La Directiva (UE) 2022/2555, también conocida como NIS 2, es una normativa del Parlamento Europeo y del Consejo de la Unión Europea que tiene como objetivo garantizar un elevado nivel común de ciberseguridad en toda la Unión. Se publicó el 27 de diciembre de 2022. Explicamos en este post algunos de sus principales objetivos, así como su ámbito de aplicación y plazos para su obligatoria trasposición a las normativas nacionales.

Esta directiva establece principalmente obligaciones de ciberseguridad para los estados miembros, y medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación.

La Directiva (UE) 2022/2555 (NIS 2) modifica el Reglamento (UE) N.º 910/2014 y la Directiva (UE) 2018/1972, y deroga la Directiva (UE) 2016/114812. Esta última, conocida como Directiva NIS, tenía como objetivo desarrollar ciberseguridad en la Unión Europea, reducir las amenazas para los sistemas de redes y de información utilizados para prestar servicios esenciales en sectores fundamentales, y garantizar la continuidad de estos en caso de incidentes. La Directiva NIS 2 amplía su ámbito de aplicación, simplifica las obligaciones de notificación y establece una supervisión más rigurosa. 

La NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa y simplifica el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis.

¿Cuál es el objeto de la directiva NIS2?

La Directiva NIS 2 busca eliminar las divergencias pronunciadas entre los Estados miembros en la aplicación de la Directiva NIS de 2016. Define normas mínimas relativas al funcionamiento de un marco regulador coordinado, y establece mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, actualizando la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y disponiendo de vías de recurso y medidas de ejecución eficaces que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones.

A estos efectos, en su artículo 1, establece que los estados miembros deben adoptar estrategias nacionales de ciberseguridad y designar autoridades competentes para la gestión de crisis, puntos de contacto únicos y equipos de respuesta a incidentes de seguridad (CSIRT).

En España disponemos de la Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional, y del Consejo Nacional de Ciberseguridad, aparte de distintos organismos que promueven la seguridad y ciberseguridad como el INCIBE o el CCN-CERT (entre otros).

Entre las medidas establecidas por la normativa está el establecimiento de medidas para la gestión de riesgos de ciberseguridad, la identificación de entidades esenciales e importantes dentro de los sectores, así como el establecimiento de normas y obligaciones respecto al intercambio de información sobre ciberseguridad.

En Europa existe el Grupo de cooperación NIS que dispone de varias directrices (no vinculantes), para la implantación efectiva y coherente de Directiva NIS. 

¿A quién aplica la directiva NIS2?

Esta directiva se aplica a un total de 18 sectores, divididos en sectores de alta criticidad (como energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, entre otros) y otros sectores críticos (como investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos). Estos sectores vienen especificados en su Anexo I (Sectores de alta criticidad) y Anexo II (Otros sectores críticos).

En su artículo 2, sobre el ámbito de aplicación, establece que aplicará a todas las entidades públicas o privadas, de cualquiera de los sectores establecidos en los anexos I y II, consideradas como medianas empresas.

También aplicará a las entidades de los sectores de los Anexos I y II, sea cual sea su tamaño, cuando sean proveedores de redes públicas o servicios de comunicaciones electrónicas para el sector público, prestadores de servicios de confianza, registros de nombre de dominio de primer nivel, cuando sean el único proveedor de un servicio esencial, cuando el servicio prestado tenga repercusiones significativas sobre la seguridad pública, pueda inducir riesgos sistémicos significativos o sea crítica por su importancia a nivel nacional.

La directiva NIS 2 distingue en su artículo 3, dos tipos de entidades: entidades esenciales y entidades importantes. Para garantizar una visión clara de las entidades incluidas en el ámbito de aplicación, los Estados miembros deben elaborar una lista de las entidades esenciales e importantes y de las que prestan servicios de registro de nombres de dominio, antes del 18 de abril de 2025, debiendo actualizarla al menos cada 2 años.

¿Cuándo entra en vigor?

A diferencia de los reglamentos y las decisiones, las directivas no son de aplicación directa en todos los Estados miembros, sino que exigen que las leyes nacionales incorporen sus normas en la legislación nacional.

La Directiva NIS 2 fue aprobada publicada en el Diario Oficial de la UE (DOUE) el 27 de diciembre de 2022, y entró en vigor el 16 de enero de 2023. Los Estados miembros tienen un plazo de 21 meses para trasponer los nuevos elementos de la directiva a la legislación nacional, debiendo completarse a más tardar el 17 de octubre de este año (2024), (tal y como establece en su artículo 41), debiendo aplicarse a partir del 18 de octubre de 2024.

¿Qué tipo de sanción puede originar su incumplimiento?

A falta de la normativa nacional, que tienen como límite el 17 de enero de 2025 para comunicar el régimen sancionador aplicable, la directiva establece multas de hasta 10 millones de euros o un máximo del 2% del volumen anual del negocio para entidades esenciales, y hasta 7 millones de euros o un máximo del 1,4% del volumen de negocio anual para entidades importantes.

La Directiva NIS 2 representa un paso crucial hacia la protección de infraestructuras críticas y la promoción de la resiliencia cibernética en toda Europa, y desde CIBERSO contamos con un área de Gobierno, Riesgo y Cumplimiento, respaldada por años de experiencia y un equipo altamente capacitado que está a la vanguardia de las últimas tendencias y tecnologías en ciberseguridad. Desde el equipo de CIBERSO estamos preparados para guiar a través de este desafío, brindando soluciones personalizadas y un enfoque proactivo para cumplir con los requisitos establecidos.

Confía en nosotros para asegurar tu infraestructura digital. ¡Prepárate para el futuro de la seguridad digital con CIBERSO a tu lado!