NIS Representation UE y Reino Unido FAQ

Question 1

¿El NIS sigue siendo aplicable en el Reino Unido?

Accepted Answer

A diferencia del RGPD, la Directiva NIS no es directamente aplicable en todos los Estados miembros, sino que todos los Estados miembros tuvieron que transponerla al Derecho nacional. Por lo tanto, aunque la ley NIS se basa en los requisitos legales europeos, está establecida en la legislación nacional del Reino Unido, por lo que el Brexit no ha afectado a su validez. Por ello, seguirá siendo aplicable después del período de transición.

Question 2

¿Quién debe cumplir con el NIS?

Accepted Answer

La Directiva sobre Seguridad de las Redes y Sistemas de Información (NIS) tiene por objeto lograr un estándar de seguridad de las redes y sistemas de la información más elevado y común a escala de la UE. Se dirige a:

- Operadores de Servicios Esenciales (OES), por ejemplo, en los sectores de energía, banca, transporte; y
- Proveedores de servicios digitales (DSP), que se dividen en tres grupos: motores de búsqueda en línea, mercados en línea y servicios de computación en la nube.

Se aplica a los DSP que

- tengan un establecimiento en la UE
- estén establecidos fuera de la UE, pero ofrezcan sus servicios dentro de la UE.

Question 3

¿Qué es un proveedor de servicios digitales?

Accepted Answer

Un proveedor de servicios digitales es cualquier persona jurídica que ofrece un servicio digital. Cabe señalar que no todos los servicios digitales se ven afectados por las obligaciones derivadas del NISD, sólo servicios específicos.

**Mercados en línea:** An online marketplace is a spot that allows consumers and traders to conduct online sales or service contracts with traders, and which function as the final destination for the conclusion of those contracts. Application stores, which operate as online stores enabling the digital distribution of applications or software programs from third parties, are a type of online marketplace.

El término no incluye los servicios en línea que sólo funcionan como intermediarios de servicios de terceros a través de los cuales se puede concluir el contrato en última instancia.

**Motores de búsqueda en línea:** An online search engine allows the user to perform searches of websites based on a query on any subject. It can also be focused on websites in certain languages.

Las funciones de búsqueda que se limitan al contenido de un sitio web específico, incluso si la función la proporciona un motor de búsqueda externo, no se incluyen en la Directiva NIS. Tampoco se incluyen los servicios en línea que comparan el precio de determinados productos o servicios de diferentes operadores y, a continuación, redirigen al usuario al operador preferido para comprar el producto.

**Servicios de Computación en la Nube:** Cloud computing services allow access to a scalable and elastic pool of shareable computing resources such as networks, servers or other infrastructure, storage, applications, and services. The NISD mentions three properties that a cloud computing service must have in order to be qualified as a cloud service:

- **Scalable Recursos: **Resources can be flexibly allocated by the cloud services provider, irrespective of the geographical location of the resources, in order to handle fluctuations in demand; and
- **Elastic Pool of Recursos:** Computing resources that are provisioned and released according to demand to rapidly increase and decrease resources available depending on workload; and
- **Compartibles: **Computing resources are provided to multiple users who share a common access to the service, but the processing is carried out separately for each user even though the service is provided from the same electronic equipment.

Diferentes modelos de negocio como IaaS (Infrastructure as a Service), PaaS (Platform as a Service) o SaaS (Software as a Service) se incluyen en la Directiva NIS.

Question 4

¿Ofrece mi empresa servicios en la UE o en el Reino Unido?

Accepted Answer

Al determinar si una empresa ofrece su servicio dentro de la UE o el Reino Unido, la información importante es a qué mercados planea ofrecer sus servicios. Para determinar la intención, se consideran diferentes factores. La mera accesibilidad del Proveedor de Servicios Digitales (DSP) o del sitio web de un intermediario, o el uso de un idioma que se utiliza generalmente en la región donde se establece el DSP, es insuficiente para determinar tal intención. En cambio, factores como el uso de una lengua o una moneda generalmente utilizada en uno o más Estados miembros o el Reino Unido, y la posibilidad de ordenar servicios en esa otra lengua, pueden ser un indicador de que el DSP tiene la intención de ofrecer sus servicios dentro de una región donde no tiene su establecimiento principal.

Question 5

¿Hay alguna exención de esta obligación?

Accepted Answer

Si su empresa no tiene un establecimiento en la UE o el Reino Unido, pero ofrece los servicios digitales mencionados en estas regiones, generalmente está obligado a nombrar un representante de NIS.

Sin embargo, la obligación de nombrar un representante no se aplica a las empresas que no excedan de un determinado tamaño. Quedan excluidas:

- **Pequeñas empresas**, which are defined as enterprises which employ less than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed 10 million; and
- **Microempresas**, which are defined as enterprises which employ less than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed 2 million

En resumen, esto significa que si su empresa tiene menos de 50 empleados y el volumen de negocios anual y/o el total anual del balance es inferior a 10 millones, no tiene que nombrar un representante.

Question 6

¿Cuáles son las principales obligaciones de los DSP en virtud de la Directiva NIS?

Accepted Answer

Cuando se trata de DSP, las principales obligaciones se establecen en el art. 16 de la Directiva NIS:

- **Medidas técnicas y organizativas:** DSPs must identify and take appropriate and proportionate technical and organisational measures to manage risks posed to the security of network and information systems which they use in the context of offering their services within the EU and UK.
- **Minimización de impacto:** DSPs must take measures to prevent and minimise the impact of incidents affecting the security of their network and information systems.
- **Obligación de Notificar/Representante:** DSPs must notify the relevant authority or the CSIRT when an incident occurs that has a substantial impact on the provision of their service offered in the EU or UK. In the event that a company does not have an establishment in the EU it will need to appoint a representative who acts on behalf of the company.

Question 7

¿Qué ley del NIS tengo que cumplir?

Accepted Answer

A diferencia del RGPD, que es una ley aplicable en todos los Estados miembros, el NISD ha sido aplicado individualmente por cada Estado miembro de la UE y el Reino Unido en sus propias leyes nacionales. La legislación nacional aplicable a su empresa se determina de la siguiente manera, suponiendo que su empresa sea un DSP y supere los umbrales pertinentes:

- If your company has one or more establishments within the EU then your company is governed by the jurisdiction of the Member State in which it has its main establishment (i.e. where your sede central is);
- Si su empresa tiene su establecimiento principal en el Reino Unido, se aplica el Reglamento de Redes y Sistemas de Información (2018);
- Si no está establecido dentro de la UE, pero está ofreciendo sus servicios dentro de la UE, tendrá que nombrar un representante establecido en un Estado miembro en el que ofrezca sus servicios. Entonces, se considerará que su empresa se somete a la jurisdicción del Estado miembro en el que está establecido el representante;
- Si no está establecido en el Reino Unido, pero está ofreciendo sus servicios allí, tendrá que nombrar un representante en el Reino Unido que estará bajo la jurisdicción del Reino Unido.

Question 8

¿Nuestra empresa tiene que nombrar un representante del Art. 18 de la Directiva NIS en la UE?

Accepted Answer

Según el Art. 18(2) de la Directiva NIS (y la mayoría de las transposiciones en el Derecho nacional), los Proveedores de Servicios Digitales (DSP) que;

- no están establecidos en la UE; y
- ofrecen determinados servicios digitales dentro de la UE

debe designar un representante en la UE que esté establecido en uno de los Estados miembros en los que se ofrezcan los servicios.

Después del Brexit, el Reino Unido es considerado un "tercer país" desde la perspectiva de la UE. Por lo tanto, un establecimiento en el Reino Unido ya no cuenta como un "establecimiento en un Estado miembro". En consecuencia, si usted es una empresa con sede en el Reino Unido sin un establecimiento en la UE pero está ofreciendo sus servicios allí, tendrá que nombrar un representante del Art. 18 en la UE.

Question 9

¿Nuestra empresa necesita un representante en el Reino Unido?

Accepted Answer

El Gobierno del Reino Unido ha declarado que las organizaciones

- con sede fuera del Reino Unido; y
- que ofrecen sus servicios en el Reino Unido

tendrán que cumplir con las regulaciones del NIS del Reino Unido y tendrá que nombrar un representante en el Reino Unido para finales de marzo de 2021.

Sin embargo, la legislación del Reino Unido establece exenciones para las pequeñas empresas. Si su empresa emplea a menos de 50 personas y su facturación anual y/o balance es inferior a 10 millones de euros, no tendrá que nombrar un representante en el Reino Unido.

Recursos: [OCI: La guía de las regulaciones NIS](https://ico.org.uk/for-organisations/the-guide-to-nis/key-concepts-and-definitions/) / [NIS para Proveedores de Servicios Digitales (DSP) no británicos que operan en el Reino Unido](https://www.gov.uk/guidance/nis-regulations-what-non-uk-digital-service-providers-operating-in-the-uk-should-do-from-1-january-2021)

Question 10

¿Cuáles son los requisitos para nombrar a un representante en el Reino Unido?

Accepted Answer

Deberá confirmar el nombramiento de su representante por escrito después de completar el proceso de registro proporcionado por la Oficina del Comisionado de Información (OCI). Su representante tendrá que cumplir con la ley del Reino Unido y debe ser contactable por la OIC o la NCSC. También actuará en su nombre en el cumplimiento de sus obligaciones legales bajo la ley NIS del Reino Unido, incluyendo la presentación de informes de incidentes.

Al nominar a su representante en el Reino Unido, debe indicarle a la OCI si:

- Have a sede central in an EU Member State;
- Ha designado a un representante en un Estado miembro de la UE;
- Está cumpliendo con una legislación equivalente en otro país;
- Está operando con redes y sistemas de información ubicados fuera del Reino Unido.

Recursos: [NIS para Proveedores de Servicios Digitales (DSP) no británicos que operan en el Reino Unido](https://www.gov.uk/guidance/nis-regulations-what-non-uk-digital-service-providers-operating-in-the-uk-should-do-from-1-january-2021)

Question 11

¿Necesitan ahora dos representantes las empresas que tienen su sede fuera de la UE y el Reino Unido?

Accepted Answer

Si su empresa no tiene un establecimiento dentro de la UE o del Reino Unido, pero está ofreciendo sus servicios a particulares de ambas regiones, tendrá que nombrar un representante en la UE y otro en el Reino Unido para cumplir con toda la legislación pertinente, que consiste por un lado en el derecho de la UE y su aplicación en los Estados miembros, y por otro en la legislación del Reino Unido. Tenga en cuenta que su representante en la UE debe estar establecido en uno de los Estados miembros en los que ofrece sus servicios. Su representante del Reino Unido debe establecerse en el Reino Unido.

Question 12

Estoy ofreciendo servicios dentro de la UE y nombré un representante del Art. 18 establecido en el Reino Unido antes del Brexit. ¿Y ahora qué?

Accepted Answer

Dado que su representante en el Reino Unido ya no cubrirá la representación de la UE después del Brexit, tendrá que nombrar un representante adicional que esté establecido en uno de los Estados miembros de la UE en los que se ofrece sus servicios.

Question 13

¿Cuáles son las posibles consecuencias del incumplimiento?

Accepted Answer

Dado que el Derecho de las NIS se basa en una directiva de la UE que se aplica de manera diferente en cada Estado miembro, no existe un importe universal de la sanción. Por ejemplo, en el Reino Unido las empresas incumplidoras pueden ser multadas con hasta 17.000.000 de libras esterlinas, mientras que en Austria las sanciones ascienden a 50.000 euros y llegando hasta los 100.000 euros en caso de reincidencia.

Además, las multas por no designar a un representante del NIS varían en cada Estado miembro. En la República Checa, por ejemplo, las empresas pueden ser multadas con hasta 40.000 euros por no designar a un representante en la UE.

Question 14

¿Cuáles son los requisitos generales al designar a un representante y cuáles son las obligaciones del representante?

Accepted Answer

El representante debe ser designado explícitamente a través de un mandato escrito por el Proveedor de Servicios Digitales.

Debería ser posible que las autoridades pertinentes o el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) se pongan en contacto con el representante, ya que el representante actuará como punto de contacto local. El representante actúa en nombre del DSP en relación con las obligaciones legales bajo la ley del NIS, incluyendo la presentación de informes de incidentes. El mandatario tendrá que cumplir con las leyes nacionales locales de donde se establezcan.

Question 15

¿Cómo cumple Prighter con estos requisitos?

Accepted Answer

Prighter tiene un proceso de incorporación íntegramente digital en el que se genera un Poder Notarial (PoA) y se puede firmar tanto en línea como en papel.

Prighter proporciona canales dedicados a la comunicación con las autoridades de protección de datos pertinentes.

¿Necesita mi empresa un representante de NIS?

Features and Services

Representación de NIS en la UE

NIS EU Registration

EU Authority Addressee

One-Stop-Shop

Representación de NIS en el Reino Unido

NIS UK Registration

UK Authority Addressee

Incluído en ambas representaciones del NIS:

Access Point

Certificate

SaaS Solution

Incident Response

Get NIS Ready

Tech Enabled

Gain Trust

Pricing