NIS2 en Eslovenia

1. Vista rápida de aplicabilidad para PYMEs en Eslovenia

¿Se aplica NIS2 a las pymes en 1. Vista rápida de aplicabilidad para PYMEs en Eslovenia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Eslovenia y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado esloveno.

Las PYMEs deben evaluar si califican con arreglo al marco nacional de ciberseguridad de Eslovenia en función de la clasificación sectorial y de los umbrales legales.

2. Panorama general de la aplicación de NIS2 en Eslovenia

Eslovenia completó la transposición de NIS2 mediante la Ley de Seguridad de la Información (ZInfV-1) (Zakon o informacijski varnosti), una nueva ley integral que sustituye a la anterior ZInfV (2018). La Asamblea Nacional la adoptó el 23 de mayo de 2025, fue publicada en el Boletín Oficial n.º 40/25 el 4 de junio de 2025 y entró en vigor el 19 de junio de 2025.

Eslovenia incumplió el plazo original de transposición del 17 de octubre de 2024; la Comisión Europea emitió un dictamen motivado el 7 de mayo de 2025 y la transposición se completó por procedimiento de urgencia. ZInfV-1 amplía el ámbito de aplicación más allá del mínimo de la Directiva para incluir instituciones de investigación y enseñanza superior, con un marco de requisitos de ciberseguridad anexo a la ley y referencia a ISO/IEC 27001 como norma aplicable.

URSIV (Urad Vlade Republike Slovenije za informacijsko varnost — Oficina Gubernamental para la Seguridad de la Información) es la autoridad principal y también actúa como NCC-SI y punto de contacto único nacional. SI-CERT (operado por ARNES) es el CSIRT nacional para el sector privado; SIGOV-CERT atiende a las instituciones gubernamentales. Las obligaciones de gestión de riesgos se aplican de forma escalonada: 12 meses (hasta el 19 de junio de 2026) para entidades ya designadas como prestadores de servicios esenciales bajo la anterior ZInfV, y 18 meses (hasta el 19 de diciembre de 2026) para el resto de entidades esenciales e importantes.

3. Ámbito de aplicación en Eslovenia

El ámbito de Eslovenia refleja las categorías sectoriales mínimas de la Directiva, sin que se haya confirmado ninguna expansión estructural.

4. Umbrales de tamaño y aplicabilidad a pymes en Eslovenia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades eslovenas conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Eslovenia

Las entidades se clasifican como:

• Entidades esenciales — Sujetos a supervisión proactiva, incluidas inspecciones y seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Eslovenia sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Eslovenia

El régimen nacional de Eslovenia se alinea con el nivel de referencia de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgos de la cadena de suministro conforme a NIS2 en Eslovenia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y las orientaciones eslovenas sobre ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Eslovenia

Los órganos de administración deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

En el marco de Eslovenia:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden sancionar deficiencias de gobernanza.
• La suspensión temporal de funciones directivas puede estar prevista en mecanismos de ejecución alineados con la Directiva.

Las expectativas de NIS2 en Eslovenia respecto a la responsabilidad de la dirección elevan la gobernanza de la ciberseguridad a una responsabilidad de nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Eslovenia

9. Autoridades de supervisión y modelo de aplicación en Eslovenia

Autoridad principal: URSIV (Urad Vlade Republike Slovenije za informacijsko varnost) — Oficina Gubernamental para la Seguridad de la Información. Bajo ZInfV-1, URSIV también actúa como Centro Nacional de Coordinación de Ciberseguridad (NCC-SI) y punto de contacto único nacional. SI-CERT (operado por ARNES) es el CSIRT nacional para el sector privado; SIGOV-CERT atiende a las instituciones gubernamentales.

Eslovenia opera un modelo de supervisión centralizado liderado por URSIV. Las entidades esenciales están sujetas a inspecciones tanto proactivas (ex-ante) como reactivas (ex-post), mientras que las entidades importantes solo a inspecciones reactivas. Las entidades esenciales deben someterse a una evaluación de conformidad por un Organismo de Evaluación de la Conformidad (CAB) acreditado al menos cada dos años; las entidades importantes realizan una autoevaluación al menos cada dos años.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Eslovenia

Eslovenia aplica sanciones administrativas alineadas con la Directiva.

Las medidas de ejecución de NIS2 en Eslovenia también pueden incluir:

• Órdenes vinculantes de remediación
• Identificación pública de entidades no conformes
• Suspensión de autorizaciones o certificaciones
• Facultades de suspensión de directivos
• Inhabilitación de la dirección bajo la Ley de Sociedades de Eslovenia por negligencia persistente

11. Seguridad de la cadena de suministro y de proveedores en Eslovenia conforme a NIS2

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Cláusulas contractuales de traslación de requisitos de seguridad a subproveedores
• Supervisión continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Eslovenia se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Eslovenia

Las entidades dentro del ámbito de aplicación deben:

• Registrarse ante URSIV — las entidades ya incluidas en el ámbito de aplicación el 19 de junio de 2025 tenían como plazo de registro el 19 de diciembre de 2025 (6 meses desde la entrada en vigor, ya vencido); las nuevas entidades deben registrarse en un plazo de 30 días desde que pasen a estar sujetas a la Ley; el registro inicial se realiza enviando información digitalmente a URSIV hasta el lanzamiento de una plataforma formal de autorregistro
• Proporcionar datos identificativos corporativos
• Declarar la clasificación sectorial
• Mantener actualizados los contactos de notificación

ZInfV-1 exige a las entidades implementar un Sistema de Gestión de Seguridad de la Información (ISMS) y un Sistema de Gestión de Continuidad del Negocio (BCMS) documentados, incluyendo análisis de riesgos, planes de respuesta a incidentes, planes de continuidad del negocio y planes de recuperación de sistemas. Las medidas de gestión de riesgos de los Artículos 21 y 22 deben implementarse antes del 19 de junio de 2026 (entidades ya designadas como prestadores de servicios esenciales bajo la anterior ZInfV / 12 meses) y del 19 de diciembre de 2026 (resto de entidades esenciales e importantes / 18 meses).

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales legales. La certificación ISO/IEC 27001 (de un organismo acreditado por SA) se menciona expresamente como norma aplicable y puede usarse para evaluaciones de conformidad; las entidades esenciales deben someter su conformidad a evaluación por un Organismo de Evaluación de la Conformidad (CAB) acreditado al menos cada dos años.

13. Interacción con el RGPD y otras leyes en Eslovenia

El Reglamento General de Protección de Datos sigue aplicándose en paralelo.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Eslovenia están supervisadas por las autoridades eslovenas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Eslovenia pueden estar sujetos a obligaciones nacionales dependiendo de su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado esloveno.

15. Calendario de implementación en Eslovenia

• Adopción de la Directiva: 2022
• Adopción de la Directiva: 2022
• Legislación nacional: Ley de Seguridad de la Información (ZInfV-1) adoptada el 23 de mayo de 2025; publicada en el Boletín Oficial n.º 40/25 el 4 de junio de 2025; adoptada por procedimiento de urgencia tras el dictamen motivado de la CE de 7 de mayo de 2025
• Entrada en vigor: 19 de junio de 2025 (15 días después de la publicación); ZInfV-1 sustituye a la anterior ZInfV (2018)
• Notificación a la Comisión: Dictamen motivado de la CE de 7 de mayo de 2025 por falta de notificación; resuelto tras la adopción y entrada en vigor el 19 de junio de 2025
• Hitos de cumplimiento: Plazo de registro ante URSIV (entidades en el ámbito de aplicación el 19 de junio de 2025) — 19 de diciembre de 2025 (vencido); registro de nuevas entidades — 30 días desde su inclusión; medidas de gestión de riesgos (prestadores de servicios esenciales bajo la anterior ZInfV) — 19 de junio de 2026; medidas de gestión de riesgos (resto de entidades esenciales/importantes) — 19 de diciembre de 2026; ciclo de evaluación de conformidad — al menos cada 2 años

Eslovenia completó la transposición de NIS2 el 19 de junio de 2025. El plazo de registro ante URSIV del 19 de diciembre de 2025 ha vencido — las entidades aún no registradas deben actuar de inmediato. Los plazos de implementación de la gestión de riesgos se extienden hasta junio y diciembre de 2026, y las evaluaciones de conformidad son obligatorias al menos cada dos años desde la designación.

16. Puntos clave para las pymes en Eslovenia

• Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito; ZInfV-1 está en vigor desde el 19 de junio de 2025, y el ámbito de aplicación de Eslovenia se extiende más allá del mínimo de la Directiva para incluir instituciones de investigación y enseñanza superior.
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión por la dirección es obligatoria.
• La notificación de incidentes sigue los plazos 24h / 72h / 1 mes; los informes se presentan a URSIV y al CSIRT nacional correspondiente — SI-CERT (sector privado) o SIGOV-CERT (entidades gubernamentales).
• Las sanciones económicas pueden alcanzar 10 millones de euros o el 2 % de la facturación global.
• Es obligatoria la gestión de riesgos de proveedores.
• El plazo de registro ante URSIV (19 de diciembre de 2025) ha vencido — registrarse de inmediato si no se ha hecho; las medidas de gestión de riesgos deben implementarse antes del 19 de junio de 2026 (entidades esenciales bajo la anterior ZInfV) o del 19 de diciembre de 2026 (resto); ZInfV-1 exige ISMS y BCMS documentados alineados con ISO/IEC 27001; las entidades esenciales requieren evaluación de conformidad por un CAB acreditado al menos cada dos años.

Preguntas frecuentes: Guía NIS2 para pymes en Eslovenia