En vigor desde el 17 oct 2024·Día 601·

Ámbito de aplicación10 jun. 20267 min

Entidades esenciales e importantes NIS2: las 4 pruebas del ámbito

Las entidades esenciales e importantes NIS2 se definen en los artículos 2 y 3 de la Directiva 2022/2555. Cuatro pruebas deciden si la empresa está incluida.

Entidades esenciales e importantes NIS2: las 4 pruebas del ámbitoÁmbito de aplicación

Los artículos 2 y 3 de la Directiva (UE) 2022/2555 determinan quién entra en NIS2 — y lo hacen mecánicamente. Las entidades esenciales e importantes NIS2 no se designan por intuición: una entidad está dentro del ámbito de aplicación cuando figura en uno de los dos anexos y supera un umbral de tamaño, o cuando uno de los casos especiales elimina la cuestión del tamaño.

El riesgo operativo está en el orden del descubrimiento. Las empresas que fracasan con NIS2 rara vez fracasan primero en las medidas; fracasan en el perímetro, al saber por una carta de la autoridad que una línea del anexo II o una designación nacional las cubría desde hacía meses. Cuatro pruebas, ejecutadas en orden y documentadas, producen la respuesta que un regulador aceptará — y el artículo 3, apartados 3 y 4, la convierte en obligación de registro con plazo de actualización de dos semanas.

Prueba 1 — la prueba sectorial: 18 sectores en dos anexos

El anexo I de la directiva nombra once «sectores de alta criticidad»: energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC (de empresa a empresa), administración pública y espacio. El anexo II añade siete «otros sectores críticos»: servicios postales y de mensajería, gestión de residuos, productos químicos, alimentos, fabricación, proveedores digitales e investigación. Dieciocho sectores en total — pero el epígrafe del sector no es la prueba.

La directiva se aplica a las «entidades de un tipo contemplado en el anexo I o II». La unidad operativa es el tipo de entidad listado en el anexo, no la etiqueta de la industria. La fabricación, por ejemplo, cubre una lista cerrada de subsectores — productos sanitarios, productos informáticos y electrónicos, material eléctrico, maquinaria, vehículos de motor y otro material de transporte. Los proveedores digitales cubren exactamente tres tipos: mercados en línea, motores de búsqueda en línea y plataformas de redes sociales. Un editor de software logístico no figura en ninguno; puede aparecer en cambio en el anexo I, en la gestión de servicios de TIC, como proveedor de servicios gestionados.

El modo de fallo frecuente: recorrer los dieciocho epígrafes y detenerse ahí. La nota de perímetro cita la línea del anexo literalmente — sector, subsector, tipo de entidad — o concluye, línea por línea, que ninguna aplica. La autoevaluación NIS2 en 3 preguntas recorre los anexos exactamente en ese orden.

Prueba 2 — la regla del límite de tamaño: 50 empleados o 10 millones de euros

El artículo 2, apartado 1 aplica la directiva a los tipos de entidades de los anexos I y II que se consideran medianas empresas según la Recomendación 2003/361/CE de la Comisión — o que superan sus límites — y que operan en la Unión. Traducido: una entidad está dentro del ámbito a partir de 50 empleados, o de un volumen de negocios anual y un balance general superiores a 10 millones de euros.

La misma aritmética fija el corte superior. Las entidades del anexo I que superan los límites de las medianas empresas — 250 empleados, o más de 50 millones de euros de volumen de negocios y 43 millones de balance — son entidades esenciales según el artículo 3, apartado 1, letra a). Las medianas del anexo I, y las del anexo II dentro del ámbito sea cual sea su tamaño, caen por defecto en la categoría de importantes.

Dos trampas se esconden en la recomendación. Plantilla, volumen de negocios y balance se evalúan incluyendo las empresas asociadas y vinculadas — una filial de 30 personas de un gran grupo puede cruzar el umbral solo con cifras consolidadas. Y las cifras se mueven: una entidad que superó los 50 empleados en el último ejercicio cerrado está dentro del ámbito ahora, no en la próxima revisión anual.

Prueba 3 — dentro del ámbito sea cual sea el tamaño: artículo 2(2) a 2(4)

El artículo 2, apartado 2 elimina el límite de tamaño para casos definidos. La letra a) cubre tres tipos de entidades: proveedores de redes o servicios públicos de comunicaciones electrónicas, prestadores de servicios de confianza, registros de nombres de dominio de primer nivel y proveedores de servicios de DNS. Las letras b) a e) cubren entidades que un Estado miembro designa individualmente — proveedor único de un servicio esencial, perturbación con impacto significativo en la seguridad, la protección o la salud públicas, riesgo sistémico transfronterizo, o importancia nacional o regional específica. La letra f) añade las entidades de la administración pública de la administración central.

El apartado 3 extiende la directiva a toda entidad identificada como crítica con arreglo a la Directiva (UE) 2022/2557, la directiva sobre la resiliencia de las entidades críticas. El apartado 4 añade las entidades que prestan servicios de registro de nombres de dominio, de nuevo sin suelo de tamaño.

La directiva no pregunta si una empresa se siente crítica. Pregunta si figura en un anexo, supera un umbral o ha sido nombrada por una autoridad — en ese orden.

La consecuencia práctica: un proveedor de DNS de cinco personas está dentro del ámbito, y una carta de designación con arreglo a las letras b) a e) prevalece sobre cualquier cálculo de tamaño. Las designaciones llegan por las leyes nacionales de transposición — por eso el expediente de perímetro sigue dónde están los cuatro grandes mercados en la transposición NIS2 — la ley nacional, no la directiva, dice quién firma la carta.

Prueba 4 — esencial o importante: qué cambia entre los dos regímenes

El artículo 3, apartado 1 enumera las entidades esenciales: grandes entidades del anexo I; prestadores cualificados de servicios de confianza, registros de primer nivel y proveedores de DNS sea cual sea su tamaño; proveedores medianos de comunicaciones electrónicas públicas; administración central; entidades designadas con arreglo al artículo 2, apartado 2, letras b) a e); y entidades críticas según la Directiva 2022/2557. El artículo 3, apartado 2 convierte a toda otra entidad dentro del ámbito en entidad importante. Las obligaciones de fondo son idénticas — las mismas medidas del artículo 21, el mismo reloj de notificación de incidentes, los mismos deberes del órgano de dirección según el artículo 20 de la directiva.

Lo que cambia es la exposición. Las entidades esenciales afrontan una supervisión ex ante según el artículo 32: auditorías, inspecciones in situ y solicitudes de información sin sospecha requerida. Las entidades importantes afrontan una supervisión ex post según el artículo 33 — la autoridad actúa cuando dispone de pruebas o indicios de una infracción. Los techos de multa divergen del mismo modo: al menos 10 millones de euros o el 2 % del volumen de negocios anual mundial para las entidades esenciales según el artículo 34, apartado 4; al menos 7 millones o el 1,4 % según el apartado 5 para las importantes. Cómo construyen los reguladores nacionales esa multa NIS2 es una aritmética que conviene leer antes de firmar la nota de categorización.

La categoría aterriza además en un registro. El artículo 3, apartado 3 obligaba a los Estados miembros a establecer una lista de entidades esenciales e importantes antes del 17 de abril de 2025, revisada al menos cada dos años. El apartado 4 carga a la entidad: presentar nombre, dirección y datos de contacto actualizados — incluidas direcciones de correo electrónico, rangos de IP y números de teléfono —, el sector y subsector del anexo I o II, y los Estados miembros donde se prestan servicios dentro del ámbito. Todo cambio se notifica sin demora y, en cualquier caso, en un plazo de dos semanas.

Cómo es cuando está bien hecho

Tres artefactos cierran la cuestión del perímetro en una forma que un supervisor puede leer:

  1. Una nota de perímetro fechada — que cita la línea exacta del anexo, fija plantilla, volumen de negocios y balance a fecha de evaluación, aplica las cuatro pruebas en orden y concluye esencial, importante o fuera del ámbito, firmada por el área jurídica y el CISO.
  2. El acuse de registro — la confirmación de presentación de la autoridad nacional según el artículo 3, apartado 4, archivada con un registro de cambios que muestra cada actualización dentro de la ventana de dos semanas.
  3. Un acta del consejo que recoge la categorización — el régimen, la consecuencia supervisora, el techo de multa aplicable y el deber de aprobación resultante para el órgano de dirección.

Ninguno de los tres exige un consultor. Exigen que la respuesta a «¿está mi empresa afectada por NIS2?» quede escrita, fechada y archivada — antes de que la autoridad pregunte quién debería haberse registrado.

Fuentes

  1. Directiva (UE) 2022/2555, artículos 2 y 3, anexos I y II.
  2. Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas, artículo 6 (identificación de las entidades críticas).
  3. Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas.
  4. ENISA — orientaciones sobre el ámbito de aplicación NIS2 y la categorización de entidades (referenciadas por su nombre).

Otros artículos

Autenticación multifactor NIS2: 5 clases de acceso obligatoriasMedidas técnicas

Autenticación multifactor NIS2: 5 clases de acceso obligatorias

11 may. 2026·Leer · 7 min
Transposición NIS2 España: dónde están hoy los cuatro mercadosEjecución nacional

Transposición NIS2 España: dónde están hoy los cuatro mercados

6 may. 2026·Leer · 7 min
Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugadaGestión de incidentes

Incidente significativo NIS2: el árbol de decisión para la guardia de las 3 de la madrugada

6 may. 2026·Leer · 7 min