Preguntas frecuentes, respuestas claras.

NIS2 entró en vigor el 17 de octubre de 2024. Los Estados miembros debían transponerla en esa fecha. La aplicación nacional varía según el país, pero las obligaciones sustantivas se aplican ya a las entidades en el ámbito.

Las entidades esenciales operan en los sectores más críticos (energía, transporte, banca, salud, administración pública por encima de los umbrales, etc.) y están sujetas a supervisión ex ante. Las entidades importantes se someten a supervisión ex post pero asumen las mismas obligaciones de base del artículo 21.

En general, NIS2 se aplica a entidades medianas y grandes (>50 empleados o >10 M€ de facturación) en sectores cubiertos. Algunas entidades están en el ámbito independientemente de su tamaño — proveedores de DNS, registros TLD y ciertos prestadores críticos.

Hasta 10 M€ o el 2 % de la facturación anual mundial para entidades esenciales, lo que sea mayor. Hasta 7 M€ o el 1,4 % para entidades importantes. Los administradores pueden ser declarados personalmente responsables.

No. NIS2 solo exige la notificación de incidentes significativos — aquellos que han causado o pueden causar una grave perturbación operativa o pérdidas financieras, o que han afectado a otras personas físicas o jurídicas.

Se solapan pero abordan ángulos distintos. El RGPD protege los datos personales. DORA se dirige específicamente al sector financiero. El CRA cubre productos con elementos digitales. NIS2 fija el conjunto de obligaciones de base de ciberseguridad para las organizaciones en el ámbito en 18 sectores.