Directiva NIS 2

Cumple con la Legislación, protege tus sistemas de información, prevé ataques y garantiza la seguridad de tus servicios.

Somos consultores expertos en Seguridad de la Información.

¿Qué es la Directiva NIS 2?

NIS 2 (Network and Information Security), también conocido como la Directiva (UE) 2022/2555, establece ciertas obligaciones que han de cumplirse en los Estados miembros de la Unión Europea para garantizar un elevado nivel común de ciberseguridad

Los sujetos obligados deberán de implementar medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad de las redes y sistemas de información.

Entre estas obligaciones, encontramos:

Obligaciones para la gestión de riesgos de ciberseguridad.
Obligaciones de notificación para las entidades en su ámbito de aplicación.
Obligaciones relativas al intercambio de información sobre ciberseguridad.
Obligaciones de supervisión y ejecución para los Estados miembros.

¿Qué implica Directiva NIS 2?

La Directiva NIS 2 promueve la cooperación y la coordinación entre los países de la UE en materia de seguridad de la información, lo que requiere que los Estados miembros:

Adopten estrategias de ciberseguridad
Designen o establezcan autoridades competentes
Denominen autoridades de gestión de crisis de ciberseguridad
Indiquen puntos de contacto únicos sobre ciberseguridad
Formen equipos de respuesta a incidentes de seguridad informática (CSIRT).

Además, se han creado otros organismos como la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

Sectores a los que aplica la Directiva NIS 2

La Directiva NIS 2 diferencia dos tipos de sectores de aplicación: “Sectores de Alta Criticidad” y “Otros sectores críticos”.

En total, hay 18 sectores a los que aplica la Directiva NIS 2, siendo 11 los sectores de alta criticidad y 7 el resto de sectores críticos.

Además, la Directiva NIS 2 divide algunos sectores en subsectores específicos que facilitan la identificación por parte de las propias entidades.

Además, NIS 2 distingue dos tipos de entidades:

Entidades esenciales

Aquellas empresas que pertenecen a los sectores de alta criticidad
Prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel
Proveedores de servicios de DNS, independientemente de su tamaño.
Proveedores de redes públicas de comunicaciones electrónicas
Proveedores de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas
Entidades de la Administración pública
Cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial
Las entidades críticas identificadas por la Directiva CER
Las entidades identificadas como operadores de servicios esenciales de conformidad con la anterior Directiva NIS.

Entidades Importantes

Todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.

¿A qué empresas afecta la Directiva NIS 2?

La Directiva NIS 2 será de obligado cumplimiento para:

Empresas medianas: aquellas con entre 50 y 250 empleados y entre 10 y 50 millones de euros en ingresos anuales.
Grandes organizaciones: aquellas con más de 250 empleados y más de 50 millones de euros en ingresos anuales.

Asimismo, independientemente del tamaño, la Directiva NIS 2 aplicará a las entidades cuando:

Los servicios sean prestados por:

Proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;
Prestadores de servicio de confianza;
Registros de nombres de dominio de primer nivel y proveedores de servicio de sistema de nombres de dominio;
Entidades que sean el único proveedor en un Estado miembro de un servicio esencial;
Entidades en las que una perturbación del servicio prestado pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
Entidades en las que una perturbación del servicio prestado pudiera incluir riesgos sistemáticos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;
Entidades que sean críticas a la luz de su importancia específica a nivel nacional o regional;
Entidades de la administración pública central o regional definida por un Estado miembro;
Entidades identificadas como entidad crítica con arreglo a la “Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas” (en adelante, Directiva CER);
Entidades que presten servicios de registro de nombres de dominio;
Si así lo dispone el Estado miembro, entidades de la Administración pública a nivel local o centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación.

¿Quieres saber más?

Visita nuestro artículo de “Empresas afectadas por la Directiva NIS 2: Entidades esenciales y entidades importantes”:

Ver artículo

¿Quieres certificarte en la Directiva NIS 2?
Nosotros te ayudamos a cumplir sus requisitos

Pedir presupuesto

Organismos vinculados a la Directiva NIS 2

Equipos de respuesta a incidentes de seguridad informática (CSIRT)

Prestarán asistencia a las entidades esenciales y afectadas por cualquier incidente.

Autoridades competentes

Realizarán inspecciones, análisis de seguridad o auditorías hacia las empresas interesadas en la Directiva.

Red de CSIRTs

Formado por representantes de los CSIRTs y el Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la Unión (CERT-EU), para intercambiar información de incidentes, ciberamenazas y otras cosas de interés.

Red europea de organizaciones de enlace para la crisis de ciberseguridad (EU-CyCLONe)

Formada por la Autoridades de Gestión de Crisis de Ciberseguridad de los Estados miembro y la Comisión, para respaldar la gestión coordinada de los incidentes y crisis de ciberseguridad a gran escala en caso de ciberincidentes.

Punto de contacto único

Asegurará la cooperación transfronteriza entre todas las Autoridades Competentes designadas en dicho Estado.

Grupo de Cooperación

Formado por representantes de los Estados miembro, la Comisión y ENISA, para proporcionar a las autoridades competentes orientación con la transposición y aplicación de la Directiva, desarrollo y ejecución de políticas sobre divulgación coordinada de vulnerabilidades, intercambio de buenas prácticas e información relacionada con la aplicación de la Directiva, ciberamenazas, vulnerabilidades, etc.

Sanciones por incumplimiento de la
Directiva NIS 2

Los Estados miembro de la Unión Europea podrán sancionar a las empresas que no cumplan con los requisitos de la Directiva NIS 2 (especialmente los establecidos en los artículos 21 y 23, relativos a las medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación respectivamente)

Estas sanciones variarán según el tipo de entidad:

Para las entidades esenciales, sanciones de hasta 10 millones de euros o un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.
Para las entidades importantes, sanciones de hasta 7 millones de euros o un máximo de un 1.4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

Los Estados miembro tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.

Entrada en vigor de la
Directiva NIS 2

Los Estados miembros tienen hasta el 17 de octubre de 2024 para realizar la transposición y adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la Directiva NIS 2.

¿Cómo implementar la Directiva NIS 2?

Si quieres garantizar la seguridad de tus servicios y proteger los intereses de la Unión Europea en materia de seguridad de la información, has de implementar la Directiva NIS 2 en tu entidad.

Desde Grupo Ingertec te brindamos nuestra ayuda y asesoramiento en todo el proceso.

¡NO TE QUEDES ATRÁS Y CERTIFÍCATE!
De forma sencilla, rápida y económica

Pedir presupuesto

¿Qué obtengo al contratar a INGERTEC?

+20

años en el mercado

+4000

clientes

100%

empresas certificadas a la primera

90%

clientes que repiten