¿Somos una entidad de la Administración pública conforme a NIS 2?
La Administración pública se encuentra en el sector 10 del Anexo I de NIS 2 y en el artículo 2, apartado 2, letra f). La Administración central está dentro con independencia del tamaño. La Administración regional está dentro si tu Estado miembro ha realizado la evaluación basada en el riesgo. Las exclusiones del artículo 2, apartados 5 a 7, son limitadas y funcionales, no institucionales.
La versión breve
La Administración pública está en el sector 10 del Anexo I de NIS 2. La prueba de tamaño que excluye a las empresas privadas pequeñas no se aplica aquí. El artículo 2, apartado 2, letra f), establece que las entidades de la Administración pública de la Administración central están dentro con independencia del tamaño, y que las entidades de la Administración pública a nivel regional están dentro si el Estado miembro las ha identificado tras una evaluación basada en el riesgo.
La directiva excluye a continuación actividades específicas, no instituciones específicas. El artículo 2, apartado 5, deja fuera la seguridad nacional, la defensa, la seguridad pública, las fuerzas y cuerpos de seguridad y las actividades judiciales. El artículo 2, apartado 7, deja fuera los parlamentos y los bancos centrales. Una autoridad policial que opera TI interna de recursos humanos y finanzas está dentro respecto de esa TI. Esa misma autoridad está fuera respecto de sus sistemas operativos de aplicación de la ley. Decide la función, no el rótulo de la puerta.
En Alemania, el §28 BSIG operativiza la regla para la Bundesverwaltung. El §29 BSIG da a los Länder la base jurídica para incorporar al ámbito de aplicación a su Landes- y Kommunalverwaltung. Hasta que un Land utilice el §29 BSIG, los municipios de ese Land quedan formalmente fuera, aunque toda agenda de congresos sobre NIS 2 los trate como dentro. Lee tu Landes-Cybersicherheitsgesetz antes de delimitar tu propio ámbito.
Artículo 2, apartado 2, letra f), de la Directiva NIS 2 (2022/2555)
La presente Directiva se aplica a las entidades de uno de los tipos a que se refiere el anexo I o II, con independencia de su tamaño, cuando la entidad sea una entidad de la Administración pública i) de la Administración central tal como se defina por el Estado miembro de conformidad con el Derecho nacional; o ii) a nivel regional tal como se defina por el Estado miembro de conformidad con el Derecho nacional que, tras una evaluación basada en el riesgo, preste servicios cuya perturbación pudiera tener un impacto significativo en actividades sociales o económicas críticas.
Literal del DO L 333/110. Dos mitades. La Administración central está dentro automáticamente. La Administración regional está dentro solo después de que el Estado miembro haya realizado la evaluación basada en el riesgo e identificado las entidades. La prueba de tamaño del artículo 2, apartado 1, no se aplica a ninguna de las dos.
Artículo 2, apartado 5, de la Directiva NIS 2 (exclusiones)
La presente Directiva no se aplica a las entidades de la Administración pública que desarrollen sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o el cumplimiento de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales.
La exclusión es funcional. La exclusión sigue a la actividad, no a la institución. Una autoridad de policía federal está fuera respecto de sus sistemas de cumplimiento de la ley y dentro respecto de su TI corporativa. El artículo 2, apartado 7, añade los parlamentos y los bancos centrales. El artículo 2, apartado 6, permite a los Estados miembros eximir a las entidades que desarrollen actividades del artículo 2, apartado 5, únicamente en esos ámbitos.
§28 y §29 BSIG (Alemania)
El §28 BSIG transpone la regla de la Administración central y vincula a las Einrichtungen der Bundesverwaltung. El §29 BSIG faculta a los Länder para incorporar al ámbito de aplicación a las Einrichtungen der Landes- und Kommunalverwaltung a través de sus propias Landes-Cybersicherheitsgesetze, tras la evaluación basada en el riesgo que exige el artículo 2, apartado 2, letra f), inciso ii), de NIS 2.
Dos anclajes alemanes, no uno. La Bundesverwaltung está dentro por ley federal. La Landesverwaltung y la Kommunalverwaltung dependen de la legislación de cada Land. Algunos Länder ya han publicado proyectos de Landes-Cybersicherheitsgesetze; otros no. El estatus jurídico de un Kommune depende del Land en el que se encuentre.
Administración central
Las entidades de la Administración pública de la Administración central, tal como se definan por el Derecho nacional, están dentro con independencia del tamaño. Ministerios federales, agencias federales, autoridades federales. Sin umbral de tamaño. En Alemania, esto es la Bundesverwaltung conforme al §28 BSIG. La etiqueta de 'central' la fija el Derecho nacional, de modo que la lista difiere entre Estados miembros, pero la regla estructural es la misma.
Administración regional
Las entidades de la Administración pública a nivel regional están dentro solo si el Estado miembro las ha identificado tras una evaluación basada en el riesgo. La directiva no las designa automáticamente. En Alemania, los Länder utilizan el §29 BSIG y sus Landes-Cybersicherheitsgesetze para realizar esa identificación y vincular a la Landesverwaltung y la Kommunalverwaltung. Hasta que el Land correspondiente haya actuado, las entidades regionales quedan formalmente fuera de la directiva.
Exclusiones funcionales
El artículo 2, apartado 5, excluye las actividades en seguridad nacional, seguridad pública, defensa y cumplimiento de la ley. El artículo 2, apartado 7, excluye los parlamentos y los bancos centrales. La exclusión se vincula a la actividad, no a la institución. La TI administrativa general de un ministerio permanece dentro. El sistema de gestión de casos de un cuerpo policial está fuera. Documenta qué sistemas se sitúan a cada lado de la línea.
El tamaño no se aplica
La prueba de tamaño del artículo 2, apartado 1 (50 empleados, 10 millones de euros) no se aplica a la Administración pública. El artículo 2, apartado 2, letra f), es una excepción con independencia del tamaño. Una autoridad federal de 12 personas está dentro. Una Bundesoberbehörde de 4 personas está dentro. Los únicos filtros son '¿es esto Administración central?', '¿es esto Administración regional que el Estado miembro ha identificado?' y '¿está esta actividad excluida por el artículo 2, apartado 5 o 7?'.
Las exclusiones siguen a la función, no a la institución
El considerando 8 lo deja explícito. Las exclusiones del artículo 2, apartado 5, no son un pase general para la policía, la defensa y los servicios de inteligencia. Cubren las actividades en esos ámbitos. Una misma autoridad puede estar fuera respecto de sus sistemas operativos y dentro respecto de su TI corporativa, sus sistemas de recursos humanos, sus sistemas financieros y sus sistemas de cara a proveedores. Mapea tus actividades, después mapea tus sistemas frente a ellas.
BSI / §28 BSIG
El BSI es la autoridad competente para la Bundesverwaltung conforme al §28 BSIG. Los ministerios y agencias federales están dentro por ley federal, sin prueba de tamaño, sin adhesión voluntaria. El BSI publica Verwaltungsvorschriften específicas y perfiles de IT-Grundschutz para las autoridades federales (Mindeststandards nach §8 BSIG).
Landes-Cybersicherheitsgesetze
El §29 BSIG faculta a cada Land para legislar qué entidades de la Landes- und Kommunalverwaltung están dentro del ámbito de aplicación. El Land realiza la evaluación basada en el riesgo que exige el artículo 2, apartado 2, letra f), inciso ii). Hasta que esa legislación exista, el BSIG federal no vincula a las entidades regionales. Comprueba si tu Land ha publicado un proyecto de Cybersicherheitsgesetz antes de delimitar el ámbito de un Kommune.
Rastreador de transposición de NIS 2 de ENISA
ENISA publica una página de transposición de NIS 2 que enumera las leyes nacionales, las autoridades competentes por Estado miembro y las decisiones nacionales de delimitación de ámbito para la Administración pública. Es la fuente única más clara para las autoridades transfronterizas o las organizaciones de servicios compartidos que tratan de averiguar ante qué regulador presentan en cada país.
Leyes nacionales de transposición
El artículo 2, apartado 2, letra f), vincula a la Administración pública en toda la UE. Países Bajos lo cubre a través de la Cyberbeveiligingswet, Francia a través de la Ordonnance n° 2024-1093, Austria a través de la NISG. La regla con independencia del tamaño de la directiva es la misma en todas partes. Cada Estado miembro decide qué cuenta como central y qué entidades regionales superan la evaluación basada en el riesgo.
Somos un Kommune, así que estamos automáticamente dentro de NIS 2.
No por la ley federal sola. El §28 BSIG vincula a la Bundesverwaltung. La Landes- und Kommunalverwaltung entra en el ámbito de aplicación a través del §29 BSIG y la Landes-Cybersicherheitsgesetz correspondiente, después de que el Land haya realizado la evaluación basada en el riesgo que exige el artículo 2, apartado 2, letra f), inciso ii). Comprueba el estatus de tu Land antes de dar nada por supuesto.
Hacemos trabajo de cumplimiento de la ley, así que estamos fuera de NIS 2.
La exclusión del artículo 2, apartado 5, es funcional. Cubre las actividades de cumplimiento de la ley, no toda la institución. Una autoridad policial está fuera respecto de sus sistemas de gestión de casos y de vigilancia, y dentro respecto de su TI de recursos humanos, finanzas, contratación y administración general. Misma autoridad, dos ámbitos. Documenta la línea por sistema.
Nuestro Stadtwerk es de titularidad municipal, así que entra en la Administración pública del sector 10.
La titularidad no traslada a un Stadtwerk al sector 10. Una empresa de servicios de titularidad municipal está dentro de NIS 2 a través de los sectores 1 (energía), 6 (agua potable), 7 (aguas residuales) u 8 (infraestructura digital) del Anexo I, con la prueba de tamaño ordinaria del artículo 2, apartado 1. El sector 10 es para las entidades de la Administración pública tal como las defina el Estado miembro, no para los operadores comerciales de titularidad estatal.
Caso típico: una agencia federal con 90 empleados. Se aplica el artículo 2, apartado 2, letra f), inciso i) (Bundesverwaltung), de modo que la prueba de tamaño nunca se ejecuta. La agencia opera TI administrativa general y una plataforma especializada que da soporte a la coordinación federal del cumplimiento de la ley. El artículo 2, apartado 5, excluye la plataforma de cumplimiento de la ley. La TI administrativa permanece dentro. Resultado: una única Anwendbarkeitsprüfung que enumera qué sistemas quedan bajo el §30 BSIG y cuáles quedan tras la exclusión, con la firma del órgano de dirección.
Caso típico a nivel regional: un Kommune de 220 empleados en un Land que aún no ha adoptado su Landes-Cybersicherheitsgesetz. Formalmente fuera de NIS 2 hoy. Los profesionales construyen igualmente la base (registro de riesgos, lista de proveedores, proceso de incidentes) porque el proyecto de ley está en consulta y las obligaciones llegarán en 2026 o 2027. Trata el año de margen como preparación, no como vacaciones.
La comprobación de aplicabilidad recorre los tres elementos en orden: ¿eres Administración central?, ¿eres una entidad regional que tu Estado miembro ha identificado? y ¿cuáles de tus actividades quedan tras una exclusión del artículo 2, apartado 5 o 7? Respondes las preguntas una vez y obtienes una Anwendbarkeitsprüfung por escrito que nombra el anclaje jurídico (§28 BSIG, §29 BSIG más tu Landesgesetz, o fuera del ámbito de aplicación) y los sistemas excluidos.
El resultado no es un sí o un no. Es una justificación: qué disposición se aplica, qué ha decidido el Estado miembro sobre las entidades regionales y qué sistemas se sitúan a cada lado de la exclusión funcional. Firmado por el órgano de dirección, almacenado con rastro de auditoría, anclado por versión al texto de la UE y del BSIG que citamos.
- Directiva (UE) 2022/2555 (NIS 2), artículo 2, apartado 2, letra f), artículo 2, apartados 5 a 7, considerandos 7 y 8, Anexo I, sector 10 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Ley del BSI (BSIG), §28 (Bundesverwaltung) y §29 (Länder) en su redacción dada por la NIS2-Umsetzungsgesetz
- Rastreador de transposición de NIS 2 de ENISA — enisa.europa.eu/topics/nis-directive
- Landes-Cybersicherheitsgesetze (por Land, proyectos y leyes adoptadas)