Volver a las guías

    NIS2 en Malta

    Guía de implementación y cumplimiento de NIS2 en Malta.

    Malta está reforzando su marco nacional de ciberseguridad para alinearse con las obligaciones reforzadas introducidas por la Directiva NIS2. El régimen revisado amplía la cobertura sectorial, formaliza la responsabilidad de la alta dirección y refuerza los mecanismos de supervisión y ejecución. Esta guía ofrece una visión estructurada de los requisitos de cumplimiento de NIS2 en Malta para pymes que operan en sectores cubiertos.

    1. Resumen rápido de la aplicabilidad para pymes en Malta

    ¿Se aplica NIS2 a las pymes en 1. Resumen rápido de la aplicabilidad para pymes en Malta?

    Sí — dependiendo del sector y del tamaño.

    • Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
    • Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
    • Aplica a entidades establecidas en Malta y, en ciertos casos, a proveedores digitales extranjeros que prestan servicios al mercado maltés.

    Las pymes deben evaluar si quedan comprendidas en el marco nacional de ciberseguridad de Malta en función de la clasificación sectorial y de los umbrales legales.

    2. Visión general de la transposición de NIS2 en Malta

    Malta ha transpuesto la Directiva NIS2 mediante el Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order), publicado el 8 de abril de 2025 y plenamente en vigor desde el 23 de enero de 2026 en virtud del L.N. 22 of 2026.

    El NIS2 Order sustituye íntegramente al marco NIS1 anterior (L.N. 216 de 2018) y establece un modelo de supervisión dividido: el Departamento de Protección de Infraestructuras Críticas (CIPD) actúa como supervisor nacional principal, mientras que la Malta Communications Authority (MCA) está designada como autoridad competente para la infraestructura digital y los servicios postales y de mensajería. El Critical Infrastructure Protection Advisory Board (CIPAB) asesora al CIPD en materia de sanciones administrativas.

    Se ha establecido un CSIRT nacional (CSIRT Malta) dentro del CIPD para coordinar la respuesta a incidentes. Las entidades en el ámbito de aplicación deben designar un CSIRT interno o autónomo y registrarse ante el CIPD a través del mecanismo nacional de autorregistro.

    3. Ámbito de aplicación en Malta

    Entidades esenciales

    Entidades que operan en sectores altamente críticos:

    Entidades importantes

    Entidades que operan en otros sectores enumerados:

    El ámbito de aplicación en Malta refleja las categorías sectoriales mínimas de la Directiva, sin una ampliación estructural confirmada.

    4. Umbrales de tamaño y aplicabilidad a las pymes en Malta

    Se aplican los umbrales básicos:

    • ≥50 empleados y
    • ≥€10 million de volumen de negocios anual o total del balance.

    Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

    Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

    Las autoridades maltesas conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

    5. Marco de clasificación de entidades en Malta

    Las entidades se clasifican en:

    • Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
    • Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

    La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

    Malta sigue la estructura de supervisión de dos niveles de la Directiva.

    6. Requisitos de gestión del riesgo de ciberseguridad en Malta

    El régimen nacional de Malta se alinea con la base de referencia de la Directiva para la gestión del riesgo de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionales que aborden:

    • Análisis de riesgos y protección de sistemas
    • Detección y respuesta ante incidentes
    • Continuidad de negocio y gestión de crisis
    • Controles de riesgo de la cadena de suministro de NIS2 en Malta
    • Adquisición y desarrollo seguros de sistemas TIC
    • Control de accesos y gestión de identidades
    • Cifrado y salvaguardas criptográficas
    • Procedimientos de gestión de vulnerabilidades
    • Formación en ciberseguridad del personal

    Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y con la orientación maltesa en materia de ciberseguridad.

    La supervisión de la cadena de suministro incluye la debida diligencia de los proveedores y salvaguardias contractuales en materia de ciberseguridad.

    7. Responsabilidad de la dirección y gobernanza en Malta

    Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

    Con arreglo al marco de Malta:

    • Los consejos de administración son responsables de la supervisión del cumplimiento.
    • La alta dirección debe garantizar competencias suficientes en ciberseguridad.
    • Las sanciones administrativas pueden imponerse por fallos de gobernanza.
    • La suspensión temporal de funciones directivas puede estar disponible en el marco de mecanismos de ejecución alineados con la Directiva.

    Las expectativas de responsabilidad de la dirección según NIS2 en Malta elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

    8. Obligaciones de notificación de incidentes en Malta

    Definición de un incidente significativo

    Un incidente se considera significativo si causa:

    • Interrupción operativa grave
    • Pérdidas financieras significativas
    • Impacto social sustancial
    • Efectos transfronterizos

    Cronograma de notificación

    Fase de notificaciónPlazoAutoridad
    Alerta temprana24 horasCSIRT Malta (CSIRT nacional establecido dentro del CIPD)
    Notificación de incidente72 horasCSIRT Malta (CSIRT nacional establecido dentro del CIPD)
    Informe final1 mesCSIRT Malta (CSIRT nacional establecido dentro del CIPD)

    Las notificaciones de incidentes significativos se envían a CSIRT Malta, que coordina la respuesta nacional y la interlocución a nivel de la UE. El CIPD sigue siendo la autoridad supervisora; la MCA es competente para la infraestructura digital y los servicios postales y de mensajería. Las entidades también deben notificar a los destinatarios de sus servicios los incidentes significativos cuando proceda.

    9. Autoridades de supervisión y modelo de aplicación en Malta

    Supervisor principal: Departamento de Protección de Infraestructuras Críticas (CIPD). Autoridad competente para infraestructura digital y servicios postales/de mensajería: Malta Communications Authority (MCA). Respuesta a incidentes: CSIRT Malta (dentro del CIPD). El Primer Ministro puede designar autoridades sectoriales adicionales mediante orden.

    Malta opera un modelo de supervisión dividido: el CIPD cubre la mayoría de los sectores, mientras que la MCA es competente para la infraestructura digital y los servicios postales y de mensajería. El CIPAB asesora al CIPD sobre sanciones administrativas.

    Las facultades de supervisión incluyen:

    • Requerimientos de documentación e información
    • Auditorías de seguridad
    • Inspecciones in situ
    • Instrucciones de cumplimiento vinculantes
    • Participación en los mecanismos de coordinación de ciberseguridad de la UE

    La estructura de aplicación se ajusta a los requisitos de cooperación a nivel de la Directiva.

    10. Multas y sanciones de NIS2 en Malta

    Malta aplica sanciones administrativas alineadas con la Directiva.

    Entidades esenciales

    Hasta €10 million o 2% del volumen de negocios anual mundial total (lo que sea mayor)

    Entidades importantes

    Hasta €7 million o 1.4% del volumen de negocios anual mundial total (lo que sea mayor)

    La aplicación de las multas de NIS2 en Malta también puede incluir:

    • Órdenes vinculantes de medidas correctoras
    • Identificación pública de las entidades incumplidoras
    • Suspensión de autorizaciones o certificaciones
    • Facultades para suspender a directivos

    La responsabilidad penal se aplica únicamente cuando así se disponga expresamente en la legislación maltesa.

    11. Seguridad de la cadena de suministro y de proveedores en Malta según NIS2

    Las entidades deben gestionar la exposición al riesgo de ciberseguridad derivada de terceros mediante:

    • Evaluaciones de riesgos de proveedores
    • Cláusulas contractuales de traslación (flow-down) de requisitos de seguridad
    • Supervisión continua de proveedores de TIC
    • Análisis del riesgo de concentración
    • Mitigación de la propagación de incidentes

    El enfoque de Malta se alinea con las expectativas de referencia de la Directiva en materia de gestión del riesgo de proveedores.

    12. Obligaciones de registro y autoidentificación en Malta

    Las entidades dentro del ámbito de aplicación deben:

    • Registrarse en el mecanismo nacional de autorregistro mantenido por el CIPD (activo desde el 23 de enero de 2026) y notificar al CIPD la clasificación como entidad esencial o importante
    • Facilitar datos de identificación de la entidad
    • Comunicar la clasificación sectorial
    • Mantener actualizados los contactos de notificación

    Todas las obligaciones de la NIS2 están operativas desde el 23 de enero de 2026. Las entidades deben designar un CSIRT interno o autónomo para la supervisión continua, mantener disposiciones documentadas de continuidad del negocio e implantar planes de seguridad para operadores.

    La autoidentificación es obligatoria. Las entidades deben evaluar su condición de esencial/importante según el sector y el tamaño y registrarse ante el CIPD.

    13. Interacción con el RGPD y otras leyes en Malta

    El Reglamento General de Protección de Datos sigue siendo de aplicación de forma concurrente.

    Las consideraciones de solapamiento incluyen:

    • Notificación de violación de datos personales en 72 horas
    • Coordinación de las autoridades de control
    • Investigaciones paralelas de ciberseguridad y protección de datos
    • Legislación maltesa de ciberseguridad sectorial

    Un incidente de ciberseguridad puede desencadenar obligaciones de notificación en ambos regímenes.

    14. Aplicación transfronteriza

    Las entidades con su establecimiento principal en Malta están supervisadas por las autoridades maltesas respecto de los servicios transfronterizos.

    Los proveedores digitales extranjeros que ofrecen servicios en Malta pueden estar sujetos a obligaciones nacionales en función de la estructura de establecimiento.

    Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado maltés.

    15. Calendario de aplicación en Malta

    • Adopción de la Directiva: 2022
    • Modificaciones legislativas nacionales: Legal Notice 71 of 2025 (S.L. 460.41 — NIS2 Order), publicado el 8 de abril de 2025; L.N. 306 of 2024 que crea el CIPD
    • Entrada en vigor: Plenamente en vigor desde el 23 de enero de 2026 en virtud del L.N. 22 of 2026
    • Notificación a la Comisión: Plazo inicial del 17 de octubre de 2024 incumplido; resuelto con la entrada en vigor plena
    • Hito de cumplimiento: Todas las obligaciones operativas desde el 23 de enero de 2026; se requieren autorregistro y designación de CSIRT; primeras auditorías formales previstas para el segundo semestre de 2027

    El NIS2 Order está plenamente en vigor desde el 23 de enero de 2026 y todas las obligaciones son operativas. Las entidades que aún no se hayan registrado ante el CIPD o que no hayan designado un CSIRT deben actuar de inmediato.

    16. Conclusiones clave para las pymes en Malta

    • Las entidades medianas de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.
    • Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
    • Es obligatoria la supervisión de la gobernanza a nivel del órgano de administración; los órganos de dirección deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad y recibir formación en ciberseguridad cuando sea necesario; puede aplicarse responsabilidad personal por incumplimientos.
    • La notificación de incidentes sigue los plazos de 24 h / 72 h / 1 mes y se dirige a CSIRT Malta; las entidades de infraestructura digital y servicios postales/de mensajería notifican a través de la MCA.
    • Las sanciones económicas pueden alcanzar €10 millones o el 2 % del volumen de negocios mundial.
    • Se exige la gestión del riesgo de proveedores.
    • Todas las obligaciones de la NIS2 están operativas desde el 23 de enero de 2026; las entidades deben autorregistrarse ante el CIPD y designar un CSIRT interno/autónomo. Las primeras auditorías formales se esperan para el segundo semestre de 2027; las entidades aún no conformes deben actuar de inmediato.

    Preguntas frecuentes: Guía NIS2 para pymes en Malta

    ¿Se aplica la NIS2 a las empresas pequeñas en Malta?

    Las empresas pequeñas, por lo general, están excluidas salvo que sean designadas o que operen en sectores altamente críticos. Las entidades medianas que cumplan los umbrales de tamaño quedan automáticamente cubiertas.

    ¿Cuáles son las sanciones de la NIS2 en Malta?

    Las Entidades Esenciales se enfrentan a sanciones de hasta €10 millones o el 2 % del volumen de negocios anual mundial. Las Entidades Importantes, de hasta €7 millones o el 1,4 % del volumen de negocios anual mundial.

    ¿Cuándo entra en vigor la NIS2 en Malta?

    El marco NIS2 de Malta está plenamente operativo. El Legal Notice 71 of 2025 (S.L. 460.41) se publicó el 8 de abril de 2025 y entró plenamente en vigor el 23 de enero de 2026 en virtud del L.N. 22 of 2026. Las obligaciones incluyen el autorregistro ante el CIPD, la designación de un CSIRT interno o autónomo, la implantación de medidas de gestión de riesgos y la notificación de incidentes a CSIRT Malta. Las primeras auditorías formales están previstas para el segundo semestre de 2027.

    ¿Quién aplica la NIS2 en Malta?

    El Departamento de Protección de Infraestructuras Críticas (CIPD) es el supervisor nacional principal, responsable del cumplimiento, las auditorías y las sanciones en la mayoría de los sectores. La Malta Communications Authority (MCA) es la autoridad competente para la infraestructura digital y los servicios postales y de mensajería. CSIRT Malta, establecido dentro del CIPD, coordina la respuesta a incidentes y recibe las notificaciones de incidentes significativos. El Critical Infrastructure Protection Advisory Board (CIPAB) asesora al CIPD en materia de sanciones administrativas.

    ¿Pueden los miembros del órgano de dirección asumir responsabilidad personal en virtud de la NIS2 en Malta?

    Los órganos de dirección deben aprobar y supervisar las medidas de ciberseguridad. Las herramientas administrativas de ejecución pueden incluir facultades de suspensión de los administradores en casos graves.

    ¿En qué se diferencia la NIS2 del RGPD en Malta?

    La NIS2 regula la resiliencia en ciberseguridad y la gestión del riesgo operativo, mientras que el RGPD regula la protección de datos personales. Ambos marcos pueden aplicarse tras un ciberincidente.

    ¿Qué se considera un incidente significativo en virtud de la NIS2 en Malta?

    Un incidente que cause una alteración grave, una pérdida financiera significativa, un impacto social o consecuencias transfronterizas suele cumplir el umbral de notificación.