NIS2: Lista completa de sectores críticos

NIS2 amplía enormemente el alcance de la directiva original. Donde NIS1 cubría 7 sectores, NIS2 cubre 18. Esto significa que miles de empresas españolas que antes no estaban reguladas ahora deben cumplir con obligaciones estrictas de ciberseguridad. La pregunta clave es: ¿estás dentro?

Sectores de alta criticidad (Anexo I)

Estos sectores se consideran de alta criticidad. Las entidades medianas y grandes de estos sectores son clasificadas como entidades esenciales y están sujetas a supervisión proactiva.

1. Energía

• Electricidad: empresas generadoras, distribuidoras, comercializadoras, operadores de puntos de recarga
• Petróleo: refinerías, oleoductos, almacenamiento
• Gas: distribuidoras, operadores de GNL, almacenamiento
• Hidrógeno: producción, almacenamiento, transporte

En España, afecta a empresas como Red Eléctrica, Endesa, Repsol y sus cadenas de suministro.

2. Transporte

• Aéreo: aerolíneas, aeropuertos, gestión del tráfico aéreo (AENA)
• Ferroviario: operadores ferroviarios (Renfe), gestores de infraestructura (Adif)
• Marítimo: puertos, compañías navieras, servicios de tráfico marítimo
• Por carretera: autoridades de tráfico, operadores de ITS

3. Banca

Entidades de crédito según la definición del Reglamento (UE) 575/2013. En España, supervisadas por el Banco de España.

4. Infraestructuras de los mercados financieros

Operadores de mercados regulados, cámaras de compensación. En España, BME (Bolsas y Mercados Españoles).

5. Sanidad

• Hospitales y centros sanitarios
• Laboratorios de referencia de la UE
• Entidades que fabrican productos farmacéuticos o sanitarios considerados críticos
• Fabricantes de dispositivos médicos durante emergencias sanitarias

6. Agua potable

Suministradores y distribuidores de agua destinada al consumo humano. Empresas como Canal de Isabel II o Aigües de Barcelona.

7. Aguas residuales

Entidades que recogen, depuran o tratan aguas residuales urbanas o industriales.

8. Infraestructura digital

• Proveedores de puntos de intercambio de Internet (IXP)
• Proveedores de DNS (excepto operadores de servidores raíz)
• Registros de nombres de dominio de primer nivel (TLD)
• Proveedores de servicios de computación en nube
• Proveedores de servicios de centros de datos
• Redes de distribución de contenido (CDN)
• Proveedores de servicios de confianza
• Proveedores de redes públicas de comunicaciones electrónicas
• Proveedores de servicios de comunicaciones electrónicas disponibles para el público

9. Gestión de servicios TIC (B2B)

Proveedores de servicios gestionados de TIC y proveedores de servicios de seguridad gestionados (MSSP).

10. Entidades de la administración pública

Organismos del gobierno central y regional. En España, sujetos adicionalmente al Esquema Nacional de Seguridad (ENS).

11. Espacio

Operadores de infraestructuras terrestres que apoyan servicios espaciales. Relevante para el programa espacial europeo y empresas como Hispasat.

Otros sectores críticos (Anexo II)

Estos sectores también están cubiertos por NIS2. Las entidades medianas y grandes son clasificadas como entidades importantes y están sujetas a supervisión reactiva.

12. Servicios postales y de mensajería

Proveedores de servicios postales incluidos los de mensajería. Correos y operadores privados.

13. Gestión de residuos

Empresas de recogida, transporte y tratamiento de residuos.

14. Fabricación, producción y distribución de sustancias químicas

Empresas que fabrican y distribuyen sustancias y mezclas químicas.

15. Producción, transformación y distribución de alimentos

Empresas de distribución alimentaria a gran escala y producción industrial.

16. Fabricación

• Productos sanitarios y de diagnóstico in vitro
• Productos informáticos, electrónicos y ópticos
• Material eléctrico
• Maquinaria y equipos
• Vehículos de motor, remolques y semirremolques
• Otros equipos de transporte

17. Proveedores de servicios digitales

• Mercados en línea (marketplaces)
• Motores de búsqueda en línea
• Plataformas de servicios de redes sociales

18. Investigación

Organizaciones de investigación cuando sus resultados se explotan comercialmente.

Criterios de tamaño

| Categoría | Empleados | Facturación | Balance | |-----------|-----------|-------------|---------| | Mediana | 50-249 | 10-50M€ | 10-43M€ | | Grande | ≥250 | >50M€ | >43M€ | | Exenta | Menos de 50 | Menos de 10M€ | Menos de 10M€ |

Excepciones a la exención por tamaño: incluso las microempresas y pequeñas empresas están cubiertas si son:

• Proveedores de servicios de confianza
• Registros de nombres de dominio TLD
• Proveedores de DNS
• Único proveedor de un servicio esencial en un Estado miembro

¿Cómo verificar si tu empresa está afectada?

1. Identifica tu sector en las listas anteriores
2. Verifica el tamaño de tu empresa (empleados + facturación)
3. Comprueba excepciones: ¿eres proveedor crítico de una entidad NIS2?
4. Consulta al INCIBE: el 017 ofrece orientación gratuita sobre el ámbito de aplicación

Particularidades del mercado español

España tiene algunas características que amplifican el impacto de NIS2:

• Tejido de PYMES: el 99,8% de las empresas españolas son PYMES, muchas proveedoras de entidades NIS2
• Turismo: el sector turístico depende de infraestructuras digitales, transporte y servicios de pago
• Esquema Nacional de Seguridad (ENS): las administraciones públicas españolas ya tienen un marco de referencia que se complementa con NIS2
• Digitalización acelerada: el programa Kit Digital ha impulsado la digitalización de PYMES, aumentando su superficie de ataque

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.