NIS2 en Eslovaquia

1. Panorama rápido de aplicabilidad para pymes en Eslovaquia

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de aplicabilidad para pymes en Eslovaquia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Eslovaquia y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado eslovaco.

Las pymes deben evaluar si califican conforme al marco nacional de ciberseguridad de Eslovaquia en función de la clasificación sectorial y de los umbrales legales.

2. Panorama de la implementación de NIS2 en Eslovaquia

Eslovaquia completó la transposición de NIS2 mediante la Ley Nº 366/2024 Coll., que modifica la Ley de Ciberseguridad Nº 69/2018 Coll. El Consejo Nacional aprobó la Ley el 28 de noviembre de 2024, fue publicada en la Recopilación de Leyes el 19 de diciembre de 2024 y entró en vigor el 1 de enero de 2025, convirtiendo a Eslovaquia en el 4º Estado miembro de la UE en completar la transposición.

El marco modificado alinea el régimen eslovaco con la Directiva (UE) 2022/2555 y se operativiza mediante la plataforma JISKB (gestionada por el NBÚ) para el registro y la notificación de incidentes, mientras que SK-CERT (National Cyber Security Centre, dentro del NBÚ) actúa como CSIRT nacional. La gestión del riesgo se alinea con la familia de normas ISO 27000, complementada por un Reglamento de Medidas de Seguridad de apoyo desarrollado durante 2025.

Se prevé que entre 3.500 y 14.000 entidades queden dentro del ámbito. El régimen eslovaco va más allá del mínimo de la Directiva al regular explícitamente a los terceros de la cadena de suministro como entidades directas; el cumplimiento total de todas las obligaciones se exige antes del 31 de diciembre de 2026.

3. Ámbito de aplicación en Eslovaquia

El ámbito de Eslovaquia refleja las categorías sectoriales mínimas de la Directiva, sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Eslovaquia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos entran automáticamente en el ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades eslovacas conservan las facultades formales de designación cuando el riesgo sistémico justifica la inclusión.

5. Marco de clasificación de las entidades en Eslovaquia

Las entidades se clasifican como:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y un seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o cuestiones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Eslovaquia sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Eslovaquia

El régimen nacional de Eslovaquia se alinea con el nivel de referencia de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro de NIS2 en Eslovaquia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardias criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación en ciberseguridad del personal

Las medidas deben reflejar estándares de estado de la técnica y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y las orientaciones eslovacas de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Eslovaquia

Los órganos de administración deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.

Según el marco de Eslovaquia:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden imponerse por fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar prevista en mecanismos de ejecución alineados con la Directiva.

Las expectativas de NIS2 sobre la responsabilidad de la dirección en Eslovaquia elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Eslovaquia

9. Autoridades de supervisión y modelo de aplicación en Eslovaquia

Autoridad principal: NBÚ (Národný bezpečnostný úrad) — autoridad nacional competente, punto único de contacto y principal organismo supervisor. SK-CERT (National Cyber Security Centre) opera dentro del NBÚ como CSIRT nacional para el tratamiento, análisis y coordinación de incidentes.

Eslovaquia opera un modelo de supervisión centralizado liderado por el NBÚ. Los ministerios sectoriales (p. ej., Ministerio de Salud, Ministerio de Transporte) desempeñan funciones sectoriales complementarias. El registro y la notificación de incidentes se realizan a través de la plataforma JISKB, gestionada por el NBÚ, que actúa como registro de cumplimiento y plataforma de notificación.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Eslovaquia

Eslovaquia aplica sanciones administrativas alineadas con la Directiva.

La aplicación de las sanciones de NIS2 en Eslovaquia también puede incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades de suspensión de directivos

La responsabilidad penal se aplica únicamente cuando esté expresamente prevista en la legislación eslovaca.

11. Seguridad de la cadena de suministro y de proveedores conforme a NIS2 en Eslovaquia

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Cláusulas contractuales de traslación de requisitos de seguridad
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Eslovaquia se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autodeclaración en Eslovaquia

Las entidades incluidas en el ámbito de aplicación deben:

• Registrarse ante el NBÚ a través de la plataforma JISKB (jiskb.sk.gov.sk) — las entidades dentro del ámbito desde el 1 ene 2025 tenían un plazo de registro hasta aprox. el 1 mar 2025 (vencido); las nuevas entidades deben registrarse en un plazo de 60 días desde su entrada en el ámbito; las entidades ya registradas bajo el marco anterior NIS1 fueron transferidas automáticamente, sin necesidad de nuevo registro
• Facilitar los datos de identificación de la entidad
• Comunicar la clasificación sectorial — utilice el asistente de clasificación en línea del NBÚ para determinar el estatus esencial/importante antes de registrarse
• Mantener actualizados los contactos de notificación

La plataforma JISKB sirve tanto como plataforma de registro como centro de notificación de incidentes. Se aplican multas adicionales por incumplir el registro, no realizar las auditorías/autoevaluaciones requeridas o no adoptar medidas correctivas dentro de los plazos. El cumplimiento total de todas las obligaciones se exige antes del 31 de diciembre de 2026.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales. Todos los registros y notificaciones de incidentes se realizan a través de la plataforma JISKB.

13. Interacción con el RGPD y otras leyes en Eslovaquia

El Reglamento General de Protección de Datos sigue siendo de aplicación en paralelo.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Eslovaquia están supervisadas por las autoridades eslovacas en relación con los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en Eslovaquia pueden estar sujetos a obligaciones nacionales según su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado eslovaco.

15. Calendario de implementación en Eslovaquia

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Ley Nº 366/2024 Coll. aprobada por el Consejo Nacional el 28 nov 2024; publicada en la Recopilación de Leyes el 19 dic 2024; Reglamento de Medidas de Seguridad de apoyo desarrollado durante 2025
• Entrada en vigor: 1 de enero de 2025 — Eslovaquia fue el 4º Estado miembro de la UE en completar la transposición
• Notificación a la Comisión: Plenamente notificada; sin opinión motivada pendiente de la Comisión Europea
• Hito de conformidad: Plazo de registro en la plataforma JISKB ~1 mar 2025 (vencido) para entidades dentro del ámbito desde el 1 ene 2025; nuevas entidades en 60 días desde su entrada en el ámbito; cumplimiento total de todas las obligaciones para el 31 de diciembre de 2026

Eslovaquia completó la transposición el 1 de enero de 2025, antes que la mayoría de sus pares de la UE. El plazo inicial de registro en JISKB ha vencido; el cumplimiento total bajo la Ley de Ciberseguridad modificada se exige antes del 31 de diciembre de 2026. Las entidades aún no registradas deben actuar de inmediato.

16. Puntos clave para las pymes en Eslovaquia

• Las entidades medianas en los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación. La Ley Nº 366/2024 Coll. está en vigor desde el 1 de enero de 2025; utilice el asistente de clasificación en línea del NBÚ para verificar el estatus esencial/importante.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión del gobierno corporativo a nivel del consejo de administración es obligatoria.
• La notificación de incidentes sigue plazos de 24 h / 72 h / 1 mes. Las notificaciones se presentan a través de la plataforma JISKB al SK-CERT (CSIRT nacional); SK-CERT puede solicitar un informe intermedio.
• Las sanciones económicas pueden alcanzar 10 millones de € o el 2% del volumen de negocios mundial.
• Se requiere la gestión de riesgos de proveedores.
• El plazo inicial de registro (~1 mar 2025) ha vencido — las entidades aún no registradas deben hacerlo de inmediato a través de la plataforma JISKB. El cumplimiento total de todas las obligaciones se exige antes del 31 de diciembre de 2026; el marco de gestión del riesgo debe alinearse con las normas ISO 27000.

FAQ: Guía NIS2 para pymes en Eslovaquia