Quién está dentro del ámbito de NIS 2: la prueba completa del artículo 2
El artículo 2 de NIS 2 fija una única prueba de ámbito a escala de la UE. Tres partes: sector (Anexo I o II), tamaño (mediana o mayor según la Recomendación 2003/361/CE) y las excepciones con independencia del tamaño. Esta página lo recorre todo en orden, tal como debe leerse una comprobación de aplicabilidad.
La versión breve
Existe una única prueba a escala de la UE para determinar si NIS 2 te vincula. Se encuentra en el artículo 2 de la Directiva. Tiene tres elementos móviles. Sector. Tamaño. Excepción. La mayoría de las explicaciones cubren los dos primeros y se detienen. El tercero es donde se arrastra a las entidades pequeñas y donde se producen la mayoría de las sorpresas.
El artículo 2, apartado 1, es el caso base. Estás dentro si te encuentras en un sector enumerado en el Anexo I (sectores de alta criticidad) o en el Anexo II (otros sectores críticos), y eres al menos una mediana empresa con arreglo a la Recomendación 2003/361/CE. El artículo 2, apartado 2, enumera a continuación los casos en los que estás dentro con independencia del tamaño. Telecomunicaciones, prestadores de servicios de confianza, DNS, registros de TLD, prestadores únicos de servicios esenciales, entidades de la Administración pública y algunos más. Estar por debajo del umbral de tamaño no significa estar fuera.
Alemania incorpora la misma prueba a su Derecho nacional a través del §28 BSIG. El fondo es idéntico. La mecánica (qué agencia, qué formulario, qué plazo) es nacional. Ejecuta la prueba una vez, anota el resultado, consérvalo archivado. Ese documento es tu evaluación de aplicabilidad.
Artículo 2, apartado 1, de la Directiva NIS 2 (2022/2555)
La presente Directiva se aplica a las entidades públicas o privadas de uno de los tipos a que se refiere el anexo I o II que se consideren medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo, y que presten sus servicios o desarrollen sus actividades en la Unión.
La prueba base. Sector (Anexo I o II), tamaño (mediana o mayor), servicio prestado en la Unión. El artículo 2, apartado 2, añade a continuación una lista de casos con independencia del tamaño. El artículo 2, apartado 3, incorpora a las entidades críticas de la Directiva CER. Los apartados 5 a 11 del artículo 2 excluyen la seguridad nacional, la defensa, los parlamentos, los bancos centrales y el sector financiero (DORA, lex specialis con arreglo al artículo 4).
Recomendación 2003/361/CE, anexo, artículo 2
La categoría de microempresas, pequeñas y medianas empresas (PYME) está constituida por las empresas que ocupan a menos de 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
La definición oficial de tamaño de la UE. La categoría de mediana empresa empieza en 50 empleados y al menos 10 millones de euros de volumen de negocio y 10 millones de euros de balance. NIS 2 te alcanza a partir de la mediana empresa hacia arriba. 'Superar los límites máximos para las medianas empresas' en el artículo 2, apartado 1, significa gran empresa con arreglo a la misma Recomendación. Las empresas vinculadas y asociadas se agregan, de modo que una filial pequeña de una matriz grande a menudo cuenta como grande.
§28 BSIG (Alemania)
Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.
Alemania divide las dos categorías de la UE en entidades 'besonders wichtige' (esenciales) y 'wichtige' (importantes) utilizando los Anexos 1 y 2 del BSIG, que reflejan los Anexos I y II de la Directiva. Los umbrales de tamaño y los casos con independencia del tamaño siguen el texto de la UE. Otros Estados miembros tienen sus propias leyes de transposición (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n° 2024-1184) utilizando el mismo umbral mínimo de la UE.
¿Anexo I o Anexo II?
Anexo I (sectores de alta criticidad, 11 sectores): Energía, Transporte, Banca, Infraestructuras de los mercados financieros, Sanidad, Agua potable, Aguas residuales, Infraestructura digital, Gestión de servicios TIC (B2B, MSP y MSSP), Administración pública, Espacio. Anexo II (otros sectores críticos, 7 sectores): Servicios postales y de mensajería, Gestión de residuos, Productos químicos, Alimentación, Fabricación (productos sanitarios, electrónica, equipos eléctricos, maquinaria, vehículos), Proveedores digitales (mercados en línea, motores de búsqueda, redes sociales), Investigación. Si tu servicio o actividad se encuentra en cualquiera de los dos Anexos, pasa a la prueba de tamaño.
¿Mediana empresa o mayor?
La Recomendación 2003/361/CE define la mediana empresa como 50 empleados o más, O un volumen de negocio de al menos 10 millones de euros Y un balance de al menos 10 millones de euros. El artículo 2, apartado 1, te alcanza a partir de la mediana empresa hacia arriba. Se aplica la agregación de empresas vinculadas: si una matriz controla más del 50 por ciento de los votos, se combinan la plantilla y el volumen de negocio. Una filial de 30 personas de un grupo de 5.000 personas cuenta como parte de las cifras de ese grupo.
¿Te arrastra dentro el artículo 2, apartado 2 o 3, con independencia del tamaño?
El artículo 2, apartado 2, anula la prueba de tamaño para: los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas; los prestadores de servicios de confianza (eIDAS); los registros de nombres de TLD y los proveedores de servicios de DNS (excluidos los operadores de servidores raíz de nombres); los prestadores únicos en un Estado miembro de un servicio esencial para actividades sociales o económicas críticas; las entidades cuya perturbación pudiera tener un impacto significativo en la seguridad pública, la protección pública o la salud pública, o inducir un riesgo sistémico, o que sean críticas para un sector o para sectores interdependientes; las entidades de la Administración pública. El artículo 2, apartado 3, incorpora a las entidades identificadas como críticas con arreglo a la Directiva CER (Resiliencia de las Entidades Críticas). El artículo 2, apartado 4, permite a los Estados miembros incorporar a la Administración pública regional.
La prueba se ejecuta por persona jurídica, no por grupo
El artículo 2, apartado 1, vincula los deberes a la entidad, no al grupo de empresas. Una estructura de holding con cinco personas jurídicas ejecuta la prueba cinco veces. La aplicabilidad y los deberes recaen sobre la persona jurídica dentro del ámbito de aplicación. Los servicios del grupo pueden implementar medidas de forma centralizada, pero el destinatario jurídico es la entidad. Cuando las cifras de empresas vinculadas cambian el tamaño de una filial, eso solo cambia el dato de entrada de la prueba de tamaño, no quién soporta el deber. Véase también la página sobre el ámbito de filiales y holdings.
Estar por debajo del umbral de tamaño no significa estar fuera
El artículo 2, apartado 2, es la trampa en la que caen las entidades pequeñas. Los proveedores de telecomunicaciones, los prestadores de servicios de confianza, los proveedores de DNS, los registros de TLD, los prestadores únicos de servicios esenciales y determinadas entidades de la Administración pública quedan alcanzados con independencia del tamaño. Un prestador de servicios de confianza eIDAS de cinco personas está dentro. Un proveedor de DNS de 20 personas está dentro. La prueba de tamaño es solo para el caso base; comprueba la lista de excepciones antes de escribir 'fuera del ámbito de aplicación'.
BSI / §28 BSIG y la herramienta de aplicabilidad
El BSI publica en su sitio web una herramienta 'Betroffenheitsprüfung' que recorre los Anexos 1 y 2 del BSIG. Las entidades se autoclasifican y se registran a través del portal de registro del BSI. El §28 BSIG divide el ámbito de aplicación en entidades 'besonders wichtige' (esenciales, mayoritariamente Anexo I) y 'wichtige' (importantes, mayoritariamente Anexo II), con distintos límites máximos de sanción conforme al §65 BSIG.
Rastreador de transposición de ENISA
ENISA, la agencia de ciberseguridad de la UE, publica un rastreador de transposición que muestra en qué situación se encuentra cada Estado miembro en cuanto a la incorporación de NIS 2 a su Derecho nacional. A mayo de 2026, varios Estados habían sido remitidos al TJUE por transposición tardía. La Directiva en sí se aplica desde el 18 de octubre de 2024 con independencia de ello; la ley nacional solo añade la infraestructura local de ejecución.
Leyes nacionales de transposición
Países Bajos: Cyberbeveiligingswet (NCSC como autoridad competente). Austria: NISG (BMI). Francia: ordonnance n° 2024-1184 (ANSSI). Bélgica: NIS2-Wet (CCB). La prueba de ámbito de aplicación es idéntica porque los Anexos I y II son de nivel de la UE. Lo que difiere: los portales de registro, los plazos de notificación conforme al Derecho procesal nacional, con qué agencia hablas primero.
Tenemos menos de 50 empleados, así que NIS 2 no se aplica.
No necesariamente. El artículo 2, apartado 2, incorpora a los proveedores de telecomunicaciones, servicios de confianza, DNS, registros de TLD, prestadores únicos de servicios esenciales y determinadas entidades de la Administración pública con independencia del tamaño. Un prestador de servicios de confianza eIDAS de cuatro personas está dentro. Ejecuta la comprobación de excepciones antes de detenerte en el umbral de tamaño.
Somos un organismo del sector público, así que estamos fuera.
Depende. El artículo 2, apartado 2, letra i), cubre a las entidades de la Administración pública a nivel central y (cuando el Estado miembro así lo decida) regional. Los apartados 5 a 11 del artículo 2 excluyen la seguridad nacional, la defensa, las fuerzas y cuerpos de seguridad, el poder judicial, los parlamentos y los bancos centrales, pero la mayoría de las demás entidades de la Administración pública están dentro. El §28 BSIG de Alemania y la herramienta de aplicabilidad del BSI muestran el corte local.
Nuestra filial es pequeña, así que está fuera.
La agregación de empresas vinculadas con arreglo a la Recomendación 2003/361/CE suma la plantilla y el volumen de negocio de la matriz a las cifras de la filial cuando la matriz controla más del 50 por ciento de los votos. Una filial de 30 personas de un grupo de 5.000 personas ejecuta la prueba de tamaño sobre las cifras combinadas, no sobre las locales. Véase la página sobre el ámbito de filiales y holdings para la regla completa.
La prueba completa del artículo 2 lleva unos diez minutos si se ejecuta en orden. Primero el sector (un vistazo a los Anexos I y II). Después el tamaño (tus últimas cifras anuales más la agregación de empresas vinculadas si tienes una matriz). Luego las excepciones (artículo 2, apartados 2, 3 y 4, y las exclusiones de los apartados 5 a 11). Y después el resultado. Tres páginas de notas bastan.
Anótalo. Féchalo. Fírmalo. Ese documento es tu Anwendbarkeitsprüfung. Las autoridades nacionales esperan que puedas mostrar cómo llegaste a 'dentro del ámbito' o 'fuera del ámbito', no solo la conclusión. Si las cifras cambian (una fusión, una nueva línea de negocio, el cruce de un umbral), vuelve a ejecutar la prueba y conserva la versión anterior. El rastro de auditoría de la decisión importa tanto como la decisión.
La comprobación de aplicabilidad en nisd2.eu recorre el árbol completo del artículo 2, en orden. Selección de sector a partir de los Anexos I y II. Tamaño con agregación de empresas vinculadas. Lista de excepciones del artículo 2, apartados 2 y 3. Exclusiones del artículo 2, apartados 5 a 11. El resultado es una Anwendbarkeitsprüfung por escrito con tu sector, las cifras de plantilla y volumen de negocio, el estado de las excepciones y la clasificación (besonders wichtig, wichtig o fuera).
La comprobación es gratuita. Obtienes el documento en PDF y como registro versionado dentro de la plataforma. Vuelve a ejecutarla cuando cambien tus cifras. Cada versión lleva marca de tiempo y la firma del usuario que la ejecutó, de modo que el rastro de auditoría está incorporado.
- Directiva (UE) 2022/2555 (NIS 2), artículo 2 y Anexos I y II — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendación 2003/361/CE de la Comisión, definición de microempresas, pequeñas y medianas empresas — eur-lex.europa.eu/eli/reco/2003/361/oj
- Directiva (UE) 2022/2557 (CER), resiliencia de las entidades críticas — eur-lex.europa.eu/eli/dir/2022/2557/oj
- Ley del BSI (BSIG), §28 en su redacción dada por la NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- BSI Betroffenheitsprüfung — bsi.bund.de/dok/nis-2-betroffenheitspruefung
- Rastreador de transposición de NIS 2 de ENISA (a mayo de 2026)