Directiva NIS 2

Artículo

Directiva NIS 2, una nueva guía para la ciberseguridad europea

Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.

El pasado 27 de diciembre de 2022 se publicó la nueva “Directiva (UE) 2022/2555 del parlamento europeo y del consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión” (en adelante, Directiva NIS 2), cuyo objetivo es mejorar las medidas destinadas a garantizar un adecuado nivel común de ciberseguridad.

Directiva NIS 2

¿A quién aplica la Directiva NIS 2?

La Directiva NIS 2 aplica a un total de 18 sectores, los cuales se dividen en:

- Sectores de Alta Criticidad (11 sectores): energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC (Business to Business) y espacio.
- Otros sectores críticos (7 sectores): investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.

Además, NIS 2 distingue dos tipos de entidades:

- Entidades esenciales, que serán aquellas que pertenezcan a los sectores de alta criticidad, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial, las entidades críticas identificadas por la Directiva CER, y, si así lo dispone el Estado miembro, las entidades identificadas como operadores de servicios esenciales de conformidad con la anterior Directiva NIS.
- Entidades importantes, que serán todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.
 

Obligatoriedad de notificación de incidentes

La Directiva NIS 2 estipula que los Estados miembros deberán asegurar que las entidades esenciales e importantes notifiquen a su CSIRT de referencia, o a la autoridad competente, cualquier incidente que tenga un impacto significativo en la prestación de sus servicios. Estos impactos adquieren la denominación de significativo si han causado o pueden causar graves perturbaciones operativas de los servicios o pérdidas económicas en la entidad afectada y han afectado o pueden afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.


El flujo de notificación que propone la Directiva NIS 2 para los incidentes significativos es:

- Notificación inicial – Alerta temprana: en un plazo de 24 horas desde que se haya tenido constancia del incidente.
- Notificación intermedia – Actualización: pasadas 72 horas desde la detección del incidente, las entidades deberán actualizar el estado del incidente exponiendo una evaluación inicial.
- Notificación final – Presentación informe: a más tardar un mes después de la notificación del incidente, las entidades deberán presentar un informe final que recoja una descripción detallada del mismo (incluyendo gravedad, impacto, tipo de amenaza que haya provocado el incidente, medidas paliativas aplicadas y en curso y, si aplica, repercusiones transfronterizas).

Sanciones por el incumplimiento de la Directiva NIS 2

Los Estados miembro tendrán la posibilidad de imponer sanciones administrativas a las entidades que incumplan con los requisitos de la Directiva NIS 2, en especial los requisitos establecidos en los artículos 21 y 23, relativos a las medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación respectivamente.

Las sanciones deberán ser efectivas, proporcionales y disuasorias teniendo en cuenta las circunstancias en cada caso particular. A la hora de realizar la transposición y establecer el régimen sancionador los Estados miembro tomarán como referencia las siguientes cuantías en función del tipo de entidad:


- Para las entidades esenciales, las sanciones podrán ser, optándose por la de mayor cuantía, de hasta:

o 10.000.000 €.
o Un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

- Para las entidades importantes, las sanciones podrán ser, optándose por la de mayor cuantía, de hasta:

o 7.000.000 €.
o Un máximo de un 1.4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

Los Estados miembro tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.

Próximos pasos

A fecha de 17 de enero de 2023 ha comenzado el periodo de transposición de la Directiva NIS 2 por los Estados miembro de la UE, el cual finalizará el 17 de octubre de 2024.

De la misma forma, con fecha límite de 17 de enero de 2025, los Estados miembro deberán haber comunicado el régimen sancionador aplicable por incumplimiento y, para el 17 de abril de 2025 habrán elaborado una lista de entidades esenciales e importantes.