NIS 2 Annex I sector 9

Las empresas de TI de grupo como proveedores de servicios gestionados según NIS 2

Cuando la TI central de su grupo presta servicio a las filiales, esa empresa de TI puede estar en el ámbito de NIS 2 por sí misma. El sector 9 del anexo I (gestión de servicios de TIC, de empresa a empresa) menciona a MSP y MSSP. El artículo 6(40) y (41) los define. Los profesionales alemanes han empezado a aplicar esto a las estructuras de grupo.

Simon OrzelSimon Orzel·

La versión breve

Muchos grupos alemanes y europeos agrupan su TI en un único departamento central o en una sociedad de servicios que gestiona la infraestructura, las aplicaciones y la seguridad del resto del grupo. La cuestión de NIS 2 es si esa empresa de TI cuenta por sí misma como proveedor de servicios gestionados (MSP), con independencia de lo que hagan la matriz o las filiales.

Esto importa porque MSP y MSSP se sitúan en el sector 9 del anexo I de la Directiva (gestión de servicios de TIC, de empresa a empresa). Si usted se sitúa ahí como MSP o MSSP y alcanza el umbral de tamaño de mediana empresa, es una entidad importante. Por sí misma. Con su propio registro, su propia gestión de riesgos y su propio deber de notificación de incidentes. Formar parte de un grupo no absorbe nada de eso.

La página recorre tres capas. Primero, lo que la Directiva dice realmente en el sector 9 del anexo I y en el artículo 6(40) y (41). Segundo, un test de tres partes que le indica si una empresa de TI de grupo entra en el ámbito. Tercero, la interpretación de los profesionales alemanes y los errores de lectura que oímos con más frecuencia.

La fuente jurídica
Tres capas. El anexo de la Directiva enumera los servicios gestionados como un sector. El artículo 6 dice qué es un proveedor de servicios gestionados. Los profesionales alemanes han publicado una interpretación sobre cómo se aplica esto a las estructuras de grupo.

Sector 9 del anexo I de la Directiva NIS 2 (2022/2555)

Gestión de servicios de TIC (de empresa a empresa): proveedores de servicios gestionados; proveedores de servicios gestionados de seguridad.

El sector 9 del anexo I ('Verwaltung von IKT-Diensten, Business-to-Business' en el texto alemán) menciona a MSP y MSSP como tipos de entidad incluidos en el ámbito. Se sitúan en su propio sector, separado del sector 8 del anexo I (infraestructura digital: nube, centros de datos, DNS, CDN, servicios de confianza).

Artículo 6(40) y 6(41) de la Directiva NIS 2

Por proveedor de servicios gestionados se entiende una entidad que presta servicios relacionados con la instalación, la gestión, la operación o el mantenimiento de productos de TIC, redes, infraestructura, aplicaciones o cualesquiera otras redes y sistemas de información, mediante asistencia o administración activa realizada en las instalaciones de los clientes o de forma remota. Por proveedor de servicios gestionados de seguridad se entiende un proveedor de servicios gestionados que realiza o presta asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad.

El artículo 6(40) define al MSP. El artículo 6(41) define al MSSP. El test es lo que hace la entidad (instalación, gestión, operación, mantenimiento, administración activa), no si factura a clientes externos.

Interpretación de los profesionales alemanes (Piltz Legal)

Las empresas que operan exclusivamente las operaciones de TI central de un grupo empresarial suelen quedar comprendidas en la definición de MSP.

Piltz Legal leyó la transposición alemana y llegó a esta conclusión: las sociedades de servicios de TI central que prestan servicio a las filiales del grupo quedan comprendidas en la definición de MSP. Los materiales legislativos alemanes que citan apuntan en la misma dirección: los servicios prestados a entidades del grupo jurídicamente separadas son servicios gestionados.

El test de tres partes
Que una empresa de TI de grupo quede comprendida en NIS 2 como MSP depende de tres preguntas. Las tres deben responderse con un sí para que la entidad esté en el ámbito por sí misma.
Paso 1

Personalidad jurídica propia

¿Está la TI central constituida como su propia entidad jurídica (una GmbH, una AG o el equivalente en otros Estados miembros)? Si es así, NIS 2 la evalúa por sí misma. Si la TI es solo un centro de coste interno sin personalidad jurídica, el ámbito se determina a través de la matriz que la opera.

Paso 2

Servicios gestionados a terceros

¿Instala, gestiona, opera, mantiene o administra activamente la entidad productos de TIC, redes, infraestructura, aplicaciones o sistemas para otras partes? Las filiales están jurídicamente separadas de la sociedad de servicios de TI, incluso dentro del mismo grupo. Los servicios prestados a ellas cuentan como servicios a terceros en virtud del artículo 6(40).

Paso 3

Umbral de tamaño alcanzado

¿Alcanza la entidad de TI el umbral de mediana empresa (50 empleados o más, o un volumen de negocios superior a 10 millones EUR con un balance superior a 10 millones EUR)? Atención a la regla de las empresas vinculadas conforme a la Recomendación 2003/361/CE de la Comisión: cuenta el personal y los datos financieros de todo el grupo. Una empresa de TI de 30 personas dentro de un grupo de 400 personas cuenta a nivel de grupo.

Dos reglas que deciden todos los casos límite
El sector 9 del anexo I y el artículo 6 descansan sobre dos reglas. Si las interpreta mal, los casos límite saldrán mal.

Cada entidad jurídica se evalúa por sí misma

El ámbito de NIS 2 se decide por entidad jurídica. Que la matriz esté en el ámbito (por ejemplo, como fabricante) no arrastra automáticamente a la filial de TI. Que la filial de TI esté en el ámbito no arrastra a la matriz. Cada entidad se registra, gestiona sus riesgos y notifica los incidentes según su propio deber.

La función decide el ámbito, no la finalidad

El artículo 6(40) describe lo que hace la entidad, no por qué. Los servicios no necesitan ser comerciales, fijados en condiciones de plena competencia ni vendidos a clientes externos. Una empresa de TI que existe solo para prestar servicio a su propio grupo presta igualmente servicios gestionados según la definición. Lo que usted hace decide el ámbito. Por qué lo hace no.

Cómo se interpreta esto en Europa
La Directiva fija una sola definición del artículo 6 para todos. Los profesionales de distintos países han empezado a aplicarla.
Alemania

Análisis de los profesionales de Piltz Legal

La interpretación publicada de Piltz Legal: las empresas de TI de grupo alemanas suelen quedar comprendidas en la definición de MSP cuando gestionan la TI central del resto del grupo. Los materiales legislativos alemanes en torno a la Ley de Implementación de NIS2 apuntan en la misma dirección: los servicios prestados a filiales del grupo jurídicamente separadas son servicios gestionados a efectos del artículo 6(40).

Toda la UE

El artículo 6 es el mismo en toda la UE

El artículo 6 de la Directiva es un único conjunto de definiciones que vincula a todos los Estados miembros. Las leyes nacionales copian la redacción casi palabra por palabra. Las transposiciones alemana, neerlandesa, austriaca y belga reflejan todas el artículo 6(40) y (41), de modo que el test de tres partes le da la misma respuesta en todas partes.

Otros Estados miembros

Transposiciones reflejadas

Los Países Bajos (Cyberbeveiligingswet), Austria (NISG) y Bélgica (NIS2-Wet) incorporan a su Derecho nacional las definiciones de MSP y MSSP. Una empresa de TI de grupo que opera más allá de las fronteras puede estar en el ámbito de varios Estados miembros a la vez, con un registro separado ante cada autoridad nacional competente.

Tres trampas que vemos continuamente
Tres supuestos sobre la TI de grupo y la categoría de MSP que surgen en casi todas las llamadas de delimitación de ámbito. Ninguno se sostiene frente al texto anterior.

  • La TI interna no cuenta como MSP.

    Depende de cómo esté constituida. Si la TI central es su propia entidad jurídica y presta servicio a otras empresas del grupo jurídicamente separadas, esos son servicios gestionados a terceros conforme al artículo 6(40). Un centro de coste puramente interno sin personalidad jurídica no está en el ámbito por sí mismo. Una GmbH de servicios dentro del grupo, por lo general, sí lo está.

  • Solo cuentan los MSP comerciales con clientes externos.

    El artículo 6(40) describe una función (instalación, gestión, operación, mantenimiento, administración activa de productos de TIC, redes, infraestructura, aplicaciones o sistemas), no una finalidad comercial. Las empresas de TI cautivas que solo prestan servicio a sus propias filiales cumplen igualmente la definición si realizan esa función. La interpretación de Piltz Legal y los materiales legislativos alemanes dicen lo mismo.

  • El ámbito de la matriz cubre automáticamente a la filial de TI.

    NIS 2 examina cada entidad jurídica por sí misma. La matriz puede estar en el ámbito como fabricante conforme al anexo II, mientras la filial de TI está en el ámbito conforme al sector 9 del anexo I como MSP. El registro, la gestión de riesgos y la notificación de incidentes corresponden a cada entidad por separado. El único punto en el que el grupo se trata como un todo es el test de tamaño.

Práctica: el atajo de la Konzern-IT y cómo NIS 2 lo invierte

Durante dos décadas, los grupos alemanes han fusionado su TI en una única sociedad de servicios. Operaciones más limpias, mejor tratamiento del IVA, menos duplicación. NIS 2 invierte en parte ese incentivo. Una GmbH de TI de grupo consolidada que antes pasaba inadvertida para el regulador puede ser ahora una entidad importante de NIS 2 por sí misma, con su propio registro, su propio marco de gestión de riesgos y su propia línea de incidentes con el BSI.

Lo que eso significa en la práctica: las decisiones estructurales que tomó por motivos fiscales u operativos necesitan una segunda revisión con NIS 2 delante. Si la entidad de TI está en el ámbito como MSP, también asume los deberes de cadena de suministro del artículo 21(2)(d) frente a sus clientes del grupo. Esos clientes pueden estar a su vez en el ámbito conforme al anexo I o II. El mismo contrato interno queda entonces bajo NIS 2 por ambos extremos.

Cómo gestionamos esto en la plataforma

La comprobación de aplicabilidad recorre el test de tres partes en voz alta: entidad jurídica sí o no, servicios a otras entidades jurídicas (dentro o fuera del grupo), tamaño incluyendo la regla de las empresas vinculadas. La respuesta se traslada al módulo de registro, de modo que la entidad de TI se registra por separado allí donde deba hacerlo.

El portal de proveedores cubre el otro lado del contrato. Las filiales que compran servicios gestionados a una empresa de TI hermana pueden pasarle el cuestionario de proveedores como a cualquier otro proveedor. Ambos extremos del acuerdo quedan documentados con la misma evidencia del artículo 21(2)(d).

Fuentes
  • Directiva (UE) 2022/2555 (NIS 2), artículo 6(40), 6(41) y sector 9 del anexo I (gestión de servicios de TIC B2B) — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Piltz Legal, 'Konzern-IT-Gesellschaften unter der NIS 2-Richtlinie' — piltz.legal/news/konzern-it-gesellschaften-unter-der-nis-2-richtlinie
  • BSIG (transposición alemana de NIS2), §2 n.º 26 (definición de MSP) y §28 (ámbito de aplicación) — gesetze-im-internet.de
  • Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas (regla de las empresas vinculadas) — eur-lex.europa.eu/eli/reco/2003/361/oj
  • FAQ sectorial del BSI sobre los tipos de entidad de NIS 2 — bsi.bund.de
Aplique el test de tres partes a la TI de su grupo
Comprobación de aplicabilidad, registro, gestión de riesgos y evidencia del portal de proveedores en una sola plataforma. Gratis, de código abierto, sin lock-in.
Abrir la plataforma gratuita