Recordamos que la Directiva NIS 2 (Network and Information Security), también conocida como la Directiva (UE) 2022/2555, establece ciertas obligaciones que han de cumplir las empresas pertenecientes a los Estados miembros de la Unión Europea para garantizar un elevado nivel común de ciberseguridad. Pero… ¿A qué entidades afecta específicamente?

Criterios que determinan qué compañías deben cumplir con la Directiva NIS 2

Hay tres criterios generales que afectan a una empresa para cumplir o no con la Directiva NIS 2:

Ubicación

Una empresa que ofrece sus servicios y desarrolle su actividad dentro de cualquier país de la unión Europea deberá estar certificada en la Directiva NIS 2

Tamaño

La Directiva NIS 2 será de obligado cumplimiento para medianas y grandes empresas tanto públicas como privadas.

  • Teniendo en cuenta que mas medianas empresas serán de entre 50 y 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
  • Por otro lado las grandes empresas: con más de 250 personas y cuyo volumen de negocios anual o cuyo balance general anual sea superior a 43 millones de euros.

Sector

Una empresa deberá cumplir la Directiva NIS 2 siempre y cuando pertenezca a uno de los 18 sectores afectados, segmentados según la criticidad de su actividad:

  • Sectores de Alta Criticidad: energía; transporte; banca; infraestructuras de los mercados financieros; sector sanitario; agua potable; aguas residuales; infraestructura digital; gestión de servicios de TIC (de empresa a empresa); Administración pública; espacio.
  • Otros sectores críticos: servicios postales y de mensajería; gestión de residuos; fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; fabricación; proveedores de servicios digitales e investigación.

Entidades Esenciales y Entidades Importantes

Según la Directiva NIS 2, las organizaciones que han de cumplirla se diferencian entre “entidades esenciales” y “entidades importantes”.

Las entidades esenciales, definidas por la NIS 2, son:

  • Compañías que se clasifican como grandes empresas y pertenecen a uno de los 11 sectores críticos
  • Prestadores de servicios de confianza
  • Proveedores de servicios de DNS
  • Redes públicas de comunicaciones electrónicas
  • Entidades de la Administración pública
  • Cualquier entidad considerada crítica según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER)
  • Otras entidades especificadas por los Estados miembros

Las entidades importantes son todas las demás organizaciones que no se clasifican como entidades esenciales, pero que cumplen con los 3 criterios de ubicación (Unión Europea, tamaño (empresas medianas y grandes) y sector (uno de los 18 sectores afectados).

Sectores de Alta Criticidad

  • Energía
  • Transporte
  • Banca
  • Infraestructuras de los mercados financieros
  • Sector sanitario
  • Agua potable
  • Aguas residuales
  • Infraestructura digital
  • Administración pública (Con exclusión del poder judicial, parlamentos y bancos centrales)
  • Espacio
  • Gestión de servicios de TIC (B2B)

Otros Sectores Críticos

  • Química
  • Investigación
  • Servicios Postales
  • Alimentación
  • Proveedores Digitales
  • Fabricación
  • Gestión de Resíduos

¿Quieres implementar la Directiva NIS 2 en tu empresa?

El equipo de consultores expertos en TI de Grupo Ingertec, te ayudará a implementar la Directiva NIS 2 en tu empresa para garantizar el elevado nivel común de ciberseguridad que ha de cumplirse en los Estados miembros de la Unión Europea.

¿Necesitas más información?

¿Qué ofrecer a tu empresa?

Proceso Online

Consultores Expertos

Auditoría Interna

Certificación Asegurada

Precio Justo

¡Suscríbete a nuestra Newsletter!