NIS2 en Luxemburgo

1. Panorama rápido de la aplicabilidad para pymes en Luxemburgo

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de la aplicabilidad para pymes en Luxemburgo?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Luxemburgo y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado luxemburgués.

Las pymes deben evaluar si quedan sujetas al marco nacional de ciberseguridad de Luxemburgo en función de la clasificación sectorial y de los umbrales legales.

2. Panorama general de la aplicación de NIS2 en Luxemburgo

Luxemburgo está implementando la Directiva mediante modificaciones a la Ley sobre medidas para un nivel común elevado de seguridad de las redes y sistemas de información, que regula las obligaciones nacionales de ciberseguridad.

El marco legislativo revisado alinea el régimen de Luxemburgo con la Directiva (UE) 2022/2555 y refuerza los requisitos relativos a la gobernanza, la gestión de riesgos, la notificación de incidentes, la supervisión y las sanciones.

La implementación se basa en el modelo de supervisión de ciberseguridad ya establecido en Luxemburgo, al tiempo que amplía el ámbito de aplicación de conformidad con las normas de la UE.

3. Ámbito de aplicación en Luxemburgo

El ámbito de Luxemburgo refleja las categorías sectoriales mínimas de la Directiva, sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Luxemburgo

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente incluidas en el ámbito de aplicación.

Las pequeñas y microempresas podrán ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades luxemburguesas conservan competencias formales de designación cuando el riesgo sistémico justifique su inclusión.

5. Marco de clasificación de entidades en Luxemburgo

Las entidades se clasifican en:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y un seguimiento estructurado del cumplimiento.
• Entidades importantes — Sujetas principalmente a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por el sector y el tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Luxemburgo sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Luxemburgo

El régimen nacional de Luxemburgo se alinea con la base establecida por la Directiva para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgos de la cadena de suministro conforme a NIS2 en Luxemburgo
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y las directrices de ciberseguridad de Luxemburgo.

7. Responsabilidad de la dirección y gobernanza en Luxemburgo

Los órganos de gestión deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implantación.

Conforme al marco luxemburgués:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar un nivel de competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden abordar deficiencias de gobernanza.
• La suspensión temporal de funciones directivas puede estar prevista en los mecanismos de ejecución alineados con la Directiva.

Las expectativas sobre la responsabilidad de la dirección en NIS2 en Luxemburgo elevan la gobernanza de la ciberseguridad a una responsabilidad de nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Luxemburgo

9. Autoridades de supervisión y modelo de ejecución en Luxemburgo

Autoridad principal: Alto Comisionado para la Protección Nacional (HCPN).

Luxemburgo opera un modelo de supervisión centralizado, coordinado por el HCPN, con reguladores sectoriales implicados cuando sea necesario.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Luxemburgo

Luxemburgo aplica sanciones administrativas alineadas con la Directiva.

Las medidas de ejecución de la NIS2 en Luxemburgo también pueden incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a directivos

Hasta 7 millones de € o el 1,4 % del volumen de negocios anual mundial total (lo que sea mayor)

11. Seguridad de la cadena de suministro y de proveedores en Luxemburgo conforme a NIS2

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Obligaciones contractuales de seguridad en cascada
• Monitorización continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Luxemburgo se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Luxemburgo

Las entidades incluidas en el ámbito de aplicación deben:

• Registrarse ante las autoridades competentes
• Facilitar los datos de identificación de la entidad
• Comunicar la clasificación sectorial
• Mantener actualizados los contactos de notificación

Los plazos procedimentales se ajustan al marco nacional de aplicación de Luxemburgo. En el estado actual de la transposición, Luxemburgo sigue el marco de referencia básico de la Directiva NIS2. Los detalles nacionales de aplicación pueden concretar obligaciones específicas.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el RGPD y otras leyes en Luxemburgo

El Reglamento General de Protección de Datos sigue aplicándose en paralelo.

Entre las consideraciones de solapamiento figuran:

• Notificación de una violación de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas en materia de ciberseguridad y protección de datos
• Legislación luxemburguesa de ciberseguridad sectorial

Un ciberincidente puede desencadenar obligaciones de notificación en virtud de ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Luxemburgo están supervisadas por las autoridades luxemburguesas en relación con los servicios transfronterizos.

Los prestadores digitales extranjeros que ofrezcan servicios en Luxemburgo pueden quedar sujetos a obligaciones nacionales en función de su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los prestadores no pertenecientes a la UE que operan en el mercado de Luxemburgo.

15. Calendario de aplicación en Luxemburgo

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: 2024–2025
• Entrada en vigor: Tras la publicación nacional
• Notificación a la Comisión: De conformidad con los procedimientos de la UE
• Hito de cumplimiento: Plazos alineados con la Directiva

El calendario de transposición de Luxemburgo se alinea con los requisitos de aplicación de la UE.

16. Conclusiones clave para las pymes en Luxemburgo

• Las entidades medianas de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión a nivel del órgano de dirección es obligatoria.
• La notificación de incidentes sigue plazos de 24 h / 72 h / 1 mes.
• Las sanciones económicas pueden alcanzar €10 millones o el 2 % del volumen de negocios mundial.
• Se exige la gestión de riesgos de proveedores.
• La planificación temprana del cumplimiento reduce la exposición a actuaciones de supervisión y sanciones.

Preguntas frecuentes: Guía NIS2 para pymes en Luxemburgo