La Comisión aclara a quién alcanza NIS2 cuando una entidad pública hace negocio: menos teoría, más perímetro regulatorio

La Comisión Europea ha metido bisturí en una de las zonas más resbaladizas de NIS2: cuándo una entidad pública entra en el perímetro de la directiva por hacer actividad económica en mercados que, en teoría, también pisan operadores privados. No es un detalle académico. Es la diferencia entre quedar fuera del régimen general o pasar a tener que justificar medidas de gestión de riesgos, notificación de incidentes y responsabilidad de la alta dirección bajo la Directiva (UE) 2022/2555.

Las nuevas guías sobre la aplicación del artículo 4, apartados 1 y 2, no reescriben NIS2. Hacen algo más útil: intentan cerrar la ambigüedad sobre qué significa, en la práctica, actuar en sectores cubiertos por el anexo I o II, cuándo una administración o empresa pública debe tratarse como operador económico y cuándo puede invocar la excepción asociada al ejercicio de poderes públicos. Traducido al idioma de compliance: si tu organización vive en la frontera entre lo público y lo empresarial, ya tienes menos excusas para no definir el perímetro.

Ese era el agujero. Y era grande. NIS2 excluye determinadas entidades de administración pública, pero no les regala una inmunidad absoluta si compiten, prestan servicios en mercado o desarrollan actividades comparables a las de operadores esenciales o importantes. El artículo 4 es breve; el problema es todo lo que no dice. Ahí entran estas guías de la Comisión.

Qué dice exactamente el artículo 4 y por qué importaba tanto aclararlo

El artículo 4 de la Directiva (UE) 2022/2555 funciona como una bisagra entre el mundo de la autoridad pública y el de la actividad económica regulada. El apartado 1 establece que la directiva se aplica a entidades públicas o privadas de los tipos contemplados en los anexos I y II que sean calificadas como entidades esenciales o importantes conforme al artículo 3. El apartado 2 precisa que la directiva no se aplica a entidades de la administración pública que desarrollen sus actividades en ámbitos de seguridad nacional, seguridad pública, defensa o aplicación de la ley, incluyendo investigación, detección y enjuiciamiento de infracciones penales. Tampoco, en esencia, al poder judicial, parlamentos y bancos centrales cuando actúan en sus funciones nucleares, sin perjuicio de matices del propio texto y de la transposición nacional.

Hasta aquí, todo parece razonable. El problema aparece cuando una entidad pública hace dos cosas a la vez. Primera: ejerce funciones públicas. Segunda: presta servicios, explota infraestructuras o compite en mercados cubiertos por NIS2, por ejemplo en energía, transporte, salud, espacio, agua, residuos, servicios digitales, administración de servicios TIC, centros de datos o redes públicas de comunicaciones electrónicas. Ahí la pregunta ya no es doctrinal, sino operativa: ¿qué parte de la organización queda dentro? ¿Toda? ¿Solo la actividad económica? ¿Qué ocurre con entidades instrumentales, empresas públicas, universidades, hospitales o prestadores semipúblicos?

La Comisión intenta responder sin romper el equilibrio político de NIS2. Y eso explica el tono de las guías: no inventan nuevas obligaciones, pero sí empujan una lectura funcional. Mira menos la etiqueta institucional y más la actividad real. Si vendes, operas, intermedias o prestas servicios en un sector de los anexos, el escudo de “soy público” ya no sirve como comodín universal. Era hora.

El núcleo del mensaje de Bruselas: manda la actividad, no el logotipo del edificio

La idea central de las guías es bastante clara, aunque jurídicamente la Comisión la envuelva con cuidado: para aplicar el artículo 4 hay que analizar la naturaleza concreta de la actividad y no quedarse en la forma organizativa de la entidad. Una administración, organismo, empresa pública o entidad controlada por el Estado puede quedar dentro de NIS2 si opera en sectores o subsectores de los anexos I o II y si su actividad no está absorbida por una de las excepciones ligadas al ejercicio de funciones soberanas.

Esto tiene varias consecuencias prácticas.

La primera: las entidades híbridas dejan de poder gestionar el perímetro con respuestas genéricas. “Somos una entidad pública” no responde a la pregunta relevante. La pregunta es otra: “¿Qué servicios concretos prestamos, a quién, bajo qué base jurídica y en qué condiciones de mercado?” Si la respuesta incluye actividad económica en un sector regulado por NIS2, la evaluación cambia.

La segunda: la excepción asociada a seguridad nacional, defensa, seguridad pública o aplicación de la ley no se puede convertir alegremente en paraguas para todo el grupo o toda la organización. Las guías empujan a una lectura acotada a las funciones afectadas. Y eso obliga a cartografiar servicios, sistemas, terceros y líneas de negocio con bastante más precisión de la que muchas entidades públicas han considerado suficiente hasta ahora.

La tercera: el debate ya no es solo jurídico. Es de gobernanza. Porque NIS2, en su artículo 21, exige medidas de gestión de riesgos de ciberseguridad, y el artículo 23 impone notificación de incidentes significativos en plazos muy concretos: alerta temprana en 24 horas, notificación del incidente en 72 horas y, cuando proceda, informe final en un mes. Una entidad que pase de verse “fuera” a verse “parcialmente dentro” no tiene un problema semántico; tiene un problema de arquitectura de control.

Por qué esta guía llega ahora: la transposición ya va tarde y el perímetro sigue sin cerrarse del todo

NIS2 debía transponerse antes del 17 de octubre de 2024. Ese era el plazo del artículo 41. A partir de esa fecha, los Estados miembros debían adoptar y publicar las medidas nacionales necesarias. El calendario, como tantas veces en Bruselas, chocó con la realidad política y administrativa: no todos los países llegaron a tiempo, y varios siguen afinando textos, criterios de clasificación y modelos de supervisión.

Por eso estas guías importan más de lo que podría parecer. No llegan en una fase tranquila de consolidación doctrinal. Llegan cuando muchas organizaciones todavía están discutiendo si entran, en qué categoría entran y quién se hace cargo internamente del programa NIS2. En algunos casos ni siquiera está resuelto si la autoridad competente será un supervisor sectorial, un regulador de ciberseguridad, un ministerio o una combinación de varios. La Comisión no puede arreglar la fragmentación nacional con un documento interpretativo, pero sí puede reducir el margen para lecturas creativas del artículo 4.

Y aquí aparece una ironía muy europea: NIS2 se diseñó, entre otras cosas, para armonizar y ampliar el perímetro frente a la NIS original. Sin embargo, una de las discusiones más sensibles un año después del plazo de transposición sigue siendo quién está dentro. No porque falte texto. Porque sobran entidades con modelos institucionales anfibios.

La clave jurídica: actividad económica frente a ejercicio de potestades públicas

Quien trabaje en competencia, ayudas de Estado o contratación pública reconocerá la lógica. El derecho de la UE lleva años distinguiendo entre actividad económica y ejercicio de autoridad pública. No siempre con fronteras cómodas, desde luego. Pero el método está ahí: una actividad suele considerarse económica cuando consiste en ofrecer bienes o servicios en un mercado. No importa tanto que la entidad sea pública, privada o mixta. Importa la función que desempeña.

Las guías de la Comisión para el artículo 4 de NIS2 beben de esa tradición. No hace falta que una entidad tenga ánimo de lucro para desarrollar actividad económica. Tampoco basta ser de titularidad pública para quedar automáticamente fuera. Si un hospital público presta servicios en un sistema donde existe mercado, si una empresa pública gestiona infraestructuras críticas con contraprestación, si una entidad pública explota redes o servicios digitales de forma equiparable a otros operadores, el análisis ya no puede despacharse con un organigrama.

Esto afecta especialmente a cuatro grupos de entidades:

Empresas públicas y sociedades mercantiles de titularidad estatal, autonómica o local

Aquí el riesgo de falsa tranquilidad es alto. Muchas ya operan como actores económicos puros y duros, aunque el accionista sea público. Si encajan en los tipos de entidad de los anexos I o II, el debate serio no es si son “administración pública”, sino si son esenciales o importantes bajo el artículo 3 y las reglas de tamaño y criticidad aplicables.

Hospitales, redes sanitarias y proveedores vinculados al sector público

El sector salud figura en el anexo I. En varios Estados miembros conviven hospitales públicos, concertados, universitarios, fundaciones y operadores privados. Las guías elevan la presión para revisar quién queda cubierto según la actividad efectiva, no solo por la adscripción administrativa. Si además la entidad presta servicios digitales o depende intensivamente de terceros TIC, el ángulo NIS2 se vuelve inseparable de la gestión contractual y la continuidad operativa.

Universidades y centros de investigación con servicios digitales o infraestructuras críticas

No todas entrarán. Pero algunas ya operan centros de datos, redes de comunicaciones, servicios cloud propios, plataformas críticas o colaboración estrecha con sectores del anexo I. La guía no las mete automáticamente en NIS2; obliga a dejar de asumir que están fuera por defecto.

Operadores de transporte, energía, agua y residuos con participación pública

Este grupo probablemente ya intuía que NIS2 iba en serio. Lo nuevo es que la Comisión refuerza la tesis de que la presencia de una función pública o de una misión de interés general no neutraliza por sí sola el carácter económico de la actividad. Si gestionas una red, suministras un servicio esencial o explotas infraestructura en un sector listado, el perímetro no se define por la placa de la puerta.

Lo que las guías no hacen, y por qué eso también importa

Conviene no vender humo regulatorio. Estas guías no modifican la directiva, no sustituyen la transposición nacional y no eliminan del todo las zonas grises. Tampoco convierten a la Comisión en árbitro final de todos los supuestos fronterizos. Habrá litigios, consultas nacionales y discrepancias interpretativas. Eso seguirá pasando.

Pero el documento sí cambia dos cosas muy concretas.

Primero, eleva el coste de una interpretación laxa. Si una entidad pública o semipública decide excluirse de NIS2, tendrá que sostener esa posición con un análisis fino de actividades, funciones, clientes, mercado y excepciones aplicables. No bastará un memo vago del tipo “somos sector público”.

Segundo, da a las autoridades nacionales y a los supervisores una base mejor para cuestionar perímetros demasiado estrechos. Y eso, a efectos de enforcement, es relevante. Porque NIS2 no es una directiva ornamental. El artículo 34 exige a los Estados miembros establecer sanciones efectivas, proporcionadas y disuasorias. Para entidades esenciales, el artículo 34 menciona un umbral máximo de al menos 10 millones de euros o el 2% del volumen de negocios anual mundial total de la empresa, el que sea mayor. Para entidades importantes, al menos 7 millones de euros o el 1,4%. Las cifras no son simbólicas.

No todas las entidades públicas encajarán limpiamente en ese esquema sancionador tal y como se aplica a grupos empresariales privados. La transposición nacional y el derecho administrativo interno introducirán matices. Pero confiar en esas complejidades para eludir el análisis de alcance sería una apuesta francamente temeraria.

El ángulo más incómodo: segmentar funciones para cumplir NIS2 no es tan fácil como parece

Sobre el papel, la solución parece elegante: separar funciones públicas excluidas de actividades económicas incluidas. En la práctica, muchas organizaciones no están construidas así. Comparten directorio, infraestructura, SOC, ERP, redes, contratos cloud, herramientas de ticketing, sistemas de identidad, equipos de compras y proveedores críticos. A veces incluso comparten presupuesto y comité de dirección. Luego llega la pregunta que de verdad duele: si una unidad está dentro y otra fuera, ¿cómo separas controles, evidencias y obligaciones de notificación sin inventarte una frontera artificial?

Aquí es donde la guía de la Comisión puede generar un efecto dominó operativo. No porque obligue formalmente a separar sistemas. Porque empuja a justificar dónde acaba la parte NIS2 y cómo se controla. Si no puedes demostrar separación funcional suficiente, muchos equipos jurídicos y de ciberseguridad optarán por una respuesta más pragmática: elevar el estándar de toda la organización o, al menos, de la plataforma tecnológica común.

Eso tiene implicaciones claras en cinco frentes.

Uno, inventario. El artículo 21 de NIS2 exige medidas técnicas, operativas y organizativas apropiadas y proporcionadas. Sin inventario de activos, procesos, dependencias y terceros, no hay forma seria de aplicar proporcionalidad.

Dos, gobernanza. La alta dirección debe aprobar y supervisar las medidas de gestión de riesgos, y puede recibir formación, conforme al artículo 20. En entidades públicas con estructuras colegiadas, patronatos, consejos o tutela ministerial, determinar quién asume esa responsabilidad no siempre es trivial.

Tres, cadena de suministro. El artículo 21, apartado 2, letra d), menciona expresamente la seguridad de la cadena de suministro, incluidas las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos. Si una empresa pública comparte proveedores críticos con áreas no cubiertas, el apetito de segmentación cae bastante rápido.

Cuatro, notificación de incidentes. El artículo 23 no distingue entre tu complejidad institucional y tu capacidad real para detectar en 24 horas si existe impacto significativo. Si el incidente golpea una infraestructura compartida, la discusión sobre si afectó a una función pública excluida o a un servicio económico incluido llegará después. Primero toca entender el incidente.

Cinco, evidencia documental. Si una autoridad competente pregunta por qué una determinada actividad quedó fuera, habrá que enseñar algo más sólido que una presentación de PowerPoint con cajas y flechas.

La conexión con DORA: en finanzas, el debate del perímetro ya no suena nuevo

Para el sector financiero europeo, esta discusión tiene un eco evidente de DORA, el Reglamento (UE) 2022/2554. DORA obliga por actividad y por tipo de entidad financiera cubierta, con especial atención a terceros TIC, gestión de incidentes, pruebas de resiliencia y gobernanza. No permite demasiados juegos de manos con el perímetro cuando un servicio es crítico o importante. NIS2, aunque opera en otro plano y con un ámbito más amplio, se mueve hacia una lógica parecida: mirar funciones materiales y dependencias reales, no solo etiquetas corporativas.

Eso interesa especialmente a bancos, aseguradoras y grupos financieros con participadas públicas, joint ventures, infraestructuras compartidas o proveedores de servicios esenciales fuera del perímetro estricto de DORA pero dentro de NIS2. Piensa en utilities participadas, operadores de telecomunicaciones, centros de datos, healthtech públicas, infraestructuras de transporte o servicios digitales de confianza vinculados a ecosistemas financieros.

La lección es simple: si tu grupo ya está aprendiendo a mapear servicios críticos bajo DORA, harías mal en tratar NIS2 como un ejercicio separado de taxonomía legal. El trabajo útil es común: catalogar servicios, determinar criticidad, identificar terceros, asignar propietarios de riesgo y documentar umbrales de incidente. Lo contrario produce el clásico teatro del compliance: dos programas distintos recopilando la misma información con nombres diferentes. Muy caro y muy europeo, sí.

Qué deberían revisar ya las entidades afectadas

Las guías de la Comisión no son una orden directa a cada entidad, pero sí una señal regulatoria nítida. Si tu organización tiene una naturaleza híbrida, esto es lo que conviene revisar sin perder tiempo en debates estéticos.

1. Mapa de actividades, no solo mapa societario

Haz un inventario de actividades y servicios reales. Distingue entre funciones de autoridad pública, prestación obligatoria sin mercado, actividad económica con contraprestación y servicios auxiliares. Cruza cada actividad con los anexos I y II de NIS2. Si la matriz de análisis no llega a ese nivel de granularidad, no sirve.

2. Base jurídica de cada función

La misma organización puede operar unas veces bajo potestades públicas y otras en régimen de mercado o cuasimercado. Documenta la base jurídica: norma habilitante, régimen de financiación, tipo de usuarios, existencia o no de competencia, estructura tarifaria y obligaciones de servicio público. Eso será decisivo para defender inclusión o exclusión.

3. Dependencias tecnológicas compartidas

Identifica qué infraestructura, aplicaciones, identidades, contratos cloud, enlaces de comunicaciones y proveedores se comparten entre actividades incluidas y excluidas. Si la separación no existe o es frágil, la estrategia de cumplimiento tendrá que asumir un radio de aplicación más amplio.

4. Clasificación como entidad esencial o importante

El artículo 3 de NIS2 y los anexos remiten a la distinción entre entidades esenciales e importantes, con criterios de sector, tipo de entidad y tamaño, además de casos en que la criticidad supera el umbral de tamaño. No basta con preguntarse si se está dentro; hay que saber en qué categoría, porque cambia la intensidad supervisora.

5. Encaje con otros marcos ya aplicables

Si ya cumples DORA, CER, GDPR, eIDAS o normativa nacional de seguridad, reutiliza trabajo. Por ejemplo, GDPR artículo 33 exige notificación de brechas de datos personales en 72 horas a la autoridad de control. NIS2 exige alerta temprana en 24 horas para incidentes significativos. No son lo mismo, pero si tu proceso de detección depende de equipos separados y sin criterios comunes, llegarás tarde a uno de los dos.

España: por qué esta guía interesa más de lo que parece

Para entidades españolas, la publicación de estas guías tiene dos capas de relevancia. La primera es europea y obvia: cualquier transposición o criterio nacional tendrá que convivir con esta interpretación de la Comisión. La segunda es doméstica: España cuenta con un ecosistema denso de empresas públicas, entes instrumentales, consorcios, fundaciones, universidades, hospitales públicos y operadores con participación estatal, autonómica o local que realizan actividad económica en sectores muy sensibles.

Piensa en sanidad pública digitalizada, operadores de agua, residuos, transporte metropolitano, puertos, aeropuertos, redes logísticas, prestadores de identidad y confianza, operadores TIC de la administración o entidades que gestionan grandes plataformas compartidas. No todos quedarán dentro de NIS2 por igual, pero casi todos tendrán que hacerse la pregunta con mucha más seriedad.

Además, España ya venía lidiando con un mosaico de obligaciones en seguridad y continuidad: Esquema Nacional de Seguridad, normativa sectorial, requisitos de operadores críticos, RGPD, obligaciones contractuales y, para finanzas, DORA. La tentación natural de muchos equipos será pensar que NIS2 “ya está cubierto” por alguno de esos marcos. Error clásico. Hay solapamientos, sí; equivalencia automática, no. Los artículos 20, 21 y 23 de NIS2 tienen exigencias propias sobre responsabilidad de gestión, medidas de ciberseguridad y notificación de incidentes.

La pregunta útil para una entidad española no es si NIS2 se parece a otras obligaciones que ya conoce. La pregunta es si ha documentado, con trazabilidad, por qué una actividad queda dentro o fuera del artículo 4 y cómo se gestiona esa decisión a nivel técnico y de gobierno.

Un punto ciego recurrente: la alta dirección sigue pensando que esto es un problema del CISO

NIS2 lleva tiempo diciendo lo contrario. El artículo 20 no deja demasiado margen: los órganos de dirección de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su aplicación y pueden ser responsabilizados por incumplimientos conforme al derecho nacional. En otras palabras, el perímetro regulatorio no es un debate que puedas aparcar en legal o seguridad sin más.

Las guías sobre el artículo 4 añaden una capa extra de incomodidad para el consejo, el patronato o el órgano rector. Si la organización es híbrida, la decisión sobre qué parte queda sujeta a NIS2 afecta a presupuesto, estructura, apetito de riesgo, compras, diseño organizativo y estrategia tecnológica. No es una nota al pie. Es una decisión de exposición regulatoria.

Y aquí es donde muchos boards fallan por aburrimiento, no por mala fe. Les parece una cuestión técnica, una guerra de definiciones entre abogados y arquitectos empresariales. Luego llega un incidente en un sistema compartido, el supervisor pregunta por el análisis de alcance y todo el mundo descubre que la “frontera” regulatoria vivía solo en una hoja Excel.

Lo que puede venir después: más presión sobre registros, clasificación y supervisión sectorial

Estas guías probablemente anticipan el siguiente movimiento regulatorio práctico: autoridades nacionales afinando registros de entidades, cuestionarios de autoevaluación y criterios sectoriales para clasificar organizaciones dudosas. NIS2 obliga a los Estados miembros a elaborar listas de entidades esenciales e importantes en determinados supuestos y a reforzar la cooperación entre autoridades competentes. Si el artículo 4 era una fuente de ambigüedad, el incentivo supervisor ahora será resolverla antes de que estalle en una inspección o en un incidente transfronterizo.

Eso puede traducirse en más requerimientos de información, más diálogo con reguladores sectoriales y, en los casos complejos, más necesidad de opiniones jurídicas bien armadas. No para adornar la carpeta de cumplimiento, sino para sostener decisiones de perímetro que tengan consecuencias reales en inversión, reporting y arquitectura de control.

También cabe esperar una mayor convergencia con otros instrumentos europeos. La Directiva CER sobre resiliencia de entidades críticas, por ejemplo, mira la continuidad de servicios esenciales desde otro ángulo. No regula exactamente lo mismo que NIS2, pero la pregunta de fondo se parece: qué organizaciones sostienen funciones esenciales y cómo deben gestionarse los riesgos que pueden interrumpirlas. Si una entidad pública participa en esa cadena, cada vez será más difícil esconderla detrás de una categoría administrativa genérica.

El mensaje de fondo: se acabó usar la naturaleza pública como respuesta automática

La Comisión no ha lanzado una revolución doctrinal. Ha hecho algo más prosaico y probablemente más eficaz: reducir el espacio para que entidades híbridas, públicas o semipúblicas sigan aplazando el análisis de alcance bajo NIS2. El artículo 4 deja menos margen para el autoengaño cuando se lee junto con estas guías. Si desarrollas actividad económica en sectores cubiertos por los anexos I o II, toca estudiar la inclusión en serio. Si ejerces potestades públicas excluidas, tendrás que demostrar dónde empieza y dónde termina esa excepción.

Eso no resolverá todos los casos frontera. Tampoco evitará interpretaciones nacionales dispares. Pero sí cambia la conversación dentro de muchas organizaciones. Ya no se trata de preguntar si NIS2 “aplica al sector público” en abstracto, una pregunta casi infantil a estas alturas. Se trata de identificar actividades concretas, servicios concretos, infraestructuras concretas y obligaciones concretas.

Ese es el tipo de precisión que un regulador valora y un incidente acaba exigiendo. Lo demás era retórica institucional. Y Bruselas, por una vez, parece haber decidido que ya hemos tenido bastante.

Qué vigilar en las próximas semanas

Hay tres frentes que merecen seguimiento inmediato. Primero, cómo reaccionan los Estados miembros en sus criterios nacionales de identificación y supervisión, especialmente en sectores con fuerte presencia pública. Segundo, si las autoridades publican FAQs, registros o consultas específicas para entidades públicas, empresas públicas y operadores híbridos. Tercero, si los boards empiezan a pedir revisiones de perímetro que conecten NIS2 con DORA, GDPR y marcos nacionales de seguridad.

Si no ocurre nada de eso en tu organización, mala señal. Significa que la guía probablemente se ha archivado como “documento interpretativo”, esa categoría burocrática que a veces precede a un problema bastante material.

La lectura inteligente es otra: usar este momento para cerrar perímetros, corregir suposiciones cómodas y alinear el programa de cibercompliance con la realidad operativa. NIS2 no pide perfección metafísica. Pide que sepas qué eres, qué haces, qué sostienes y qué pasa cuando falla. Para bastantes entidades públicas europeas, esa respuesta sigue estando menos clara de lo que debería. Ahora tienen una guía. Ya no tienen coartada.