Compliance & Legal
Implantación Directiva NIS2
Refuerza la ciberseguridad en la UE, enfocándose en mayor responsabilidad corporativa, mejor cooperación y mayor protección de infraestructuras críticas frente a las ciberamenazas
Implantamos la Directiva NIS2 en tu empresa
La Directiva 2022/2555 del Parlamento Europeo y del Consejo, conocida como NIS2 (Network and Information Security Directive 2), es la legislación en materia de ciberseguridad adoptada para toda la Unión Europea. Proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE y la resiliencia de las infraestructuras críticas y de los servicios digitales en Europa.
Establece obligaciones de ciberseguridad, de supervisión y ejecución para los Estados miembros, medidas para la gestión de riesgos y obligaciones de notificación para las entidades en su ámbito de aplicación y relativas al intercambio de información sobre ciberseguridad.
Para una mejor adecuación de los requisitos de ciberseguridad exigibles a las entidades en su ámbito, la implantación de la Directiva NIS2 distingue entre entidades esenciales y entidades importantes. En cualquier caso, las agrupaciones de medidas de seguridad se aplicarán a ambos tipos de entidades, aunque con mayor nivel de exigencia a las entidades esenciales.
La Directiva NIS2 es una ley de alcance europeo que establece una serie de obligaciones en materia de ciberseguridad en vistas a impulsar un nivel común de ciberseguridad adecuado
¿A qué organizaciones/empresas afecta la NIS2?
La Directiva NIS2 afecta a todas las organizaciones de la UE, industriales y no industriales, incluidos sus proveedores, en sectores críticos:
- Afecta a las entidades que pertenezcan a sectores de alta criticidad y a otros sectores críticos, tanto del sector público como del sector privado que se consideren medianas o grandes empresas.
- Con independencia de su tamaño, la implantación de la Directiva NIS2 también afecta a:
- Entidades pertenecientes a otros sectores críticos, cuando se trate de:
- Proveedores de redes públicas o de servicios de comunicaciones electrónicas disponibles para el público.
- Prestadores de servicios de confianza, registros de nombres de dominio de primer nivel y proveedores de servicios de DNS.
- Cuando la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.
- Cuando una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública.
- Cuando una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo.
- Cuando la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores.
- interdependientes en el Estado miembro.
- Entidades del sector público central o regional: De conformidad con el Derecho nacional, entidades de la Administración pública central o regional, que presten servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas.
- A criterio de cada Estado miembro: Adicionalmente, los Estados miembros podrán incorporar:
- A los centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación.
- La Administración pública local.
- Entidades críticas según otra Directiva europea: Entidades identificadas como críticas según se definen en el artículo 2.1 de la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas.
- Entidades pertenecientes a otros sectores críticos, cuando se trate de:
Empresas Esenciales e Importantes que han de implantar la Directiva NIS2
¿Cómo saber si mi empresa tiene que implantar la Directiva NIS2?
Tu empresa tiene que implantar obligatoriamente la Directiva NIS2 si llevan a cabo sus actividades en la UE o prestan sus servicios en la UE y está incluída en cualquiera de estos supuestos:
- Si forma parte de los sectores Esenciales o Importantes.
- Si cuenta con más de 250 empleados en nómina.
- Si factura anualmente más de 10 millones de euros.
- Si los servicios ofrecidos pueden tener un impacto significativo en la sociedad: seguridad, orden o salud pública.
- Si los servicios ofrecidos pueden tener un impacto significativo en una región determinada.
ESENCIALES
SECTORES
Las empresas que operan en sectores críticos, como la energía, el transporte, las finanzas, la salud y la administración pública
TAMAÑO
Las grandes empresas con más de 250 empleados o un volumen de negocio anual superior a 50 millones de euros
IMPACTO
Las empresas que proveen servicios considerados esenciales para la sociedad, incluso si no son grandes
IMPORTANTES
SECTORES
Las empresas que operan en sectores no críticos, pero que aún podrían tener un impacto significativo en la economía o la sociedad si sufren un incidente de ciberseguridad
TAMAÑO
Las empresas que no son esenciales, pero que tienen más de 50 empleados o un volumen de negocio anual superior a 10 millones de euros
IMPACTO
Las empresas que proveen servicios que, aunque no son esenciales, podrían tener un impacto significativo en un sector específico o en una región determinada
¿QUÉ PASA SI NO LA CUMPLO?
¿Y si aún teniendo que implantar la Directiva NIS2 decido no hacerlo?. Las empresas que entran en el ámbito de aplicación de la nueva directiva deben “ponerse manos a la obra” inmediatamente, puesto que el régimen sancionador que contempla es bastante severo. Podrían enfrentarse a una serie de implicaciones legales, incluidas elevadas multas y otras sanciones”
Como organización que debe cumplir con la NIS2, debes comprender tus obligaciones de cumplimiento y presentación de informes, y encontrar un socio que te ayude en el camino como Level4. Debes notificar a las autoridades correspondientes, sin demoras indebidas, sobre cualquier amenaza cibernética significativa que identifiques y que podría haber resultado en un incidente importante.
¿CÚANDO ENTRA EN VIGOR LA DIRECTIVA NIS2?
CRONOLOGÍA DE LA IMPLANTACIÓN DE LA DIRECTIVA NIS2
-
15 enero 2023
Entrada en vigor de la NIS2
-
17 julio 2024
Informe de la primera red de organizaciones de enlace en crisis cibernéticas (EU-CyCLONe)
-
17 octubre 2024
Los Estados miembros deben adoptar y publicar medidas para cumplir con la Directiva NIS2
-
17 enero 2025
La red CSIRT evalúa los avances realizados en la cooperación operativa
-
17 abril 2025
Los Estados miembros establecen una lista de entidades esenciales e importantes
-
17 octubre 2027
Revisión de las directrices
SANCIONES/MULTAS
El incumplimiento de los requisitos de la NIS2 puede acarrear sanciones significativas, incluidas multas de hasta 10 millones de euros o el 2% de la facturación anual global para las «Entidades Esenciales» y de hasta 7 millones de euros o el 1,4% de la facturación anual global para las «Entidades Importantes»
Principales objetivos de la Implantación de la Directiva NIS2
La Directiva NIS2 es una normativa europea adoptada en diciembre de 2020, que tiene como objetivo mejorar la ciberseguridad en toda la Unión Europea (UE). NIS2 es la evolución de la primera Directiva NIS, que fue introducida en 2016. Esta segunda versión responde a los desafíos crecientes en materia de ciberseguridad y busca reforzar la resiliencia de las infraestructuras críticas y los sistemas de información frente a los ciberataques.
Ampliación del alcance
NIS2 incluye a un mayor número de sectores y entidades, más allá de los “operadores esenciales” cubiertos por la primera directiva. Entre los nuevos sectores están: Energía, Transporte, Salud, Finanzas, Gestión de aguas, Infraestructura digital (proveedores de servicios en la nube, centros de datos) y Fabricación de productos críticos (químicos, dispositivos médicos, productos farmacéuticos…)
Estándares de seguridad más elevados
Se exige a las empresas y organizaciones que adopten medidas de ciberseguridad más estrictas, mejoren su capacidad de respuesta ante incidentes y fomenten la cooperación a nivel nacional y europeo
Gestión de riesgos
Las organizaciones deben identificar, evaluar y mitigar los riesgos cibernéticos. Además, NIS2 introduce sanciones más severas para aquellas entidades que no cumplan con los requisitos de ciberseguridad
Responsabilidad
Los responsables de las empresas (como los miembros de la junta directiva) serán responsables de la implementación de medidas de ciberseguridad, lo que eleva el nivel de compromiso en toda la estructura de gestión
Mejora de la cooperación y la información compartida
Se refuerza la cooperación entre los Estados miembros de la UE, las agencias nacionales de ciberseguridad y las empresas privadas para asegurar una respuesta más coordinada y eficaz ante los ciberataques. También se fomenta el intercambio de información sobre amenazas y vulnerabilidades entre entidades y países
Nuevos mecanismos de sanción
La directiva prevé sanciones económicas más severas para quienes no cumplan con las obligaciones. Esto incluye multas significativas, especialmente para las grandes organizaciones que descuiden sus responsabilidades en ciberseguridad
¿Qué cambia con la implantación de la Directiva NIS2?
Más sectores cubiertos
NIS2 amplía el espectro de sectores considerados críticos, como los servicios digitales o la fabricación de productos esenciales
Obligación de reportar incidentes
Las empresas deberán notificar a las autoridades competentes cualquier incidente de seguridad relevante, en un plazo más corto y con mayor detalle que en la versión anterior
Sanciones más estrictas
Los incumplimientos podrán llevar a multas que alcancen hasta un porcentaje del volumen de negocios global anual de la empresa, similar a lo que ocurre con el Reglamento General de Protección de Datos (RGPD)
La implantación de la Directiva NIS2 es un marco legal clave para reforzar la ciberseguridad en la Unión Europea, enfocándose en una mayor responsabilidad corporativa, una mejor cooperación a nivel europeo y una mayor protección de infraestructuras críticas frente a ciberamenazas
Sectores Esenciales de alta criticidad
Energía
- Electricidad
- Operadores de sistemas urbanos de calefacción y refrigeración
- Crudo
- Gas
- Hidrógeno
Transporte
- Transporte aéreo
- Transporte por ferrocarril
- Transporte marítimo y fluvial
- Transporte por carretera
Banca
- Entidades de crédito
Infraestructuras de los mercados financieros
- Gestores de centros de negociación
- Entidades de contrapartida central (ECC)
Sector sanitario
- Prestadores de asistencia sanitaria
- Laboratorios de referencia de la UE
- Medicamentos
Agua potable
- Suministradores y distribuidores de aguas destinadas al consumo humano
Aguas residuales
- Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales
Infraestructura digital
- Centros de datos
- Redes de telecomunicaciones
- Cloud providers
- Servicios de Internet y plataformas en línea
- Infraestructura de ciberseguridad
- Infraestructura de comunicación crítica
Entidades de la Administración pública, parlamentos y bancos centrales
- Entidades de la Administración pública central
- Entidades de la Administración pública a escala regional
Gestión de servicios TIC B2B
- Proveedores de servicios gestionados
- Proveedores de servicios de seguridad gestionados
Espacio
- Operadores de infraestructuras terrestres
