NIS2 en Lituania

1. Resumen rápido de la aplicabilidad de las PYMES en Lituania

¿Se aplica NIS2 a las pymes en 1. Resumen rápido de la aplicabilidad de las PYMES en Lituania?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Lituania y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado lituano.

Las PYMES deben evaluar si califican con arreglo al marco nacional de ciberseguridad de Lituania en función de la clasificación sectorial y de los umbrales establecidos por ley.

2. Panorama general de la aplicación de NIS2 en Lituania

Lituania ha transpuesto la NIS2 mediante una modificación (Ley XIV-2902) de la Ley de Ciberseguridad de la República de Lituania (Nº XII-1428), adoptada el 11 de julio de 2024 y en vigor desde el 18 de octubre de 2024. La Resolución Gubernamental sobre la Aplicación complementaria — que establece los requisitos de ciberseguridad aplicables a las entidades esenciales e importantes — entró en vigor el 12 de noviembre de 2024.

El marco alinea el régimen lituano con la Directiva (UE) 2022/2555 e introduce varias particularidades nacionales: Lituania amplía el ámbito de aplicación más allá de la Directiva para incluir la administración pública local, las entidades dedicadas a la investigación y desarrollo experimental crítico (potencialmente incluidas ciertas universidades) y los proveedores de servicios de alojamiento de información electrónica. Las entidades deben designar un responsable de ciberseguridad encargado de la implementación y el cumplimiento, y no existe obligación de autorregistro — el NCSC identifica y notifica directamente a las entidades.

Las entidades notificadas disponen de 12 meses desde la notificación para implementar medidas organizativas y 24 meses para las medidas técnicas. El NCSC notificó el registro inicial de 1.443 entidades de ciberseguridad alrededor del 17 de abril de 2025.

3. Ámbito de aplicación en Lithuania

El ámbito de aplicación de Lituania supera el mínimo de la Directiva. La Ley se extiende explícitamente a la administración pública local, a las entidades dedicadas a actividades críticas de investigación y desarrollo experimental (que pueden incluir ciertas universidades) y a los proveedores de servicios de alojamiento de información electrónica — ninguna de las cuales es exigida por la Directiva.

4. Umbrales de tamaño y aplicabilidad de las PYME en Lithuania

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas podrán ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades de Lithuania conservan las facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Lithuania

Las entidades se clasifican como:

• Entidades Esenciales — Están sujetas a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
• Entidades Importantes — Principalmente sujetas a supervisión reactiva, desencadenada por incidentes significativos o preocupaciones en materia de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Lithuania sigue la estructura de supervisión de dos niveles de la Directive.

6. Requisitos de gestión de riesgos de ciberseguridad en Lithuania

El régimen nacional de Lithuania se alinea con el nivel de referencia de la Directive para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro NIS2 en Lithuania
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar los estándares de estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y la orientación de Lithuania en materia de ciberseguridad.

La supervisión de la cadena de suministro incluye la debida diligencia de proveedores y salvaguardias contractuales de ciberseguridad.

7. Responsabilidad de los órganos de administración y gobernanza en Lithuania

Los órganos de administración deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

Con arreglo al marco de Lithuania:

• Los consejos son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar suficiente competencia en ciberseguridad. Las entidades deben designar un responsable de ciberseguridad y otras personas designadas responsables de la implementación y el cumplimiento de la ciberseguridad.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas está prevista en la Ley, pero solo se aplica a entidades esenciales y únicamente tras una decisión judicial. Además, las entidades esenciales deben someterse a una evaluación de conformidad independiente al menos cada tres años, realizada por un organismo de certificación acreditado, conforme a un esquema similar a ISO/IEC 27001.

Las expectativas de responsabilidad de la administración en NIS2 en Lithuania elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Lithuania

9. Autoridades de supervisión y modelo de ejecución en Lituania

Autoridad principal: National Cyber Security Centre (NCSC Lithuania).

Lituania aplica un modelo de supervisión centralizado, coordinado por el NCSC, con autoridades reguladoras sectoriales intervinientes cuando proceda.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de ejecución se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones NIS2 en Lituania

Lituania aplica sanciones administrativas alineadas con la Directiva.

La ejecución de las multas de NIS2 en Lithuania también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a directivos

La responsabilidad penal se aplica únicamente cuando esté expresamente prevista en la legislación de Lithuania.

11. Seguridad de la cadena de suministro y de los proveedores en el marco de NIS2 en Lithuania

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Disposiciones contractuales de seguridad en cascada
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Lithuania se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Lithuania

Las entidades dentro del ámbito de aplicación deben:

• No se requiere autorregistro. El NCSC, junto con otras instituciones gubernamentales, identifica las entidades dentro del ámbito y las notifica directamente por medios electrónicos. Las entidades deben verificar si han recibido una notificación del NCSC (enviada a la dirección de correo electrónico registrada en el Registro Lituano de Personas Jurídicas). Las entidades que no estén seguras de su situación pueden contactar directamente con el NCSC o utilizar la herramienta pública de verificación de cumplimiento del NCSC.
• El NCSC puede solicitar la complementación o aclaración de información relacionada con las actividades, los empleados y otras circunstancias relevantes para la evaluación del ámbito de aplicación.
• Revelar la clasificación sectorial
• Mantener actualizados los contactos de notificación

El NCSC compiló y notificó el registro inicial de 1.443 entidades de ciberseguridad alrededor del 17 de abril de 2025 (cumplido). Las entidades notificadas disponen de 12 meses desde la notificación para implementar medidas organizativas (plazo: aproximadamente 17 de abril de 2026) y 24 meses para las medidas técnicas (plazo: aproximadamente 17 de abril de 2027). El registro no es de acceso público.

Aunque las entidades no están obligadas a registrarse por sí mismas, las organizaciones que cumplan los umbrales de tamaño y sector deberían verificar proactivamente si han sido notificadas. Si aún no han recibido notificación, las organizaciones deben contactar con el NCSC, ya que el incumplimiento una vez identificadas conlleva sanciones significativas.

13. Interacción con el GDPR y otras leyes en Lithuania

The General Data Protection Regulation sigue siendo aplicable de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de datos personales en un plazo de 72 horas
• Coordinación con la autoridad de control

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Lithuania están supervisadas por las autoridades de Lithuania para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en Lithuania pueden estar sujetos a obligaciones nacionales dependiendo de la estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directive para los proveedores no pertenecientes a la EU que prestan servicios al mercado de Lithuania.

15. Calendario de implementación en Lithuania

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Ley de Ciberseguridad modificada (Nº XII-1428) adoptada por el Seimas el 11 de julio de 2024; Resolución Gubernamental sobre la Aplicación adoptada el 6 de noviembre de 2024 y en vigor el 12 de noviembre de 2024
• Entrada en vigor: 18 de octubre de 2024 (Ley de Ciberseguridad modificada); 12 de noviembre de 2024 (Resolución Gubernamental sobre la Aplicación)
• Notificación a la Comisión: Plenamente notificada; Lituania figura entre los Estados miembros que completaron la transposición a tiempo y no está sujeta a un dictamen motivado de la CE
• Hitos de cumplimiento: Plazo de identificación y notificación de entidades por el NCSC: 17 de abril de 2025 (cumplido; 1.443 entidades notificadas); plazo de medidas organizativas: 17 de abril de 2026 (12 meses desde la notificación); plazo de medidas técnicas: 17 de abril de 2027 (24 meses desde la notificación); evaluación de conformidad de entidades esenciales: al menos cada 3 años desde la inclusión

Lituania completó la transposición de la NIS2 el 18 de octubre de 2024, cumpliendo el plazo de la UE. El NCSC notificó el registro inicial de entidades de ciberseguridad alrededor del 17 de abril de 2025. El plazo de cumplimiento de medidas organizativas del 17 de abril de 2026 es ya inminente para las entidades notificadas; el plazo de medidas técnicas sigue el 17 de abril de 2027.

16. Aspectos clave para las PYME en Lithuania

• Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito. Tenga en cuenta que el ámbito de Lituania también se extiende a la administración pública local, las entidades de investigación crítica y los proveedores de servicios de alojamiento de información electrónica más allá del mínimo de la Directiva.
• Las pequeñas entidades pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de gobernanza a nivel del consejo es obligatoria. Las entidades también deben designar un responsable de ciberseguridad. Las entidades esenciales deben someterse a una evaluación de conformidad independiente al menos cada tres años realizada por un organismo de certificación acreditado.
• La notificación de incidentes sigue plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar los 10 millones de euros o el 2% de la facturación global.
• Es obligatoria la gestión de riesgos de proveedores.
• Las entidades no se autorregistran — el NCSC las identifica y notifica directamente. Verifique si su organización ha recibido una notificación del NCSC. Si fue notificada alrededor del 17 de abril de 2025, las medidas organizativas vencen aproximadamente el 17 de abril de 2026 y las técnicas el 17 de abril de 2027. Las entidades aún no notificadas deben contactar proactivamente con el NCSC.

Preguntas frecuentes: Guía para PYMES de NIS2 Lithuania