¿Somos un proveedor de servicios gestionados conforme a NIS2?
NIS2 añadió a los MSP como un nuevo sector que no existía en NIS 1. Si opera de forma remota la TI de sus clientes, es muy probable que esté dentro del ámbito de aplicación. El sector 9 del Anexo I nombra la actividad. El artículo 6(39) define lo que cuenta. La prueba del tamaño sigue siendo aplicable, con una excepción estrecha que no cubre a la mayoría de los MSP.
La versión breve
NIS 1 no tenía a los MSP como categoría en absoluto. La directiva de 2022 los añadió. El sector 9 del Anexo I enumera la gestión de servicios TIC entre empresas, y el artículo 6(39) ofrece la definición legal: una entidad que presta servicios relacionados con la instalación, la gestión, la operación o el mantenimiento de productos TIC, redes, infraestructuras, aplicaciones o cualquier otro sistema de redes y de información, mediante asistencia o administración activa llevada a cabo en las instalaciones de los clientes o de forma remota. Si esto le describe, es muy probable que sea un MSP dentro del ámbito de aplicación.
MSP y MSSP son dos categorías distintas. El artículo 6(39) define al MSP. El artículo 6(40) define al MSSP como un proveedor de servicios gestionados que lleva a cabo o presta asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad. Ambos están en el sector 9 del Anexo I. Una entidad puede ser ambas a la vez. La mayoría de las casas generales de servicios de TI son MSP y no MSSP. Una empresa dedicada exclusivamente a SOC o pruebas de penetración es un MSSP.
La prueba del tamaño sigue siendo aplicable. NIS2 se aplica normalmente a las medianas empresas y mayores: al menos 50 empleados, o más de 10 millones de euros de volumen de negocios y de balance, conforme al artículo 2(1) y a la Recomendación 2003/361/CE. El artículo 2(2)(g) excluye un conjunto estrecho de sectores en los que el tamaño no condiciona el ámbito de aplicación, pero esa excepción cubre el DNS, los registros de nombres de dominio de primer nivel (TLD), los prestadores cualificados de servicios de confianza y algunos otros tipos de infraestructura digital. No incorpora a los MSP pequeños con independencia de su tamaño. Un MSP pequeño que esté por debajo de la prueba del tamaño queda fuera del ámbito de aplicación de NIS2.
Directiva NIS2 (2022/2555), Anexo I sector 9
Gestión de servicios TIC (entre empresas): proveedores de servicios gestionados; proveedores de servicios de seguridad gestionados.
NIS 1 no contenía este sector en absoluto. NIS2 lo introdujo como una nueva categoría, que es una de las mayores ampliaciones prácticas del ámbito de aplicación de la directiva. Tanto el MSP como el MSSP se sitúan dentro del mismo bloque del sector 9 del Anexo I. El calificativo «entre empresas» importa: prestar servicios a consumidores no queda cubierto por el sector 9; prestar servicios a otras empresas sí.
Artículo 6(39) Directiva NIS2 (definición de MSP)
Proveedor de servicios gestionados es una entidad que presta servicios relacionados con la instalación, la gestión, la operación o el mantenimiento de productos TIC, redes, infraestructuras, aplicaciones o cualquier otro sistema de redes y de información, mediante asistencia o administración activa llevada a cabo en las instalaciones de los clientes o de forma remota.
El artículo 6(40) añade la definición de MSSP: un proveedor de servicios gestionados que lleva a cabo o presta asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad. La directiva elige los verbos deliberadamente: instalación, gestión, operación, mantenimiento, administración activa. Vender un producto sin operación continua no cumple la definición. Un servicio de asistencia que restablece contraseñas sin operar los sistemas tampoco la cumple.
§28 BSIG (Alemania), Anlage 1 sector «Digitale Infrastruktur»
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
El §28 BSIG, junto con la Anlage 1 del BSIG, nombra explícitamente a los «Anbieter von verwalteten Diensten» (MSP) y a los «Anbieter von verwalteten Sicherheitsdiensten» (MSSP) bajo el Sektor Digitale Infrastruktur, que se corresponde con el sector 9 del Anexo I de NIS2. La sektorspezifische FAQ del BSI añade una aclaración operativa útil: el alojamiento web puro no le convierte en un MSP, y un traspaso de proyecto puntual tampoco. Lo que importa es la administración activa y continua.
¿Opera activamente la TI de sus clientes?
El artículo 6(39) enumera los verbos que cuentan: instalación, gestión, operación, mantenimiento, administración activa. Llevados a cabo en las instalaciones del cliente o de forma remota. La relación con el cliente tiene que ser continua, no una instalación puntual. El alojamiento web puro sin administración queda fuera. Vender una licencia de software y desentenderse queda fuera. Operar un cortafuegos gestionado, aplicar parches a los servidores del cliente, operar su entorno de Microsoft 365, gestionar de forma remota los puntos finales: todo ello queda dentro.
¿Es mediana empresa o mayor?
Artículo 2(1) más Recomendación 2003/361/CE: al menos 50 empleados, o más de 10 millones de euros de volumen de negocios y de balance. Aplique la prueba a la persona jurídica. El artículo 2(2)(g) enumera excepciones sectoriales estrechas en las que el tamaño no condiciona el ámbito de aplicación, pero el MSP no está en esa lista de excepciones. La excepción se aplica a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel (TLD), los prestadores cualificados de servicios de confianza y algunos otros tipos de infraestructura digital. Un MSP pequeño que esté por debajo de la prueba del tamaño queda fuera del ámbito de aplicación, sin más.
¿También presta servicios de seguridad?
El artículo 6(40) define al MSSP como un proveedor de servicios gestionados que lleva a cabo o presta asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad. Un SOC, un servicio gestionado de detección y respuesta, un encargo de pruebas de penetración con apoyo continuo de remediación, un servicio de gestión de vulnerabilidades: esas son actividades de MSSP. Una casa general de servicios de TI que opera servidores y puntos finales es un MSP. Una casa que además opera la pila de seguridad por encima es ambas cosas. El Anexo I trata por defecto a ambas como «wichtige Einrichtung» conforme al §28(2) BSIG.
«Gestionado» es una lista amplia de verbos, no una etiqueta de marketing
Algunas entidades no se llaman a sí mismas un MSP y aun así cumplen la definición. Algunas se llaman MSP y no la cumplen. La prueba legal es la lista de verbos del artículo 6(39): instalación, gestión, operación, mantenimiento, administración activa de productos TIC, redes, infraestructuras, aplicaciones o sistemas para terceros. Si esos verbos describen lo que usted hace de forma recurrente, es un MSP conforme a NIS2 diga o no su sitio web que lo es.
Su propia TI interna no le convierte en un MSP
Operar TI para uno mismo no es un servicio gestionado. El cliente tiene que ser otra persona. Los departamentos de TI internos que prestan servicio a su propio empleador no están dentro del ámbito de aplicación como MSP. Una sociedad de servicios independiente dentro de un grupo que opera la TI de las entidades hermanas es una cuestión distinta y normalmente sí cuenta, porque las hermanas son partes jurídicamente separadas. Véase la página sobre TI de grupo para ese caso.
BSI / §28 BSIG y Anlage 1
El BSI es la autoridad cibernética para los MSP en Alemania. La Anlage 1 del BSIG enumera a los «Anbieter von verwalteten Diensten» y a los «Anbieter von verwalteten Sicherheitsdiensten» bajo Digitale Infrastruktur, lo que se corresponde directamente con el sector 9 del Anexo I de NIS2. La sektorspezifische FAQ del BSI tiene el texto operativo más útil: el alojamiento web puro no es MSP, un proyecto puntual no es MSP, la administración activa y continua sí lo es. El portal de registro del §33 BSIG es donde se registran los MSP que superan la prueba del tamaño.
ENISA Technical Implementation Guidance
La TIG de ENISA cubre las actividades de MSP y MSSP en el capítulo del sector 9 del Anexo I y mapea los controles del artículo 21 sobre las operaciones que ejecuta un MSP típico. La tabla de mapeo de la TIG establece correspondencias con ISO 27001, NIST CSF 2.0 y ETSI 319 401, de modo que los MSP que ya operan un SGSI o una operación alineada con ETSI pueden reutilizar la mayor parte de ese trabajo.
MSP en NL, AT, BE y el resto
El artículo 6 de la directiva es un único conjunto de definiciones para toda la UE. Otras transposiciones copian la redacción: Austria mediante NISG, Países Bajos mediante Cyberbeveiligingswet, Bélgica mediante NIS2-Wet. Un MSP que presta servicio a clientes a través de fronteras está dentro del ámbito de aplicación allí donde tenga un establecimiento, y se registra en cada Estado miembro donde presta el servicio. La definición sustantiva no cambia entre países.
Solo respondemos a tickets, en realidad no estamos gestionando los sistemas del cliente.
Si los tickets implican instalar, configurar, aplicar parches u operar los sistemas del cliente de forma continua, eso es administración activa conforme al artículo 6(39). Reactivo no significa fuera del ámbito de aplicación. Un servicio de asistencia que solo restablece contraseñas sin tocar los sistemas subyacentes es una excepción estrecha. Un servicio de asistencia que aplica parches a Windows, reinicia servicios o envía configuración de puntos finales está prestando servicios gestionados.
Somos demasiado pequeños para estar dentro del ámbito de aplicación, pero la excepción nos incorpora de todos modos.
El artículo 2(2)(g) no incorpora a los MSP pequeños con independencia de su tamaño. La excepción se aplica a los proveedores de servicios de DNS, los registros de nombres de dominio de primer nivel (TLD), los prestadores cualificados de servicios de confianza, los proveedores de redes públicas de comunicaciones electrónicas y servicios, y algunos otros tipos de infraestructura digital. Los MSP no están en esa lista. Un MSP pequeño por debajo de la prueba del tamaño (menos de 50 empleados y que no supera los umbrales de volumen de negocios y de balance) queda fuera del ámbito de aplicación del propio NIS2, aunque los contratos con clientes puedan seguir exigiéndole que demuestre los controles del artículo 21 en virtud de la cláusula de la cadena de suministro.
Solo prestamos servicio a nuestro propio grupo, así que somos un departamento de TI interno.
Si las entidades a las que presta servicio están jurídicamente separadas de su sociedad de servicios, incluso dentro del mismo grupo, esos son servicios a terceros conforme al artículo 6(39). Una GmbH central de servicios de TI que opera la infraestructura de las GmbH hermanas es un MSP en la lectura de NIS2. La página separada sobre TI de grupo desarrolla este caso con más detalle.
Un MSP típico de mercado medio con 70 empleados, alrededor de 80 clientes pyme y una combinación de servicios de puntos finales gestionados, administración de Microsoft 365, cortafuegos gestionados y gestión de parches para los servidores de los clientes se sitúa de forma inequívoca dentro del ámbito de aplicación de NIS2. El sector 9 del Anexo I captura la actividad. El artículo 6(39) captura los verbos. La prueba del tamaño se supera con holgura con 70 empleados. La clasificación por defecto conforme al §28(2) BSIG es «wichtige Einrichtung».
El registro de riesgos del §30 tiene que cubrir la infraestructura de gestión que toca los sistemas del cliente: herramientas RMM, hosts de salto, la pila del SOC si opera uno, la pila de acceso privilegiado. La cascada de notificación de incidentes del §32 se aplica cuando un incidente afecta a su propia infraestructura o, por extensión, a los clientes que administra. El registro del §33 es una única presentación ante el BSI para toda la persona jurídica. Los contratos con clientes necesitan entonces cláusulas del artículo 21(2)(d) que apunten a los mismos controles, que es donde el cumplimiento de la cadena de suministro se encuentra con el cumplimiento del MSP.
La comprobación de aplicabilidad guía a los MSP explícitamente por el caso del sector 9 del Anexo I. Usted marca los verbos del servicio que ejecuta, la plataforma aplica la prueba del tamaño y le indica en qué grupo del §28 BSIG se sitúa. Si además opera servicios de seguridad, ofrece la rama de MSSP en paralelo sin obligarle a elegir una u otra.
El portal de proveedores gestiona el otro lado del contrato. A los clientes que le compran servicios gestionados se les puede entregar un cuestionario estructurado y un resumen publicado de controles del artículo 21, de modo que una única prueba cubra todas las cláusulas contractuales que de otro modo estaría enviando en PDF a cada cliente por separado.
- Directiva (UE) 2022/2555 (NIS2), Anexo I sector 9 (gestión de servicios TIC entre empresas) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS2), Artículo 6(39) (definición de proveedor de servicios gestionados) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS2), Artículo 6(40) (definición de proveedor de servicios de seguridad gestionados) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS2), Artículo 2(1) y Artículo 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas
- Ley del BSI (BSIG), §28 y Anlage 1 sector Digitale Infrastruktur, en su versión modificada por la Ley de Implementación de NIS2 y de Refuerzo de la Ciberseguridad
- BSI sektorspezifische FAQ sobre Anlage 1 Nr. 6.1.10 (Managed Services Provider) — bsi.bund.de