NIS2 en Malta

1. Resumen rápido de la aplicabilidad para pymes en Malta

¿Se aplica NIS2 a las pymes en 1. Resumen rápido de la aplicabilidad para pymes en Malta?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Aplica a entidades establecidas en Malta y, en ciertos casos, a proveedores digitales extranjeros que prestan servicios al mercado maltés.

Las pymes deben evaluar si quedan comprendidas en el marco nacional de ciberseguridad de Malta en función de la clasificación sectorial y de los umbrales legales.

2. Visión general de la transposición de NIS2 en Malta

Malta está transponiendo la Directiva mediante enmiendas a la Critical Information Infrastructure Protection Act y a la normativa de ciberseguridad relacionada.

El marco legislativo actualizado alinea el régimen de Malta con la Directiva (UE) 2022/2555 y refuerza las obligaciones relativas a la gobernanza, la gestión de riesgos, la notificación de incidentes, la supervisión y las sanciones.

La transposición se apoya en la estructura de supervisión de ciberseguridad ya establecida en Malta, a la vez que amplía su ámbito de aplicación de conformidad con las normas de la UE.

3. Ámbito de aplicación en Malta

El ámbito de aplicación en Malta refleja las categorías sectoriales mínimas de la Directiva, sin una ampliación estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Malta

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades maltesas conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Malta

Las entidades se clasifican en:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Malta sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión del riesgo de ciberseguridad en Malta

El régimen nacional de Malta se alinea con la base de referencia de la Directiva para la gestión del riesgo de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta ante incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro de NIS2 en Malta
• Adquisición y desarrollo seguros de sistemas TIC
• Control de accesos y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación en ciberseguridad del personal

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y con la orientación maltesa en materia de ciberseguridad.

La supervisión de la cadena de suministro incluye la debida diligencia de los proveedores y salvaguardias contractuales en materia de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Malta

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

Con arreglo al marco de Malta:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar competencias suficientes en ciberseguridad.
• Las sanciones administrativas pueden imponerse por fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible en el marco de mecanismos de ejecución alineados con la Directiva.

Las expectativas de responsabilidad de la dirección según NIS2 en Malta elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Malta

9. Autoridades de supervisión y modelo de aplicación en Malta

Autoridad principal: Departamento de Protección de Infraestructuras Críticas (CIPD).

Malta opera un modelo de supervisión centralizado coordinado por el CIPD, con la participación de reguladores sectoriales cuando sea necesario.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se ajusta a los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Malta

Malta aplica sanciones administrativas alineadas con la Directiva.

La aplicación de las multas de NIS2 en Malta también puede incluir:

• Órdenes vinculantes de medidas correctoras
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a directivos

La responsabilidad penal se aplica únicamente cuando así se disponga expresamente en la legislación maltesa.

11. Seguridad de la cadena de suministro y de proveedores en Malta según NIS2

Las entidades deben gestionar la exposición al riesgo de ciberseguridad derivada de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Cláusulas contractuales de traslación (flow-down) de requisitos de seguridad
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Malta se alinea con las expectativas de referencia de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Malta

Las entidades dentro del ámbito de aplicación deben:

• Registrarse ante las autoridades competentes
• Facilitar datos de identificación de la entidad
• Comunicar la clasificación sectorial
• Mantener actualizados los contactos de notificación

Los plazos procedimentales se rigen por el marco de implementación de Malta. Según el estado actual de la transposición, Malta sigue el marco base de la Directiva NIS2. Los detalles de implementación nacionales pueden precisar obligaciones específicas.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales.

13. Interacción con el RGPD y otras leyes en Malta

El Reglamento General de Protección de Datos sigue siendo de aplicación de forma concurrente.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de datos personales en 72 horas
• Coordinación de las autoridades de control
• Investigaciones paralelas de ciberseguridad y protección de datos
• Legislación maltesa de ciberseguridad sectorial

Un incidente de ciberseguridad puede desencadenar obligaciones de notificación en ambos regímenes.

14. Aplicación transfronteriza

Las entidades con su establecimiento principal en Malta están supervisadas por las autoridades maltesas respecto de los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en Malta pueden estar sujetos a obligaciones nacionales en función de la estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado maltés.

15. Calendario de aplicación en Malta

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: 2024–2025
• Entrada en vigor: Tras la publicación nacional
• Notificación a la Comisión: De conformidad con los procedimientos de la UE
• Hito de cumplimiento: Plazos alineados con la Directiva

El calendario de transposición de Malta se alinea con los requisitos de implementación de la UE.

16. Conclusiones clave para las pymes en Malta

• Las entidades medianas de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• Es obligatoria la supervisión de la gobernanza a nivel del órgano de administración.
• La notificación de incidentes sigue los plazos de 24 h / 72 h / 1 mes.
• Las sanciones económicas pueden alcanzar €10 millones o el 2 % del volumen de negocios mundial.
• Se exige la gestión del riesgo de proveedores.
• Una planificación temprana del cumplimiento reduce la exposición a medidas de supervisión y sanción.

Preguntas frecuentes: Guía NIS2 para pymes en Malta