NIS2 en Suecia

1. Resumen rápido de la aplicabilidad para pymes en Suecia

¿Se aplica NIS2 a las pymes en 1. Resumen rápido de la aplicabilidad para pymes en Suecia?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Suecia y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado sueco.

Las pymes deben evaluar si califican con arreglo al marco nacional de ciberseguridad de Suecia en función de la clasificación sectorial y de los umbrales legales.

2. Visión general de la aplicación de NIS2 en Suecia

Suecia ha completado la transposición de la NIS2 mediante la Cybersäkerhetslagen (Ley de Ciberseguridad, SFS 2025:1506), aprobada por el Riksdag el 10 de diciembre de 2025 y en vigor desde el 15 de enero de 2026. La nueva ley sustituye a la anterior Ley de Seguridad de la Información (2018:1174); en paralelo se dictó la Cybersäkerhetsförordningen.

Suecia incumplió el plazo de transposición del 17 de octubre de 2024 y recibió un dictamen motivado de la Comisión Europea el 7 de mayo de 2025, resuelto tras la adopción. La Ley aplica un enfoque «de entidad completa» y un modelo de supervisión descentralizado: MSB (renombrada MCF — Myndigheten för civilt försvar, Agencia Sueca de Defensa Civil y Resiliencia — desde el 1 de enero de 2026) actúa como coordinador nacional, punto de contacto único de la UE y CSIRT nacional, mientras que PTS corregula los sectores digitales junto con las autoridades sectoriales.

La formación obligatoria de la dirección es una obligación sancionable, los proveedores de servicios de confianza deben notificar en 24 horas (no 72) y las entidades debían registrarse antes del 16 de febrero de 2026 (plazo vencido); el portal de notificación de MSB/MCF se activó el 2 de febrero de 2026. Todas las obligaciones NIS2 se aplican desde el 15 de enero de 2026 sin periodo de gracia general.

3. Ámbito de aplicación en Suecia

El ámbito de Suecia refleja las categorías sectoriales mínimas de la Directiva, sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Suecia

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente dentro del ámbito de aplicación.

Las empresas pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades suecas conservan facultades formales de designación cuando el riesgo sistémico justifique la inclusión.

5. Marco de clasificación de entidades en Suecia

Las entidades se clasifican como:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y un seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Suecia sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Suecia

El régimen nacional de Suecia se alinea con el nivel de referencia de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades dentro del alcance deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro conforme a NIS2 en Suecia
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se recomienda alinearse con ISO/IEC 27001 y con las directrices suecas de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Suecia

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación.

En el marco normativo de Suecia:

• Los consejos son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad. Conforme a la Cybersäkerhetslagen, la formación de la dirección en medidas de seguridad es una obligación sancionable — las personas que participan en la dirección deben recibir formación en medidas de gestión de riesgos de ciberseguridad.
• Las sanciones administrativas pueden abordar los fallos de gobernanza.
• Los miembros de los órganos de dirección de entidades esenciales pueden, en determinadas situaciones, estar sujetos a una prohibición temporal de ejercer funciones directivas como medida de ejecución.

Las expectativas en Suecia sobre la responsabilidad de la dirección en NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Suecia

9. Autoridades de supervisión y modelo de aplicación en Suecia

MSB (Myndigheten för samhällsskydd och beredskap) actúa como coordinador nacional, punto de contacto único de la UE y CSIRT nacional; renombrada MCF (Myndigheten för civilt försvar — Agencia Sueca de Defensa Civil y Resiliencia) desde el 1 de enero de 2026. MSB/MCF es la autoridad designada para recibir las notificaciones de incidentes significativos en la mayoría de sectores.

Suecia opera un modelo de supervisión descentralizado; las autoridades sectoriales supervisan las entidades de su sector. PTS (Post- och telestyrelsen — Agencia Sueca de Correos y Telecomunicaciones) emite reglamentación y supervisa la infraestructura digital, los proveedores digitales, la gestión de servicios TIC (B2B), el espacio y los servicios postales y de mensajería. MSB/MCF cubre la mayoría de los demás sectores; algunos sectores pueden tener autoridades de supervisión adicionales designadas.

Las facultades de supervisión incluyen:

• Solicitudes de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de Directiva.

10. Multas y sanciones de NIS2 en Suecia

Suecia aplica sanciones administrativas alineadas con la Directiva.

Las medidas de ejecución de NIS2 en Suecia también pueden incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de entidades no conformes
• Suspensión de autorizaciones o certificaciones
• Prohibición temporal de ejercer funciones directivas (para miembros de órganos de dirección de entidades esenciales, en determinadas situaciones)

Hasta 7 millones de € o el 1,4 % del volumen de negocios anual global total (el importe que sea mayor)

11. Seguridad de la cadena de suministro y de proveedores en Suecia según NIS2

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgo de proveedores
• Cláusulas contractuales de transmisión en cascada de requisitos de seguridad
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Suecia se alinea con las expectativas básicas de la Directiva en materia de gestión de riesgos de proveedores.

12. Obligaciones de registro y autoidentificación en Suecia

Las entidades dentro del ámbito de aplicación deben:

• Registrarse ante la autoridad sectorial de supervisión competente — MSB/MCF para la mayoría de sectores o PTS para infraestructura digital, proveedores digitales, gestión de servicios TIC (B2B), espacio y servicios postales y de mensajería. El registro debe realizarse lo antes posible desde el 15 de enero de 2026; el plazo inicial de registro para entidades en ámbito era el 16 de febrero de 2026 (ya vencido). El portal de notificación de MSB/MCF se activó el 2 de febrero de 2026.
• Proporcionar datos de identificación corporativa
• Divulgar la clasificación sectorial — la autoridad de supervisión utiliza la información de registro para clasificar a las entidades como esenciales o importantes
• Mantener actualizados los contactos de notificación

La Cybersäkerhetslagen aplica un enfoque de entidad completa: si una entidad está en ámbito, el cumplimiento se aplica a toda su huella informática. Los reglamentos complementarios de MSB/MCF y PTS (sobre notificación, medidas de seguridad, formación y notificación de incidentes) se han emitido desde el 15 de enero de 2026, y se esperan más reglamentos hasta el primer trimestre de 2026.

La autoidentificación es obligatoria. Las entidades que hayan incumplido el plazo de registro del 16 de febrero de 2026 deben actuar de inmediato, ya que el registro es una obligación sancionable.

13. Interacción con el RGPD y otras leyes en Suecia

El Reglamento General de Protección de Datos sigue aplicándose en paralelo.

Las consideraciones sobre solapamientos incluyen:

• Notificación de violación de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Suecia están supervisadas por las autoridades suecas para los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrecen servicios en Suecia pueden estar sujetos a obligaciones nacionales según su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios al mercado sueco.

15. Calendario de implementación en Suecia

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Cybersäkerhetslagen (SFS 2025:1506) aprobada por el Riksdag el 10 de diciembre de 2025; Cybersäkerhetsförordningen dictada en paralelo; sustituye a la Ley 2018:1174
• Entrada en vigor: 15 de enero de 2026, con reglamentos complementarios efectivos desde la misma fecha
• Notificación a la Comisión: Dictamen motivado de la CE del 7 de mayo de 2025; resuelto tras la adopción y entrada en vigor
• Hito de cumplimiento: Plazo de registro 16 de febrero de 2026 (vencido); todas las obligaciones aplican de inmediato desde el 15 de enero de 2026 sin periodo de gracia general; portal de notificación MSB/MCF activo desde el 2 de febrero de 2026

Suecia completó su transposición de la NIS2 el 15 de enero de 2026 tras incumplir el plazo de la UE. Todas las obligaciones se aplican de inmediato sin periodo de gracia. El plazo de registro del 16 de febrero de 2026 ha vencido — las entidades aún no registradas deben actuar de inmediato.

16. Puntos clave para las pymes en Suecia

• Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito. La Cybersäkerhetslagen está en vigor desde el 15 de enero de 2026 y aplica un enfoque de entidad completa.
• Las entidades pequeñas pueden designarse si son críticas para la estabilidad nacional o económica.
• La supervisión a nivel del consejo es obligatoria. La formación de la dirección en medidas de seguridad es una obligación sancionable, y los miembros de los órganos de dirección de entidades esenciales pueden enfrentarse a una prohibición temporal de ejercer funciones directivas.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes, con informes remitidos a MSB/MCF (o a la autoridad sectorial competente). Los proveedores de servicios de confianza deben presentar tanto la alerta temprana como la notificación de incidente en un plazo de 24 horas.
• Las sanciones económicas pueden alcanzar 10 millones de € o el 2% del volumen de negocios global.
• Se exige la gestión de riesgos de proveedores.
• El plazo de registro del 16 de febrero de 2026 ha vencido — regístrese de inmediato ante la autoridad de supervisión competente (MSB/MCF para la mayoría de sectores; PTS para sectores digitales). Todas las obligaciones se aplican desde el 15 de enero de 2026 sin periodo de gracia, y los reglamentos complementarios continúan emitiéndose y deben vigilarse.

Preguntas frecuentes: Guía NIS2 para pymes en Suecia