NIS2 en Grecia

1. Panorama rápido de aplicabilidad para pymes en Grecia

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de aplicabilidad para pymes en Grecia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Grecia y, en determinados casos, a proveedores digitales extranjeros que prestan servicios en el mercado griego.

Las pymes deben evaluar si califican conforme al marco nacional de ciberseguridad de Grecia en función de la clasificación sectorial y de los umbrales legales.

2. Panorama de la implementación de NIS2 en Grecia

Grecia ha transpuesto NIS2 mediante la Ley 5160/2024 ("Transposición de la Directiva (UE) 2022/2555 sobre medidas para un alto nivel común de ciberseguridad en la Unión"), publicada en el Boletín Oficial (Boletín Gubernamental A'/195) el 27 de noviembre de 2024 y en vigor desde el 28 de noviembre de 2024. Se trata de una nueva ley integral, no de una enmienda, que sustituye a la anterior Ley 4577/2018 que transponía NIS1. Para los entes locales de primer nivel, la aplicación comenzó el 27 de noviembre de 2025.

El marco se complementa con dos decisiones ministeriales clave: la Decisión Ministerial 1645/2025 (15 de abril de 2025) que establece el proceso de registro de entidades, y la Decisión Ministerial 1689/2025 (6 de mayo de 2025) que define el marco nacional de requisitos de ciberseguridad que abarca 22 temas específicos de seguridad aplicable a las entidades reguladas.

La implementación de Grecia incluye varios requisitos que van más allá de la línea de base de la Directiva: nombramiento obligatorio de un Information and Communication Systems Security Officer (ICSSO), función incompatible con la del Delegado de Protección de Datos; formación anual obligatoria en ciberseguridad para la dirección y los empleados; y la obligación de mantener un inventario exhaustivo de activos TIC tangibles e intangibles. La aprobación por el órgano de administración de las medidas de gestión de riesgos debía realizarse en los tres meses siguientes a la entrada en vigor de la ley (plazo: 28 de febrero de 2025, ya vencido).

3. Ámbito de aplicación en Grecia

El ámbito de Grecia refleja las categorías sectoriales mínimas de la Directiva sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Grecia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios en los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas cuando se consideren críticas para la seguridad pública, la estabilidad económica o el funcionamiento de la sociedad.

Las autoridades griegas conservan facultades formales de designación cuando el riesgo sistémico justifica la inclusión.

5. Marco de clasificación de entidades en Grecia

Las entidades se clasifican en:

• Entidades esenciales — Sujetas a supervisión proactiva, incluyendo auditorías y seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Grecia sigue el modelo de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Grecia

El régimen nacional de Grecia se alinea con la línea de base de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Grecia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar estándares del estado del arte y la exposición al riesgo de la organización. Grecia ha publicado un marco nacional de requisitos de ciberseguridad (Decisión Ministerial 1689/2025) que define 22 temas específicos de seguridad que deben ser abordados por las entidades esenciales e importantes. Las entidades también deben mantener un inventario exhaustivo de activos TIC tangibles e intangibles y presentar una política de ciberseguridad a la NCSA. Las evaluaciones de riesgo deben revisarse anualmente o tras cambios significativos. Se fomenta la alineación con ISO/IEC 27001.

7. Responsabilidad de la dirección y gobernanza en Grecia

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Según el marco de Grecia:

• Los consejos de administración son responsables de la supervisión del cumplimiento. Los órganos de dirección debían aprobar formalmente las medidas de gestión de riesgos de ciberseguridad en un plazo de tres meses desde la entrada en vigor de la ley (plazo: 28 de febrero de 2025, ya vencido).
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad. Los miembros de los órganos de dirección deben recibir formación específica en ciberseguridad y garantizar que se imparta formación similar a los empleados al menos anualmente.
• Las sanciones administrativas pueden abordar deficiencias de gobernanza.
• La NCSA puede prohibir temporalmente a cualquier persona física que ejerza responsabilidades directivas a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas en una entidad esencial. Los miembros de la dirección también pueden ser declarados personalmente responsables por incumplimientos de las obligaciones de gestión de riesgos de ciberseguridad y de formación en virtud de la Ley 5160/2024.

Las expectativas de responsabilidad de la dirección en Grecia bajo NIS2 elevan la gobernanza de ciberseguridad a una responsabilidad de nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Grecia

9. Autoridades de supervisión y modelo de ejecución en Grecia

Autoridad principal: Autoridad Nacional de Ciberseguridad (NCSA).

Grecia opera un modelo de supervisión centralizado coordinado por la NCSA, con reguladores sectoriales involucrados cuando sea necesario.

Las facultades de supervisión incluyen:

• Solicitudes de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de Directiva.

10. Multas y sanciones de NIS2 en Grecia

Grecia aplica sanciones administrativas alineadas con la Directiva.

La aplicación de las multas de NIS2 en Grecia también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a directivos

La responsabilidad penal se aplica únicamente cuando así se prevea expresamente en la legislación griega.

11. Cadena de suministro y seguridad de proveedores en el marco de NIS2 en Grecia

Las entidades deben gestionar el riesgo de ciberseguridad de terceros a través de:

• Evaluaciones de riesgo de proveedores
• Cláusulas contractuales de seguridad de transmisión en cascada
• Supervisión continua de proveedores de TIC
• Análisis de riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Grecia se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Grecia

Las entidades incluidas en el ámbito de aplicación deben:

• Inscribirse a través de la plataforma digital de la NCSA (nis2register.cyber.gov.gr). El plazo general de registro fue el 30 de septiembre de 2025 (prorrogado respecto a fechas anteriores); los proveedores de DNS, nube, CDN, servicios gestionados y entidades de infraestructura digital similares tenían un plazo anterior, hasta el 28 de marzo de 2025. Ambos plazos han vencido — las entidades aún no registradas deben actuar de inmediato.
• Facilitar datos de identificación de la empresa
• Declarar la clasificación sectorial
• Mantener actualizados los contactos de notificación. Cualquier cambio en la información registrada debe comunicarse a la NCSA en el plazo de dos semanas.

Además del registro, las entidades deben nombrar un ICSSO (Information and Communication Systems Security Officer) como punto de contacto dedicado ante la NCSA. Esta función es incompatible con la del Delegado de Protección de Datos. Las normas de cualificación del ICSSO entraron en vigor el 1 de noviembre de 2025.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales. La NCSA también puede designar entidades adicionales en función de evaluaciones de riesgo o criticidad.

13. Interacción con el RGPD y otras leyes en Grecia

El Reglamento General de Protección de Datos sigue aplicándose de forma simultánea.

Las consideraciones de solapamiento incluyen:

• Notificación de una violación de datos personales en un plazo de 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación griega de ciberseguridad sectorial

Un único incidente cibernético puede activar obligaciones de notificación en ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Grecia están supervisadas por las autoridades griegas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en Grecia pueden estar sujetos a obligaciones nacionales dependiendo de la estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado griego.

15. Calendario de implementación en Grecia

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Ley 5160/2024 aprobada por el Parlamento griego; publicada en el Boletín Oficial el 27 de noviembre de 2024; complementada por la Decisión Ministerial 1645/2025 (registro, 15 de abril de 2025) y la Decisión Ministerial 1689/2025 (marco de requisitos de ciberseguridad de 22 temas, 6 de mayo de 2025).
• Entrada en vigor: 28 de noviembre de 2024; entes locales de primer nivel: 27 de noviembre de 2025.
• Notificación a la Comisión: Notificada en su totalidad; Grecia no figura entre los Estados miembros con un dictamen motivado pendiente de la Comisión.
• Hitos de cumplimiento: Aprobación por el órgano de administración de las medidas de gestión de riesgos: 28 de febrero de 2025 (vencido); registro de proveedores de infraestructura digital: 28 de marzo de 2025 (vencido); registro general de entidades: 30 de septiembre de 2025 (vencido); entrada en vigor de las normas de cualificación del ICSSO: 1 de noviembre de 2025; auditorías de la NCSA iniciadas: cuarto trimestre de 2025.

Grecia se encontró entre los primeros Estados miembros de la UE en completar la transposición de NIS2. Todos los hitos iniciales de cumplimiento — aprobación de las medidas de gestión de riesgos por el órgano de administración, registro de entidades y nombramiento del ICSSO — han vencido. Las auditorías de la NCSA están en curso.

16. Puntos clave para las pymes en Grecia

• Las entidades medianas en los sectores cubiertos entran automáticamente en el ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión por parte del órgano de dirección es obligatoria. La dirección debe haber aprobado formalmente las medidas de gestión de riesgos de ciberseguridad (plazo: 28 de febrero de 2025) y garantizar la formación anual en ciberseguridad para la dirección y los empleados. La responsabilidad personal de los miembros de la dirección está expresamente prevista en la Ley 5160/2024.
• La notificación de incidentes sigue plazos de 24h / 72h / 1 mes.
• Las sanciones económicas pueden alcanzar €10 millones o el 2% de la facturación global.
• Se requiere la gestión de riesgos de proveedores.
• Todos los plazos clave han vencido. Las entidades también deben nombrar un ICSSO dedicado (incompatible con la función de DPO), implementar el marco nacional de requisitos de ciberseguridad de 22 temas (Decisión Ministerial 1689/2025) y mantener un inventario exhaustivo de activos TIC. Las auditorías de la NCSA comenzaron en el cuarto trimestre de 2025.

Preguntas frecuentes: Guía NIS2 para pymes en Grecia