NIS2 en Letonia

1. Resumen rápido sobre la aplicabilidad para pymes en Letonia

¿Se aplica NIS2 a las pymes en 1. Resumen rápido sobre la aplicabilidad para pymes en Letonia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Letonia y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios en el mercado letón.

Las pymes deben evaluar si entran en el ámbito de aplicación del marco nacional de ciberseguridad de Letonia en función de la clasificación sectorial y de los umbrales legales.

2. Panorama general de la aplicación de NIS2 en Letonia

Letonia transpuso la Directiva mediante la nueva Ley Nacional de Ciberseguridad (Nacionālās kiberdrošības likums), adoptada por el Saeima el 20 de junio de 2024, firmada el 4 de julio de 2024 y en vigor desde el 1 de septiembre de 2024 — que deroga y sustituye íntegramente la anterior Ley de Seguridad de la Tecnología de la Información (es una nueva ley, no una modificación).

La legislación secundaria se completó con el Reglamento del Consejo de Ministros n.º 397 sobre requisitos mínimos de ciberseguridad, en vigor desde el 2 de julio de 2025.

Las particularidades nacionales incluyen el nombramiento obligatorio de un responsable de ciberseguridad, una clasificación de sistemas en tres niveles (A reforzado / B básico / C mínimo) y la obligación de realizar una revisión anual de seguridad TIC conforme al artículo 25. El dictamen motivado de la Comisión Europea de mayo de 2025 quedó resuelto con la adopción del Reglamento n.º 397.

3. Ámbito de aplicación en Letonia

El alcance de Letonia refleja las categorías sectoriales mínimas de la Directiva sin ampliación estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Letonia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos entran automáticamente en el ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades letonas conservan facultades formales de designación cuando el riesgo sistémico justifica la inclusión.

5. Marco de clasificación de entidades en Letonia

Las entidades se clasifican en:

• Entidades Esenciales — Sujetas a supervisión proactiva, incluidas las inspecciones y el seguimiento estructurado del cumplimiento.
• Entidades Importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por el sector y el tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Letonia sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Letonia

El régimen nacional de Letonia se alinea con la línea de base de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Letonia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte de las normas y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y la orientación letona en materia de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Letonia

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

Según el marco de Letonia:

• Los consejos son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar suficiente competencia en ciberseguridad y nombrar formalmente a un responsable de ciberseguridad, notificándolo al NCSC (plazo 1 de octubre de 2025 — vencido).
• Las sanciones administrativas pueden corregir fallos de gobernanza.
• La suspensión temporal de funciones directivas puede aplicarse mediante mecanismos de ejecución alineados con la Directiva.

Las expectativas de responsabilidad directiva de NIS2 en Letonia elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Letonia

9. Autoridades de supervisión y modelo de ejecución en Letonia

Autoridad principal de supervisión: Centro Nacional de Ciberseguridad (NCSC), cuyas funciones ejerce el Ministerio de Defensa en cooperación con CERT.LV; el NCSC actúa como punto de contacto único, supervisa la implementación y desarrolla la política nacional de ciberseguridad. CERT.LV es el CSIRT nacional para la respuesta a incidentes. La Oficina de Protección de la Constitución supervisa a los propietarios de infraestructura TIC crítica.

Letonia opera un modelo de supervisión coordinado bajo el NCSC; CERT.LV gestiona la respuesta a incidentes; la Oficina de Protección de la Constitución supervisa la infraestructura TIC crítica. El NCSC puede realizar inspecciones, ordenar medidas correctivas, emitir advertencias, suspender servicios e imponer sanciones.

Las facultades de supervisión incluyen:

• Solicitudes de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en mecanismos de coordinación de ciberseguridad de la UE

La estructura de ejecución se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Letonia

Letonia aplica sanciones administrativas alineadas con la Directiva.

Además de las sanciones económicas, las autoridades pueden imponer medidas de ejecución adicionales:

• Divulgación pública del incumplimiento
• Instrucciones vinculantes con plazos
• Suspensión temporal de certificaciones
• Prohibiciones temporales de gestión para entidades esenciales

11. Seguridad de la cadena de suministro y de proveedores NIS2 en Letonia

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Disposiciones contractuales de seguridad en cascada
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Letonia se alinea con las expectativas básicas de la Directiva en materia de gestión de riesgos de proveedores.

12. Obligaciones de registro y autoidentificación en Letonia

Las entidades incluidas en el ámbito de aplicación deben:

• Registrarse ante el Centro Nacional de Ciberseguridad (NCSC); el plazo inicial de registro de 1 de abril de 2025 ha vencido; las entidades que adquieran condición de sujeto obligado posteriormente deben notificarlo al NCSC en el plazo de un mes. La autoevaluación está disponible mediante la herramienta NCL en línea del Ministerio de Defensa.
• Proporcionar datos de identificación corporativa
• Declarar la clasificación sectorial y clasificar todos los sistemas de información en tres categorías de seguridad: A (reforzada), B (básica) o C (mínima).
• Mantener actualizados los contactos para notificaciones

El Reglamento del Consejo de Ministros n.º 397 (en vigor desde el 2 de julio de 2025) define las medidas técnicas y organizativas mínimas en función de la clasificación de seguridad del sistema. Las entidades deben mantener un catálogo actualizado de recursos TIC que abarque sistemas de información, arquitectura y productos y servicios basados en TIC.

La autoidentificación es obligatoria. El primer informe de autoevaluación debía presentarse al NCSC antes del 1 de octubre de 2025 (vencido). Posteriormente, son obligatorias revisiones anuales de seguridad TIC conforme al artículo 25, con rectificación formal de las deficiencias detectadas.

13. Interacción con el RGPD y otras leyes en Letonia

El Reglamento General de Protección de Datos sigue aplicándose en paralelo.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de datos personales en un plazo de 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación letona de ciberseguridad específica por sector

Un incidente cibernético puede activar obligaciones de notificación en virtud de ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Letonia están supervisadas por las autoridades letonas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Letonia pueden estar sujetos a obligaciones nacionales según la estructura de su establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado letón.

15. Calendario de aplicación en Letonia

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Ley Nacional de Ciberseguridad adoptada el 20 de junio de 2024, firmada el 4 de julio de 2024; Reglamento n.º 397 en vigor desde el 2 de julio de 2025.
• Entrada en vigor: 1 de septiembre de 2024 (LNC); 2 de julio de 2025 (Reglamento n.º 397).
• Notificación a la Comisión: Dictamen motivado de la CE de 7 de mayo de 2025 por legislación secundaria incompleta — resuelto tras la adopción del Reglamento n.º 397.
• Hitos de cumplimiento: registro de entidades 1 de abril de 2025 (vencido); nombramiento del responsable de ciberseguridad 1 de octubre de 2025 (vencido); primer informe de autoevaluación 1 de octubre de 2025 (vencido); revisiones anuales de seguridad TIC en curso.

La transposición está completa (1 de septiembre de 2024) y la legislación secundaria finalizada (2 de julio de 2025). Todos los hitos iniciales han vencido; las revisiones anuales de seguridad TIC son una obligación continua.

16. Puntos clave para pymes en Letonia

• Las entidades medianas en sectores cubiertos están automáticamente incluidas en el ámbito.
• Las pequeñas entidades pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de gobernanza a nivel del consejo es obligatoria; las entidades deben nombrar un responsable de ciberseguridad y notificarlo al NCSC (plazo 1 de octubre de 2025 — vencido).
• La notificación de incidentes sigue plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar 10 millones de € o el 2 % de la facturación mundial.
• La gestión de riesgos de proveedores es obligatoria.
• Todos los plazos iniciales han vencido (registro 1 de abril de 2025; responsable de ciberseguridad y primera autoevaluación 1 de octubre de 2025); clasificar los sistemas A/B/C, implementar los mínimos del Reglamento n.º 397 y mantener revisiones anuales de seguridad TIC.

FAQ: Guía NIS2 para pymes en Letonia