NIS2 en Finlandia

1. Resumen rápido de aplicabilidad para pymes en Finlandia

¿Se aplica NIS2 a las pymes en 1. Resumen rápido de aplicabilidad para pymes en Finlandia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Finlandia y, en determinados casos, a proveedores digitales extranjeros que prestan servicios al mercado finlandés.

Las pymes deben evaluar su encuadramiento en el régimen nacional de ciberseguridad de Finlandia en función de la clasificación sectorial y de los umbrales legales.

2. Panorama de la implementación de NIS2 en Finlandia

Finlandia transpuso la Directiva mediante la nueva Ley de Ciberseguridad (Kyberturvallisuuslaki 124/2025), ratificada por el Presidente el 4 de abril de 2025 y en vigor desde el 8 de abril de 2025 — la primera ley horizontal consolidada de ciberseguridad de Finlandia, que sustituye al anterior conjunto de disposiciones NIS sectoriales.

Las obligaciones para la administración pública se implementan por separado mediante modificaciones a la Ley de Gestión de la Información en la Administración Pública. La Ley alinea el régimen finlandés con la Directiva (UE) 2022/2555 al nivel mínimo de transposición (sin gold-plating) y descentraliza la supervisión en siete autoridades sectoriales coordinadas por Traficom.

Tres especificidades nacionales: el sector financiero está excluido del ámbito de la Ley (cubierto por DORA); no se pueden imponer multas administrativas a entidades del sector público (autoridades estatales, municipios, áreas de bienestar y entidades similares); y las multas las impone una junta de sanciones establecida por separado nombrada por las autoridades supervisoras — no directamente por estas. La Comisión Europea emitió un dictamen motivado en mayo de 2025 (antes de la entrada en vigor); la integridad de la notificación está bajo revisión.

3. Ámbito de aplicación en Finlandia

El alcance sectorial de Finlandia refleja las categorías mínimas de la Directiva, sin ampliación confirmada más allá del nivel mínimo.

4. Umbrales de tamaño y aplicabilidad a pymes en Finlandia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios en los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la estabilidad social, la seguridad pública o la continuidad de los servicios esenciales.

Las autoridades finlandesas conservan facultades formales de designación cuando el riesgo sistémico o consideraciones de seguridad nacional justifican la inclusión.

5. Marco de clasificación de entidades en Finlandia

Las entidades se clasifican como:

• Entidades esenciales — Sujetas a supervisión proactiva, incluida la realización de auditorías y el seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o cuestiones de cumplimiento.

La clasificación se basa en el sector y el tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Finlandia sigue la estructura de supervisión de dos niveles de la Directiva dentro de su modelo regulatorio basado en sectores.

6. Requisitos de gestión del riesgo de ciberseguridad en Finlandia

El régimen nacional de Finlandia se alinea con la base de la Directiva para la gestión del riesgo de ciberseguridad. Las entidades dentro del alcance deben implantar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Finlandia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de accesos y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Concienciación y formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y con la orientación finlandesa en materia de ciberseguridad.

La supervisión de la cadena de suministro exige diligencia debida de los proveedores y salvaguardas contractuales de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Finlandia

Los órganos de dirección deben aprobar formalmente las medidas de gestión del riesgo de ciberseguridad y supervisar su implantación.

En el marco de Finlandia:

• Los consejos son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar competencias adecuadas en ciberseguridad.
• Las sanciones administrativas — impuestas por una junta de sanciones establecida por separado a propuesta de la autoridad supervisora correspondiente — pueden abordar fallos de gobernanza.
• Las facultades de suspensión de directivos no se han transpuesto en el derecho finlandés de NIS2. La responsabilidad personal puede surgir bajo el derecho societario general, pero no bajo disposiciones específicas de NIS2.

Las expectativas sobre responsabilidad de la dirección en NIS2 en Finlandia elevan la gobernanza de la ciberseguridad al nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Finlandia

9. Autoridades supervisoras y modelo de ejecución en Finlandia

Autoridad coordinadora y CSIRT nacional: el Centro Nacional de Ciberseguridad de Traficom (NCSC-FI). Traficom actúa como punto único de contacto nacional y coordinador de respuesta a incidentes, pero no es la autoridad principal de aplicación para la mayoría de los sectores.

Finlandia opera un modelo de supervisión sectorial descentralizado. Siete autoridades designadas supervisan el cumplimiento en sus sectores: Traficom (digital/comunicaciones), Autoridad de la Energía (energía), Agencia Finlandesa de Seguridad y Productos Químicos / Tukes (productos químicos), Centro ELY de Savonia del Sur (agua), Autoridad Finlandesa de Alimentación / Ruokavirasto (alimentación), Autoridad Nacional de Supervisión del Bienestar y la Salud / Valvira (salud) y Agencia Finlandesa de Medicamentos / Fimea (medicamentos/productos sanitarios). Cada autoridad mantiene su propio registro y plataforma de inscripción.

Supervisory powers include:

• Requerimientos de información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en la coordinación de ciberseguridad de la UE

La estructura de aplicación se ajusta a los requisitos de cooperación de la Directiva. Las multas administrativas las impone una junta de sanciones establecida por separado a propuesta de la autoridad supervisora correspondiente. El sector público no puede ser multado.

10. Multas y sanciones NIS2 en Finlandia

Finlandia aplica sanciones administrativas alineadas con la Directiva. Las multas las impone una junta de sanciones establecida por separado a propuesta de la autoridad supervisora correspondiente. No se pueden imponer multas administrativas a entidades del sector público (autoridades estatales, municipios, áreas de bienestar y entidades similares).

La aplicación de multas NIS2 en Finlandia también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de entidades no conformes
• Suspensión de certificaciones o autorizaciones
• Las facultades de suspensión de directivos no se han transpuesto en el derecho finlandés de NIS2 y no están disponibles como herramienta de aplicación.

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Finlandia

Las entidades deben gestionar el riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Requisitos contractuales de seguridad aplicables en cascada
• Supervisión continua de proveedores TIC
• Análisis de riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Finlandia se alinea con las expectativas básicas de la Directive para la gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Finlandia

Entities within scope must:

• Autoidentificación y registro ante la autoridad supervisora sectorial competente — la fecha límite fue el 8 de mayo de 2025 (vencida; las entidades aún no registradas deben actuar de inmediato). Las entidades que operan en varios sectores deben registrarse ante cada autoridad correspondiente.
• Aportar datos identificativos de la entidad.
• Declarar la clasificación sectorial y los servicios cubiertos por NIS2.
• Mantener actualizada la información de contacto; comunicar cambios en un plazo de dos semanas.

Hitos clave de cumplimiento: fecha límite de registro 8 de mayo de 2025 (vencida); sistema de gestión de riesgos de ciberseguridad requerido para el 8 de julio de 2025 (vencida). Cada autoridad sectorial opera su propia plataforma de inscripción; el NCSC-FI de Traficom proporciona orientación y una herramienta de autoevaluación.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el GDPR y otras leyes en Finlandia

The General Data Protection Regulation sigue aplicándose de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de datos personales en 72 horas
• Coordinación entre autoridades de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Normas finlandesas de ciberseguridad específicas por sector

Un incidente cibernético puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Finlandia son supervisadas por las autoridades finlandesas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Finlandia pueden estar sujetos a la supervisión finlandesa según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directive para los proveedores no pertenecientes a la UE que prestan servicios en los mercados finlandeses.

15. Calendario de implementación en Finlandia

• Adopción de la Directiva: 2022
• Ley de Ciberseguridad (124/2025) ratificada por el Presidente el 4 de abril de 2025; publicada en el Boletín Legislativo de Finlandia.
• Entrada en vigor: 8 de abril de 2025.
• Notificación a la Comisión: dictamen motivado de la CE de 7 de mayo de 2025 (antes de la promulgación); integridad de la notificación bajo revisión de la Comisión.
• Hitos de cumplimiento: fecha límite de registro 8 de mayo de 2025 (vencida); sistema de gestión de riesgos de ciberseguridad requerido el 8 de julio de 2025 (vencida); supervisión y auditorías en curso.

Finlandia completó la transposición el 8 de abril de 2025. Todos los hitos iniciales de cumplimiento — registro (8 de mayo de 2025) e implementación del sistema de gestión de riesgos (8 de julio de 2025) — han vencido. La supervisión y aplicación activas están en marcha en las siete autoridades sectoriales.

16. Conclusiones clave para las PYME en Finlandia

• Las entidades medianas en sectores cubiertos están automáticamente en el ámbito.
• Las pequeñas entidades pueden ser designadas si son operacionalmente críticas.
• La supervisión de gobernanza a nivel de consejo es obligatoria. Nota: las facultades de suspensión de directivos no se han transpuesto en Finlandia — la responsabilidad de la dirección se rige por el derecho societario general.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar 10 millones de euros o el 2 % de la facturación mundial. Las multas las impone una junta de sanciones, no directamente las autoridades supervisoras. El sector público no puede ser multado.
• La gestión del riesgo de proveedores es una obligación esencial.
• Todas las fechas iniciales han vencido — el registro era el 8 de mayo de 2025 y los sistemas de gestión de riesgos el 8 de julio de 2025. Las entidades aún no conformes deben priorizar la subsanación de inmediato.

Preguntas frecuentes: Guía NIS2 Finlandia para PYME