¿Soy un proveedor de telecomunicaciones bajo NIS 2?
NIS 2 enumera las telecomunicaciones en el sector 8 del Anexo I (Infraestructura digital). El artículo 2(2)(a) elimina después el umbral de tamaño, de modo que los deberes se aplican a todo proveedor de cara al público, grande o pequeño. Las definiciones provienen del Código Europeo de las Comunicaciones Electrónicas, no del uso coloquial.
La versión corta
Si opera una red pública de comunicaciones electrónicas, o si presta un servicio de comunicaciones electrónicas disponible al público, está en el ámbito de NIS 2. El sector 8 del Anexo I le nombra directamente dentro de Infraestructura digital.
El artículo 2(2)(a) de la Directiva elimina después el umbral de tamaño normal para las telecomunicaciones. No importa si tiene 5 empleados o 500. El desencadenante es el papel de servicio público, no el número de empleados. Un pequeño ISP regional, un pequeño revendedor de VoIP y un operador móvil nacional están todos en el ámbito sobre la misma base.
Alemania lo lleva a la legislación nacional a través del §28 BSIG junto con la Telekommunikationsgesetz (TKG). Algunos deberes operativos pasan por la Bundesnetzagentur (BNetzA), no directamente por el BSI. Esta página recorre la Directiva, las definiciones sectoriales de la UE y la transposición alemana en ese orden.
Directiva NIS 2 (2022/2555), Anexo I Sector 8 y art. 2(2)(a)
Sector 8 Infraestructura digital: proveedores de redes públicas de comunicaciones electrónicas; proveedores de servicios de comunicaciones electrónicas disponibles al público. La presente Directiva se aplicará también a las entidades, con independencia de su tamaño, que cumplan cualquiera de los criterios siguientes: (a) proveedores de redes públicas de comunicaciones electrónicas o proveedores de servicios de comunicaciones electrónicas disponibles al público.
Hay que leer dos piezas juntas. El sector 8 del Anexo I nombra las telecomunicaciones como infraestructura esencial. El artículo 2(2)(a) crea después una inclusión con independencia del tamaño para esos mismos proveedores de telecomunicaciones. El umbral normal de mediana empresa (50 empleados o 10 M EUR de volumen de negocios) no se aplica aquí.
Directiva (UE) 2018/1972 (Código Europeo de las Comunicaciones Electrónicas), art. 2
Por «red pública de comunicaciones electrónicas» se entiende una red de comunicaciones electrónicas que se utiliza, total o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles al público. Por «servicio de comunicaciones electrónicas disponible al público» se entiende un servicio prestado por lo general a cambio de una remuneración a través de redes de comunicaciones electrónicas, que abarca el servicio de acceso a internet, el servicio de comunicaciones interpersonales y los servicios consistentes, total o principalmente, en el transporte de señales.
NIS 2 no redefine estos términos. Los toma del Código Europeo de las Comunicaciones Electrónicas (EECC). «Disponible al público» es la palabra clave: un servicio que vende al público general cuenta; un VoIP corporativo interno que opera solo para su propio personal no cuenta.
§28 BSIG y la Telekommunikationsgesetz (TKG), Alemania
Anbieter öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste gelten als besonders wichtige Einrichtungen im Sinne dieses Gesetzes.
Alemania transpone los deberes de telecomunicaciones a través del §28 BSIG en combinación con la TKG. El BSI es la autoridad central de NIS 2, pero la Bundesnetzagentur (BNetzA) gestiona la regulación sectorial operativa para los proveedores de telecomunicaciones (medidas de seguridad bajo el antiguo §109 TKG, notificaciones de incidentes, registro de servicios). Cuente con tratar con ambos.
¿Opera una red pública?
Una red pública de comunicaciones electrónicas es una red utilizada total o principalmente para prestar servicios al público: fibra, cable, móvil, satélite, acceso inalámbrico fijo. Si opera el transporte subyacente para los clientes de otra persona, está en el ámbito por la vía del operador de red.
¿Presta un servicio público?
Un servicio de comunicaciones electrónicas disponible al público es uno que vende al público: acceso a internet (ISP), comunicaciones interpersonales (teléfono, SMS, correo electrónico, VoIP, mensajería) o puro transporte de señales. Revender la red de otra persona bajo su propia marca cuenta.
El tamaño no le exime
El art. 2(2)(a) elimina el umbral normal de 50 empleados / 10 M EUR para las telecomunicaciones. Un ISP de fibra regional de 5 personas y un pequeño revendedor de telefonía IP están en el ámbito sobre la misma base legal que Deutsche Telekom. No hay exención para pequeñas empresas en este sector.
Inclusión con independencia del tamaño (art. 2(2)(a))
Para la mayoría de los sectores de NIS 2, solo entra en el ámbito si supera el umbral de mediana empresa. Las telecomunicaciones son una de las excepciones. La Directiva se aplica expresamente con independencia del tamaño porque el propio papel de servicio público crea una dependencia social. Pequeño no significa fuera.
Las definiciones son las del EECC
Lo que cuenta como servicio «disponible al público» es la prueba legal del Código Europeo de las Comunicaciones Electrónicas, no la coloquial. Un servicio que vende al público está dentro. Una red o servicio que opera solo para su propia organización, o solo como grupo cerrado de usuarios, normalmente no lo está. En caso de duda, las definiciones, considerandos y la guía del regulador nacional del EECC son la referencia.
BSI / §28 BSIG
El BSI es la autoridad central de NIS 2. El registro, el marco de gestión de riesgos y la notificación de incidentes bajo NIS 2 pasan todos por el BSI. Para las telecomunicaciones, el §28 BSIG nombra a los operadores de redes públicas y a los proveedores de servicios públicos directamente como «besonders wichtige Einrichtungen», con independencia del tamaño.
Bundesnetzagentur (BNetzA) / TKG
La BNetzA es el regulador sectorial de las telecomunicaciones. Gestiona los deberes operativos de la TKG (seguridad de redes y servicios, notificación de incidentes por la vía de telecomunicaciones, registro de servicios). NIS 2 se superpone al régimen existente de la TKG, no lo sustituye. La mayoría de los proveedores de telecomunicaciones notifican por ambos canales.
ENISA
ENISA, la agencia de ciberseguridad de la UE, coordina entre los Estados miembros y publica la Technical Implementation Guidance bajo el CIR (UE) 2024/2690. Los operadores de redes públicas y los proveedores de servicios públicos figuran en el Anexo del CIR, lo que significa que partes del CIR son directamente vinculantes para los proveedores de telecomunicaciones sin necesidad de más transposición nacional.
Reguladores nacionales de telecomunicaciones
Cada Estado miembro tiene su propio regulador de telecomunicaciones que gestiona esta capa: ACM en los Países Bajos, ARCEP en Francia, RTR en Austria, AGCOM en Italia. El deber de NIS 2 es el mismo en toda la UE porque la Directiva fija un único suelo. Lo que difiere: con quién se registra, qué formulario de incidentes usa, y cómo se reparten el trabajo el equivalente del BSI y el regulador de telecomunicaciones.
Solo tenemos 5 empleados, así que el umbral de tamaño nos excluye.
No en las telecomunicaciones. El art. 2(2)(a) de NIS 2 enumera a los operadores de redes públicas y a los proveedores de servicios públicos como una categoría con independencia del tamaño. El umbral de 50 empleados / 10 M EUR que filtra a la mayoría de los demás sectores no se aplica aquí. Un ISP regional de 5 personas está en el ámbito de NIS 2 en pie de igualdad con un operador nacional.
No somos un MSP, así que el sector 8 no nos abarca.
Sector distinto, prueba distinta. Los proveedores de servicios gestionados se sitúan en el sector 8 del Anexo I bajo «gestión de servicios TIC (B2B)» y sí siguen el umbral de tamaño. Los operadores de redes públicas y los proveedores de servicios públicos son una fila separada en el mismo sector con sus propias definiciones del EECC, más la regla de independencia del tamaño del art. 2(2)(a). Lea ambas filas.
Operamos una red para nuestro grupo corporativo, así que estamos en el ámbito como proveedor de telecomunicaciones.
Normalmente no, por la vía de las telecomunicaciones. La prueba del EECC depende de «disponible al público». Una red corporativa privada utilizada solo por su propia organización o un grupo cerrado de usuarios queda generalmente fuera de las definiciones del EECC y, por tanto, fuera del sector 8 del Anexo I para las telecomunicaciones. Puede seguir entrando en NIS 2 por otro sector o como entidad incluida en el ámbito, pero no como proveedor de telecomunicaciones.
Un pequeño ISP de fibra regional con 8 empleados está inequívocamente en el ámbito de NIS 2. El sector 8 del Anexo I nombra a los operadores de redes públicas y a los proveedores de servicios públicos; el art. 2(2)(a) elimina el umbral de tamaño; la prueba del EECC de «disponible al público» se cumple porque el servicio se vende al público general. La misma lógica abarca a un pequeño revendedor de telefonía IP que atiende a clientes públicos. No hay lectura honesta del texto que excluya a ninguno de los dos.
Lo que vemos en la práctica: el operador redacta un marco de gestión de riesgos del §2.1 en torno a los servicios de cara al público y la infraestructura de soporte (red de transporte, enrutamiento central, nodos de acceso, OSS/BSS, autenticación de clientes). La proporcionalidad del art. 21(1) se aplica, de modo que un ISP de 8 personas no implementa con la profundidad de un operador de nivel uno. La fase debe anotarse, justificarse mediante el cuadro de riesgos y aprobarse por el órgano de dirección. Los deberes de la TKG ante la BNetzA corren en paralelo y alimentan el mismo registro de riesgos.
Nuestra comprobación de aplicabilidad recorre las definiciones del EECC paso a paso. Pregunta qué opera, a quién vende, y si el servicio es «disponible al público» en el sentido del EECC. El resultado le dice qué fila del Anexo aplica, si el art. 2(2)(a) le abarca con independencia del tamaño, y con qué regulador nacional (BSI frente a BNetzA en Alemania, equivalente del BSI frente a regulador de telecomunicaciones en otros lugares) habla primero.
El módulo de activos cubre el lado de la red (transporte, núcleo, acceso, OSS/BSS) y el lado orientado al servicio (gestión de abonados, autenticación, plataformas de voz y mensajería) en un solo inventario. El marco de gestión de riesgos del §2 del CIR corre después sobre ese inventario, de modo que la misma lista de activos alimenta tanto la vía de la BSIG / NIS 2 como la vía de la TKG sin doble mantenimiento.
- Directiva (UE) 2022/2555 (NIS 2), Anexo I Sector 8 y artículo 2(2)(a) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2018/1972 (Código Europeo de las Comunicaciones Electrónicas), definiciones del artículo 2 — eur-lex.europa.eu/eli/dir/2018/1972/oj
- Ley BSI (BSIG), §28 en su versión modificada por la NIS2 Implementation and Cybersecurity Strengthening Act
- Telekommunikationsgesetz (TKG), §165 y siguientes (seguridad de redes y servicios)
- Bundesnetzagentur, guía sectorial sobre seguridad y deberes de notificación de la TKG — bundesnetzagentur.de
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo (cubre DNS, TLD, nube, centros de datos, MSP y otras categorías del sector 8) — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj