Skip to main content
Noticias

Directiva NIS2

La Directiva (UE) 2022/2555,conocida como Directiva NIS2, es una legislación importante que busca garantizar un alto nivel de ciberseguridad en toda la Unión Europea, incluida España. Esta directiva se centra en varias áreas clave:

¿En qué consiste?

La Directiva NIS 2 amplía el ámbito de aplicación de la ciberseguridad a una parte más extensa de la economía para cubrir sectores y servicios vitales. Establece normas mínimas relativas al funcionamiento de un marco regulador coordinado, promueve la cooperación eficaz entre las autoridades competentes de los Estados miembros y actualiza la lista de sectores y actividades sujetos a obligaciones de ciberseguridad.

¿A quién afecta?

Esta directiva aplica a 18 sectores divididos en sectores de alta criticidad (11 sectores) y otros sectores críticos (7 sectores). Los sectores de alta criticidad incluyen energía, banca, infraestructuras financieras, sector sanitario, transporte, infraestructura digital, entre otros. Se distingue entre entidades esenciales y entidades importantes, abarcando desde grandes empresas hasta ciertas pequeñas empresas y microempresas que cumplen con criterios específicos.

¿Qué sanciones tiene si no se cumple?

Los Estados miembros, incluido España, tienen la facultad de imponer sanciones administrativas a las entidades que incumplan con los requisitos de la Directiva NIS 2. Las sanciones deben ser efectivas, proporcionales y disuasorias. Para las entidades esenciales, las sanciones pueden alcanzar hasta 10 millones de euros o un máximo del 2% del volumen de negocio anual total, y para las entidades importantes, hasta 7 millones de euros o un máximo del 1.4% del volumen de negocio anual.

¿Hay obligatoriedad de comunicar incidentes?

Sí, la Directiva NIS 2 estipula que las entidades esenciales e importantes deben notificar a su CSIRT de referencia o a la autoridad competente cualquier incidente significativo que afecte la prestación de sus servicios. La notificación debe seguir un flujo específico que incluye una alerta temprana, una actualización y un informe final detallado.

Resumen Final

La Directiva (UE) 2022/2555 es una legislación integral que busca fortalecer la ciberseguridad en la Unión Europea, incluida España. Afecta a una amplia gama de sectores críticos y establece obligaciones detalladas para la gestión de riesgos de ciberseguridad y la notificación de incidentes. Con sanciones significativas para el incumplimiento y un énfasis en la cooperación entre los Estados miembros, esta directiva representa un esfuerzo serio y coordinado para proteger las infraestructuras esenciales de las amenazas cibernéticas.

Para más detalles, puedes consultar el texto completo de la directiva en el sitio web de la Administración Electrónica del Gobierno de España.