NIS 2 cuando su sede está fuera de la UE
NIS 2 sigue al servicio, no al membrete. Si vende en la UE en uno de los sectores cubiertos, el artículo 26 de la directiva decide qué Estado miembro le supervisa y si necesita un representante designado dentro de la Unión.
La versión breve
Muchos fundadores suponen que una matriz estadounidense, británica o suiza les sitúa fuera de NIS 2. La directiva no funciona así. El artículo 26 de NIS 2 vincula la jurisdicción a dónde se ofrece el servicio y dónde se toman las decisiones de ciberseguridad, no a dónde está constituida la empresa.
Si usted es una entidad sectorial normal (energía, agua, transporte, fabricación, alimentación, salud, residuos, administración pública, etcétera), la supervisión sigue a los establecimientos que realmente opera en la Unión. Si tiene una filial alemana, el BSI supervisa esa filial. Si tiene oficinas en tres Estados miembros, cada una se supervisa localmente.
Si encaja en uno de los sectores digitales enumerados en el artículo 26, apartado 3 (DNS, registros de TLD, proveedores de la nube, proveedores de centros de datos, redes de distribución de contenidos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda en línea, servicios de redes sociales), las reglas son más estrictas. Un solo establecimiento principal le supervisa para toda la Unión, y si su sede está fuera de la UE debe designar un representante dentro de la Unión conforme al artículo 26, apartado 4.
Artículo 26, apartado 2, de la Directiva NIS 2 (2022/2555)
For the purposes of this Directive, an essential or important entity shall be deemed to have its main establishment in the Union in the Member State where the decisions related to the cybersecurity risk-management measures are predominantly taken. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where cybersecurity operations are carried out. If such Member State cannot be determined, the main establishment shall be deemed to be in the Member State where the entity concerned has the establishment with the highest number of employees in the Union.
Esta es la cascada que decide quién le supervisa cuando más de un Estado miembro podría reclamar de manera plausible la jurisdicción. Se aplica a las entidades de los sectores digitales nombrados en el artículo 26, apartado 3. Las decisiones de ciberseguridad van primero, las operaciones de ciberseguridad segundas, el número de empleados tercero.
Artículo 26, apartado 4, de la Directiva NIS 2 (2022/2555)
Where an entity referred to in paragraph 1, point (b), is not established in the Union but offers services within the Union, it shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. Such an entity shall be deemed to be under the jurisdiction of the Member State where the representative is established. In the absence of a representative within the Union designated under this Article, any Member State in which the entity provides services may take legal actions against the entity for the infringement of this Directive.
Se lee como un deber para las entidades no pertenecientes a la UE de los sectores digitales del artículo 26, apartado 3. El representante se convierte en el punto de contacto y ancla la jurisdicción. El artículo 27 añade luego el deber de registro: el representante inscribe a la entidad en el registro operado por ENISA en nombre de la entidad.
§28 BSIG (Alemania)
Wesentliche und wichtige Einrichtungen unterliegen der Aufsicht des Bundesamtes, soweit sich aus Artikel 26 der Richtlinie (EU) 2022/2555 die Zuständigkeit der Bundesrepublik Deutschland ergibt.
El BSIG refleja la directiva: el BSI le supervisa en Alemania si el artículo 26 de NIS 2 sitúa allí la jurisdicción. No hay una prueba de jurisdicción nacional separada. La cascada de la directiva es la prueba.
Regla general: la jurisdicción sigue al establecimiento
Fuera de los sectores digitales, usted es supervisado en cada Estado miembro donde tenga un establecimiento jurídico. Un grupo estadounidense con una GmbH alemana y una GmbH austriaca es supervisado por el BSI respecto de la entidad alemana y por la autoridad austriaca respecto de la entidad austriaca. El artículo 26, apartado 2, solo resuelve el criterio de desempate entre Estados miembros para los sectores digitales cubiertos por el artículo 26, apartado 3.
Regla especial para los sectores digitales
Los prestadores de servicios de DNS, los registros de TLD, los servicios de computación en la nube, los servicios de centros de datos, las redes de distribución de contenidos, los proveedores de servicios gestionados, los proveedores de servicios de seguridad gestionados, los mercados en línea, los motores de búsqueda en línea y las plataformas de redes sociales tienen un solo establecimiento principal en la Unión. Ese único Estado miembro le supervisa en toda la UE. La cascada del artículo 26, apartado 2, decide cuál es ese Estado miembro.
Deber de representante para los proveedores no pertenecientes a la UE
Si encaja en uno de los sectores digitales del artículo 26, apartado 3, y no está establecido en la Unión, debe designar un representante dentro de la Unión. El representante tiene que estar en un Estado miembro donde usted realmente ofrezca el servicio. La jurisdicción sigue entonces al representante. Sin uno, cualquier Estado miembro donde atienda a clientes puede emprender acciones legales conforme a la directiva.
Un supervisor, no cinco
Para los sectores digitales del artículo 26, apartado 3, la regla del establecimiento principal significa un supervisor para toda la Unión. Eso evita la situación en la que un proveedor de la nube con clientes en cada Estado miembro sea auditado veintisiete veces por los mismos controles. La cascada del artículo 26, apartado 2, elige al supervisor en un orden predecible: decisiones de ciberseguridad primero, operaciones de ciberseguridad segundo, número de empleados en la UE tercero.
Ninguna vía de escape a través de una sede extranjera
El artículo 26, apartado 4, cierra el círculo. Un proveedor no perteneciente a la UE de los sectores digitales cubiertos no puede ofrecer servicios en la Unión sin un representante designado dentro de ella. Sin uno, cualquier Estado miembro donde se venda el servicio puede emprender acciones legales. Constituirse en EE. UU., el Reino Unido o Suiza no le saca del ámbito de aplicación si el servicio toca la Unión.
BSI / §28 y §33 BSIG
El BSI es la autoridad supervisora para las entidades cuyo establecimiento principal o filial alemana las sitúa bajo la jurisdicción alemana. El registro se realiza a través del portal nacional del BSI, que alimenta el registro de ENISA conforme al artículo 27. Para las entidades del sector digital con su establecimiento principal en Alemania, el BSI es el punto de contacto único para toda la Unión.
Registro de ENISA conforme al artículo 27
ENISA opera el registro central para los sectores digitales nombrados en el artículo 27, apartado 2: prestadores de DNS, registros de TLD, nube, centros de datos, redes de distribución de contenidos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda en línea, servicios de redes sociales. Los Estados miembros alimentan los datos de las entidades en él. El registro es lo que hace práctica la supervisión transfronteriza.
Leyes nacionales de transposición
Cada Estado miembro tiene una ley de transposición (Países Bajos: Cyberbeveiligingswet, Austria: NISG, Bélgica: NIS2-Wet) y una autoridad nacional competente. La cascada del artículo 26 es idéntica en toda la Unión porque se sitúa en la directiva. Lo que difiere es el portal, el idioma y el supervisor local con el que usted realmente habla.
Somos una empresa estadounidense, así que NIS 2 no se nos aplica.
NIS 2 sigue al servicio hacia la Unión, no al membrete. Si está en uno de los sectores digitales nombrados en el artículo 26, apartado 3, y ofrece el servicio a clientes en la UE, el artículo 26, apartado 4, le exige designar un representante en la Unión. Si opera a través de una filial en la UE en cualquier otro sector cubierto, la propia filial está sujeta al ámbito. La constitución de la matriz no es la prueba.
Tenemos oficinas en seis Estados miembros, así que nos registramos seis veces.
Para los sectores digitales del artículo 26, apartado 3, usted tiene un establecimiento principal y un supervisor para toda la Unión. La cascada del artículo 26, apartado 2, lo elige: dónde se toman las decisiones de ciberseguridad primero, dónde se sitúan las operaciones de ciberseguridad segundo, el establecimiento de la UE con más empleados tercero. Fuera de esos sectores digitales, sí se registra por cada Estado miembro donde esté establecido, pero dentro de ellos no lo hace.
Tenemos nuestra sede en Suiza, así que estamos fuera de NIS 2 porque Suiza no está en la UE.
Suiza no es un Estado miembro de la UE, pero la directiva sigue alcanzando a las empresas suizas que venden en la Unión en un sector cubierto. Un MSP suizo que atiende a clientes alemanes o bien opera a través de una filial en la UE que se convierte en la entidad regulada, o bien, para los sectores digitales del artículo 26, apartado 3, debe designar un representante en la UE conforme al artículo 26, apartado 4. La misma lógica se aplica a los proveedores del Reino Unido, EE. UU. y otros terceros países.
El patrón limpio: averigüe si su sector está en la lista del artículo 26, apartado 3, antes de hacer cualquier otra cosa. Si lo está, su tarea es elegir un establecimiento principal, documentar por escrito la cascada del artículo 26, apartado 2 (decisiones, operaciones, número de empleados), y o bien registrarse a través del portal de ese Estado miembro o bien designar un representante si no pertenece a la UE. Si no lo está, mapea sus establecimientos en la UE y registra cada uno ante su autoridad nacional.
El patrón desordenado que vemos con más frecuencia son las matrices que intentan mantener toda la toma de decisiones de ciberseguridad en la sede fuera de la Unión mientras afirman que la filial de la UE es autónoma. La cascada del artículo 26, apartado 2, no se preocupa por los organigramas. Mira dónde se toman realmente las decisiones. Si la respuesta es 'en la sede de Boston', la filial de la UE sigue estando sujeta al ámbito a través de su propio establecimiento, y las entidades del sector digital siguen necesitando el representante del artículo 26, apartado 4. La vía más limpia es decidir en qué parte de la Unión se sitúan las decisiones, documentarlo y dejar de operar estructuras de control paralelas.
Capturamos la cascada del artículo 26 como parte del flujo de trabajo de aplicabilidad y registro. La plataforma formula las preguntas en el propio orden de la directiva: qué sector, qué Estados miembros con establecimientos, dónde se toman las decisiones de ciberseguridad, dónde se sitúan las operaciones de ciberseguridad, número de empleados en la UE. El resultado es un establecimiento principal documentado con el razonamiento escrito una sola vez, no rederivado en cada auditoría.
Para los grupos no pertenecientes a la UE de los sectores del artículo 26, apartado 3, la plataforma rastrea al representante designado como una entidad separada con sus propios datos de contacto y país de establecimiento. Los datos de registro del artículo 27 fluyen del mismo registro, de modo que la presentación al portal nacional y el registro de ENISA se alimentan de la misma fuente en lugar de una hoja de cálculo paralela.
- Directiva (UE) 2022/2555 (NIS 2), artículos 26 y 27 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Ley del BSI (BSIG), §28 y §33 en su versión modificada por la Ley de Aplicación de la NIS2 y de Refuerzo de la Ciberseguridad
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR) sobre requisitos técnicos y metodológicos sectoriales — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Registro de ENISA conforme al artículo 27, apartado 2, de NIS 2 — enisa.europa.eu
- Infopakete del BSI sobre el ámbito de aplicación y el registro de NIS 2 — bsi.bund.de/dok/nis-2-infopakete