1. La presente Directiva se aplica a las entidades públicas o privadas de uno de los tipos contemplados en los anexos I o II que reúnan las condiciones para ser consideradas medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o superen los límites máximos para medianas empresas previstos en el apartado 1 de dicho artículo, y que presten sus servicios o ejerzan sus actividades en la Unión.
El apartado 4 del artículo 3 del anexo de dicha Recomendación no se aplicará a efectos de la presente Directiva.
2. Independientemente de su tamaño, la presente Directiva también se aplica a las entidades de uno de los tipos mencionados en los anexos I o II, cuando:
(a) los servicios son prestados por:
(i) proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público;
(ii) servicio fiduciarioServicio de confianza Significa un servicio electrónico prestado normalmente a cambio de una remuneración que consiste en: a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relacionados con dichos servicios, o b) la creación, verificación y validación de certificados para la autenticación de sitios web, o c) la conservación de firmas electrónicas, sellos o certificados relacionados con dichos servicios - Definición según el artículo 3, punto (16), del Reglamento (UE) nº 910/2014. proveedores;
(iii) registros de nombres de dominio de primer nivel y proveedores de servicios de sistemas de nombres de dominio;
(b) el entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas;
(c) la interrupción del servicio prestado por la entidad podría tener un impacto significativo en la seguridad pública, la seguridad pública o la salud pública;
(d) la perturbación del servicio prestado por la entidad podría inducir un problema sistémico significativo riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2), en particular para los sectores en los que dicha perturbación podría tener un impacto transfronterizo;
(e) la entidad es crítica debido a su importancia específica a nivel nacional o regional para el sector o tipo de servicio concreto, o para otros sectores interdependientes en el Estado miembro;
(f) la entidad es una entidad de la administración públicaEntidad de la Administración Pública Se trata de una entidad reconocida como tal en un Estado miembro de conformidad con la legislación nacional, sin incluir el poder judicial, los parlamentos ni los bancos centrales, que cumple los siguientes criterios (a) se crea para satisfacer necesidades de interés general y no tiene carácter industrial o comercial; (b) tiene personalidad jurídica o está facultada por ley para actuar en nombre de otra entidad con personalidad jurídica; (c) está financiada mayoritariamente por el Estado, los entes territoriales u otros organismos de Derecho público, está sometida a un control de gestión por parte de dichos entes u organismos, o dispone de un consejo de administración, de dirección o de vigilancia, más de la mitad de cuyos miembros son nombrados por el Estado, los entes territoriales u otros organismos de Derecho público; (d) está facultada para dirigir a personas físicas o jurídicas decisiones administrativas o reglamentarias que afecten a sus derechos en materia de circulación transfronteriza de personas, bienes, servicios o capitales. - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2):
(i) de la administración central, tal como la defina un Estado miembro de conformidad con la legislación nacional; o
(ii) a nivel regional, tal como lo defina un Estado miembro de conformidad con la legislación nacional que, tras una evaluación basada en el riesgo, preste servicios cuya interrupción podría tener un impacto significativo en actividades sociales o económicas críticas.
3. Independientemente de su tamaño, la presente Directiva se aplica a las entidades identificadas como entidades críticas con arreglo a la Directiva (UE) 2022/2557.
4. Independientemente de su tamaño, la presente Directiva se aplica a las entidades que prestan servicios de registro de nombres de dominio.
5. Los Estados miembros podrán disponer que la presente Directiva se aplique a:
(a) entidades de la administración pública a nivel local;
(b) instituciones educativas, en particular cuando realizan actividades de investigación crítica.
6. La presente Directiva se entiende sin perjuicio de la responsabilidad de los Estados miembros de salvaguardar la seguridad nacional y de su facultad de salvaguardar otras funciones esenciales del Estado, incluida la garantía de la integridad territorial del Estado y el mantenimiento del orden público.
7. La presente Directiva no se aplica a las entidades de la administración pública que desarrollen sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de delitos.
8. Los Estados miembros podrán eximir a entidades específicas que lleven a cabo actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la prevención, investigación, detección y enjuiciamiento de delitos, o que presten servicios exclusivamente a las entidades de la administración pública a que se refiere el apartado 7 del presente artículo, de las obligaciones establecidas en los artículos 21 o 23 en relación con dichas actividades o servicios. En tales casos, las medidas de control y ejecución contempladas en el Capítulo VII no se aplicarán en relación con dichas actividades o servicios específicos. Cuando las entidades realicen actividades o presten servicios exclusivamente del tipo mencionado en el presente apartado, los Estados miembros podrán decidir también eximir a dichas entidades de las obligaciones establecidas en los artículos 3 y 27.
9. Los apartados 7 y 8 no se aplicarán cuando una entidad actúe como proveedor de servicios fiduciariosProveedor de servicios de confianza Persona física o jurídica que presta uno o varios servicios fiduciarios, ya sea como prestador de servicios fiduciarios cualificado o no cualificado - Definición según el artículo 3, punto 19, del Reglamento (UE) nº 910/2014..
10. La presente Directiva no se aplicará a las entidades que los Estados miembros hayan excluido del ámbito de aplicación del Reglamento (UE) 2022/2554 de conformidad con el artículo 2, apartado 4, de dicho Reglamento.
11. Las obligaciones establecidas en la presente Directiva no implicarán el suministro de información cuya divulgación sea contraria a los intereses esenciales de la seguridad nacional, la seguridad pública o la defensa de los Estados miembros.
12. La presente Directiva se aplica sin perjuicio del Reglamento (UE) 2016/679, la Directiva 2002/58/CE, las Directivas 2011/93/UE y 2013/40/UE del Parlamento Europeo y del Consejo y la Directiva (UE) 2022/2557.
13. Sin perjuicio de lo dispuesto en el artículo 346 del TFUE, la información que sea confidencial en virtud de normas de la Unión o nacionales, como las normas sobre confidencialidad empresarial, se intercambiará con la Comisión y otras autoridades pertinentes de conformidad con la presente Directiva únicamente cuando dicho intercambio sea necesario para la aplicación de la presente Directiva. La información intercambiada se limitará a la que sea pertinente y proporcionada a la finalidad de dicho intercambio. El intercambio de información preservará la confidencialidad de dicha información y protegerá la seguridad y los intereses comerciales de las entidades afectadas.
14. Las entidades, las autoridades competentes, las ventanillas únicas y los CSIRT tratarán los datos personales en la medida necesaria para los fines de la presente Directiva y de conformidad con el Reglamento (UE) 2016/679, en particular dicho tratamiento se basará en su artículo 6.
El tratamiento de datos personales con arreglo a la presente Directiva por los proveedores de redes públicas de comunicaciones electrónicas o los proveedores de servicios de comunicaciones electrónicas disponibles para el público se llevará a cabo de conformidad con la legislación de la Unión en materia de protección de datos y de la intimidad, en particular la Directiva 2002/58/CE.