investigación.

Entidades Esenciales y Entidades Importantes

Según la Directiva NIS 2, las organizaciones que han de cumplirla se diferencian entre “entidades esenciales” y “entidades importantes”.

Las entidades esenciales, definidas por la NIS 2, son:

  • Compañías que se clasifican como grandes empresas y pertenecen a uno de los 11 sectores críticos
  • Prestadores de servicios de confianza
  • Proveedores de servicios de DNS
  • Redes públicas de comunicaciones electrónicas
  • Entidades de la Administración pública
  • Cualquier entidad considerada crítica según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER)
  • Otras entidades especificadas por los Estados miembros


Las entidades importantes son todas las demás organizaciones que no se clasifican como entidades esenciales, pero que cumplen con los 3 criterios de ubicación (Unión Europea, tamaño (empresas medianas y grandes) y sector (uno de los 18 sectores afectados).

Sectores críticos

  • Energía
  • Transporte
  • Banca
  • Infraestructuras de los mercados financieros
  • Sanitario
  • Agua potable
  • Aguas residuales
  • Infraestructura digital
  • Gestión de servicios de TIC B2B
  • Administración pública
  • Espacio

Otros sectores críticos

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación, producción y distribución de químicos
  • Producción, transformación y distribución de alimentos
  • Fabricación
  • Proveedores de servicios digitales
  • Investigación

¿Quieres implementar la Directiva NIS 2 en tu empresa?

El equipo de consultores expertos en TI de Grupo Ingertec, te ayudará a implementar la Directiva NIS 2 en tu empresa para garantizar el elevado nivel común de ciberseguridad que ha de cumplirse en los Estados miembros de la Unión Europea.

900 897 931
Pide tu presupuesto
¡Suscríbete a nuestra Newsletter!
Linkedin Youtube Instagram Envelope