El 17 de octubre de 2024 estaba marcado en nuestros calendarios como la fecha máxima para que los Estados miembros de la Unión Europea realizarán la transposición de la Directiva NIS2 dentro de su marco regulatorio, publicando las medidas necesarias para dar cumplimiento a esta normativa.

Semanas más tarde de la fecha límite, nos encontramos en España sin novedades acerca de esta transposición. Sin embargo, esto NO exime del cumplimiento de esta normativa de ciberseguridad a las empresas españolas afectadas.

Al ser una Directiva Europea, podemos ampliar la vista a otros países y ver sus avances en el tratamiento de esta regulación, y así, darnos una idea de los pasos que debería de dar España en la transposición. En concreto, encontramos a:

  • Bélgica: En abril de 2024 se votó el proyecto de ley, y actualmente se están ultimando los detalles prácticos para su aplicación.
  • Alemania: Aunque ya se han publicado varias versiones de su proyecto de ley, la transposición completa está prevista para 2025.
  • Francia: La ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) está liderando la transposición de NIS 2 mediante un enfoque colaborativo que incluye la participación activa de todas las partes interesadas.
  • Croacia: En febrero de 2024, entró en vigor la Ley de Seguridad Cibernética de Croacia (CSA), lo que ha permitido una adopción parcial de NIS 2. Croacia lidera la lista como uno de los países más avanzados en la transposición de NIS2.
  • Hungría: Completó la transposición de la directiva en mayo de 2023 con la adopción de la Ley 23 de 2023, que regula la certificación y supervisión en ciberseguridad.

En España seguimos esperando a que la administración mueva ficha en la alineación con Europa. Sin embargo, desde Grupo Ingertec, ya hemos comenzado a dar los primeros pasos en varios proyectos de adaptación a NIS2, tomando como referencia el texto original de la Directiva (UE) 2022/2555, para, llegado el momento, simplemente hacer pequeños ajustes según la transposición.

Recordemos, ¿a quién afecta NIS2?

NIS2 afecta a empresas que cumplan con los siguientes 3 criterios:

  • Ubicación: si las empresas proveen o desarrollan actividades en algún país de la UE, estén o no ubicadas ahí.
  • Tamaño:
    • Medianas empresas: entre 50 y 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
    • Grandes empresas: más de 250 personas y empresas cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
  • Sector: si opera en alguno de los siguientes sectores:
    • Sectores de Alta Criticidad (11 sectores): energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC (Business to Business) y espacio.
    • Otros sectores críticos (7 sectores): investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.

Asimismo, independientemente del tamaño, la Directiva NIS 2 aplicará a las entidades cuando preste los siguientes servicios:

  • Proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;
  • Prestadores de servicio de confianza;
  • Registros de nombres de dominio de primer nivel y proveedores de servicio de sistema de nombres de dominio;
  • Entidades que sean el único proveedor en un Estado miembro de un servicio esencial;
  • Entidades en las que una perturbación del servicio prestado pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
  • Entidades en las que una perturbación del servicio prestado pudiera incluir riesgos sistemáticos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;
  • Entidades que sean críticas a la luz de su importancia específica a nivel nacional o regional;
  • Entidades de la administración pública central o regional definida por un Estado miembro;
  • Entidades identificadas como entidad crítica con arreglo a la “Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas” (en adelante, Directiva CER);
  • Entidades que presten servicios de registro de nombres de dominio;
  • Si así lo dispone el Estado miembro, entidades de la Administración pública a nivel local o centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación.

¿Tu organización está obligada a cumplir con la Directiva NIS2?

Ante la duda de si tu empresa se ve afectada por NIS2, desde Ingertec hemos creado un sencillo cuestionario para poder tomar las medidas adecuadas.

Rellénalo y nuestros consultores expertos contactarán contigo.

¿Quieres implementar la Directiva NIS 2 en tu empresa?

El equipo de consultores expertos en TI de Grupo Ingertec, te ayudará a implementar la Directiva NIS 2 en tu empresa para garantizar el elevado nivel común de ciberseguridad que ha de cumplirse en los Estados miembros de la Unión Europea.

Con más de 20 años en el mercado, contamos con la experiencia y el mejor equipo consultor, quienes te apoyarán en todo momento.

¡No lo dudes más y contáctanos!