NIS2 en Chipre

1. Instantánea rápida de aplicabilidad para PYMES en Chipre

¿Se aplica NIS2 a las pymes en 1. Instantánea rápida de aplicabilidad para PYMES en Chipre?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Chipre y, en determinadas circunstancias, a proveedores digitales extranjeros que atienden al mercado chipriota.

Las PYMES deben evaluar si entran en el régimen nacional de ciberseguridad de Chipre según la clasificación sectorial y los umbrales legales.

2. Panorama de la implementación de NIS2 en Chipre

Chipre ha transpuesto la NIS2 mediante la Ley de Seguridad de Redes y Sistemas de Información (Enmienda) de 2025 (60(I)/2025), promulgada por el Parlamento el 10 de abril de 2025 y en vigor desde el 25 de abril de 2025.

La enmienda actualiza la Ley de Seguridad de Redes y Sistemas de Información de 2020 (L. 89(I)/2020) para alinearla con la Directiva (UE) 2022/2555. La ley actualizada moderniza las obligaciones relativas a gobernanza, notificación de incidentes, supervisión y sanciones, y amplía significativamente el número de entidades reguladas — de aproximadamente 70 bajo NIS1 a unas diez veces más bajo el nuevo marco.

Chipre incluye dos desviaciones nacionales notables respecto a la Directiva: el plazo de alerta temprana es de 6 horas desde la detección (más estricto que las 24 horas de la Directiva), y la identificación de entidades sigue un modelo de evaluación liderado por la DSA en lugar de autoregistro. La completitud de la notificación sigue en revisión tras el dictamen motivado de mayo de 2025 (emitido antes de la promulgación).

3. Ámbito de aplicación en Chipre

El alcance sectorial de Chipre refleja las categorías mínimas de la Directiva sin expansión nacional confirmada.

4. Umbrales de tamaño y aplicabilidad a PYMES en Chipre

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos entran automáticamente en el ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la estabilidad económica, la seguridad pública o la continuidad de servicios esenciales.

Las autoridades chipriotas mantienen facultades formales de designación cuando esté justificado por el riesgo sistémico.

5. Marco de clasificación de entidades en Chipre

Las entidades se categorizan como:

• Entidades Esenciales — Sujetos a supervisión proactiva, incluidas auditorías y seguimiento estructurado del cumplimiento.
• Entidades Importantes — Sujetos principalmente a supervisión reactiva activada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

La estructura de clasificación de Chipre refleja el modelo de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Chipre

Chipre se alinea con la línea de base de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del ámbito deben implantar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y seguridad del sistema
• Prevención y respuesta a incidentes
• Continuidad de negocio y planificación de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Chipre
• Adquisición y desarrollo seguro de sistemas
• Control de acceso y gestión de identidades
• Salvaguardias de cifrado y criptografía
• Procedimientos de gestión de vulnerabilidades
• Concienciación y formación en ciberseguridad del personal

Las medidas deben reflejar el estado de la técnica y el perfil de riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y la guía de ciberseguridad reconocida en Chipre.

La supervisión de la cadena de suministro incluye salvaguardias contractuales y monitorización de proveedores para mitigar el riesgo cibernético en cascada.

7. Responsabilidad de la dirección y gobernanza en Chipre

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Bajo el marco nacional de Chipre:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar conocimientos adecuados de ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible bajo mecanismos alineados con la Directiva.

Las normas de responsabilidad de la dirección bajo NIS2 en Chipre elevan la responsabilidad de ciberseguridad al nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Chipre

9. Autoridades supervisoras y modelo de ejecución en Chipre

Autoridad principal: Digital Security Authority (DSA). El Comisionado de Comunicaciones también está designado como autoridad supervisora. La DSA ha publicado una Guía Concisa sobre la Directiva NIS2 para asistir a las entidades afectadas.

Chipre opera un modelo de supervisión centralizado respaldado por reguladores sectoriales cuando sea necesario.

Supervisory powers include:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en marcos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los mecanismos de cooperación a nivel de la Directiva. El marco de medidas de seguridad de Chipre hace referencia a ISO 27001, NIST SP 800-53 y las directrices del Grupo de Cooperación NIS como referencias de cumplimiento reconocidas.

10. Multas y sanciones NIS2 en Chipre

Chipre aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Chipre también puede incluir:

• Órdenes de subsanación vinculantes
• Identificación pública de las entidades incumplidoras
• Suspensión de la certificación o la autorización
• Facultades de suspensión de funciones directivas

La responsabilidad penal solo se aplica cuando esté prevista expresamente en la legislación chipriota.

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Chipre

Las entidades deben gestionar la exposición de ciberseguridad de terceros mediante:

• Diligencia debida de proveedores
• Requisitos contractuales de traslado de seguridad
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Chipre se alinea con las expectativas base de la Directiva respecto de la gestión del riesgo de terceros.

12. Deberes de registro y autoidentificación en Chipre

Entities within scope must:

• Esperar la notificación formal de la DSA sobre la identificación como entidad esencial o importante. Chipre no requiere que las entidades se autoregistren; la DSA realiza una evaluación nacional y notifica a las entidades sobre su estatus y obligaciones.
• Proporcionar datos de identificación corporativa
• Revelar la clasificación sectorial
• Mantener la información de contacto actualizada. Los cambios deben comunicarse a la DSA en un plazo de dos semanas.

La DSA proporciona una Herramienta de Autoevaluación NIS2 no vinculante (disponible en el sitio web de la DSA) que las organizaciones pueden utilizar para realizar una evaluación inicial de su posible alcance — esto no reemplaza el procedimiento oficial de identificación.

Aunque no se requiere autoregistro formal, las entidades que crean que pueden estar dentro del alcance deben utilizar la Herramienta de Autoevaluación de la DSA y prepararse para el cumplimiento antes de la notificación formal.

13. Interacción con el GDPR y otras leyes en Chipre

El Reglamento General de Protección de Datos continúa aplicándose de forma concurrente.

Las áreas de solapamiento incluyen:

• Notificación de brechas de datos personales en 72 horas
• Coordinación entre autoridades supervisoras
• Investigaciones paralelas de ciberseguridad y protección de datos
• Normas chipriotas de ciberseguridad específicas por sector

14. Aplicabilidad transfronteriza

Las entidades con su principal establecimiento en Chipre quedan bajo supervisión chipriota para servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Chipre pueden estar sujetos a obligaciones locales según la estructura de establecimiento.

Los requisitos de representación siguen los estándares de la Directiva para proveedores no pertenecientes a la UE que atienden a los mercados chipriotas.

15. Calendario de implementación en Chipre

• Adopción de la Directiva: 2022
• Ley de Seguridad de Redes y Sistemas de Información (Enmienda) de 2025 (60(I)/2025) promulgada por el Parlamento el 10 de abril de 2025
• Entrada en vigor: 25 de abril de 2025
• Notificación a la Comisión: Dictamen motivado de la CE emitido en mayo de 2025 (antes de la promulgación); completitud de la notificación en revisión por la Comisión
• Hito de cumplimiento: Proceso de identificación y notificación liderado por la DSA en curso; las entidades tienen obligaciones desde la fecha de notificación de la DSA; plazo de alerta temprana de 6 horas — más estricto que la Directiva

Chipre completó la transposición en abril de 2025. Las entidades deben utilizar la Herramienta de Autoevaluación de la DSA para evaluar su alcance probable y preparar programas de cumplimiento antes de la notificación formal.

16. Aspectos clave para PYMES en Chipre

• Las entidades medianas en sectores cubiertos están automáticamente dentro del alcance.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad económica o pública.
• La supervisión de gobernanza a nivel de consejo es obligatoria.
• La notificación de incidentes sigue los plazos 6h / 72h / 1 mes — la alerta temprana de 6 horas de Chipre es más estricta que la línea base de la Directiva UE de 24 horas.
• Las sanciones pueden alcanzar 10 millones de € o el 2 % de la facturación global.
• La gestión de riesgos de proveedores es una obligación fundamental.
• La planificación temprana del cumplimiento reduce la exposición a la aplicación.

FAQ: Guía NIS2 para PYMES en Chipre