Directiva NIS 2

Cumple con la Legislación, protege tus sistemas de información, prevé ataques y garantiza la seguridad de tus servicios.

  • Somos consultores expertos en Seguridad de la Información.

¿Qué es la Directiva NIS 2?

NIS 2 (Network and Information Security), también conocido como la Directiva (UE) 2022/2555, establece ciertas obligaciones que han de cumplirse en los Estados miembros de la Unión Europea para garantizar un elevado nivel común de ciberseguridad

Los sujetos obligados deberán de implementar medidas técnicas, operativas y organizativas para gestionar los riesgos de seguridad de las redes y sistemas de información.

Entre estas obligaciones, encontramos:

  • Obligaciones para la gestión de riesgos de ciberseguridad.
  • Obligaciones de notificación para las entidades en su ámbito de aplicación.
  • Obligaciones relativas al intercambio de información sobre ciberseguridad.
  • Obligaciones de supervisión y ejecución para los Estados miembros.

¿Qué implica Directiva NIS 2?

La Directiva NIS 2 promueve la cooperación y la coordinación entre los países de la UE en materia de seguridad de la información, lo que requiere que los Estados miembros:

  • Adopten estrategias de ciberseguridad
  • Designen o establezcan autoridades competentes
  • Denominen autoridades de gestión de crisis de ciberseguridad
  • Indiquen puntos de contacto únicos sobre ciberseguridad
  • Formen equipos de respuesta a incidentes de seguridad informática (CSIRT).

Además, se han creado otros organismos como la Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe) y la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

Sectores a los que aplica la Directiva NIS 2

La Directiva NIS 2 diferencia dos tipos de sectores de aplicación: “Sectores de Alta Criticidad” y “Otros sectores críticos”.

En total, hay 18 sectores a los que aplica la Directiva NIS 2, siendo 11 los sectores de alta criticidad y 7 el resto de sectores críticos.

Además, la Directiva NIS 2 divide algunos sectores en subsectores específicos que facilitan la identificación por parte de las propias entidades.

Además, NIS 2 distingue dos tipos de entidades:

  • Aquellas empresas que pertenecen a los sectores de alta criticidad
  • Prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel
  • Proveedores de servicios de DNS, independientemente de su tamaño. 
  • Proveedores de redes públicas de comunicaciones electrónicas
  • Proveedores de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas
  • Entidades de la Administración pública
  • Cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial
  • Las entidades críticas identificadas por la Directiva CER
  • Las entidades identificadas como operadores de servicios esenciales de conformidad con la anterior Directiva NIS.
  • Todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.
Sectores críticos Nis 2

¿A qué empresas afecta la Directiva NIS 2?

La Directiva NIS 2 será de obligado cumplimiento para:

  • Empresas medianas: aquellas con entre 50 y 250 empleados y entre 10 y 50 millones de euros en ingresos anuales.

  • Grandes organizaciones: aquellas con más de 250 empleados y más de 50 millones de euros en ingresos anuales.

Asimismo, independientemente del tamaño, la Directiva NIS 2 aplicará a las entidades cuando:

  • Proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;
  • Prestadores de servicio de confianza;
  • Registros de nombres de dominio de primer nivel y proveedores de servicio de sistema de nombres de dominio;
  • Entidades que sean el único proveedor en un Estado miembro de un servicio esencial;
  • Entidades en las que una perturbación del servicio prestado pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
  • Entidades en las que una perturbación del servicio prestado pudiera incluir riesgos sistemáticos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;
  • Entidades que sean críticas a la luz de su importancia específica a nivel nacional o regional;
  • Entidades de la administración pública central o regional definida por un Estado miembro;
  • Entidades identificadas como entidad crítica con arreglo a la “Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas” (en adelante, Directiva CER);
  • Entidades que presten servicios de registro de nombres de dominio;
  • Si así lo dispone el Estado miembro, entidades de la Administración pública a nivel local o centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación.

¿Quieres saber más?

Visita nuestro artículo de “Empresas afectadas por la Directiva NIS 2: Entidades esenciales y entidades importantes”:

¿Quieres certificarte en la Directiva NIS 2?
Nosotros te ayudamos a cumplir sus requisitos

Organismos vinculados a la Directiva NIS 2

Prestarán asistencia a las entidades esenciales y afectadas por cualquier incidente.

Realizarán inspecciones, análisis de seguridad o auditorías hacia las empresas interesadas en la Directiva.

Formado por representantes de los CSIRTs y el Equipo de Respuesta a Emergencias Informáticas de las instituciones, órganos y organismos de la Unión (CERT-EU), para intercambiar información de incidentes, ciberamenazas y otras cosas de interés.

Formada por la Autoridades de Gestión de Crisis de Ciberseguridad de los Estados miembro y la Comisión, para respaldar la gestión coordinada de los incidentes y crisis de ciberseguridad a gran escala en caso de ciberincidentes.

Asegurará la cooperación transfronteriza entre todas las Autoridades Competentes designadas en dicho Estado.

Formado por representantes de los Estados miembro, la Comisión y ENISA, para proporcionar a las autoridades competentes orientación con la transposición y aplicación de la Directiva, desarrollo y ejecución de políticas sobre divulgación coordinada de vulnerabilidades, intercambio de buenas prácticas e información relacionada con la aplicación de la Directiva, ciberamenazas, vulnerabilidades, etc.

Organismos vinculados Nis 2

Sanciones por incumplimiento de la
Directiva NIS 2

Los Estados miembro de la Unión Europea podrán sancionar a las empresas que no cumplan con los requisitos de la Directiva NIS 2 (especialmente los establecidos en los artículos 21 y 23, relativos a las medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación respectivamente)

Estas sanciones variarán según el tipo de entidad:

  • Para las entidades esenciales, sanciones de hasta 10 millones de euros o un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

  • Para las entidades importantes, sanciones de hasta 7 millones de euros o un máximo de un 1.4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

Los Estados miembro tendrán como fecha límite el 17 de enero de 2025 para comunicar el régimen de sanciones aplicables por incumplimiento a la Comisión Europea.

Entrada en vigor de la
Directiva NIS 2

Los Estados miembros tienen hasta el 17 de octubre de 2024 para realizar la transposición y adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la Directiva NIS 2.

¿Cómo implementar la Directiva NIS 2? 

Si quieres garantizar la seguridad de tus servicios y proteger los intereses de la Unión Europea en materia de seguridad de la información, has de implementar la Directiva NIS 2 en tu entidad.

Desde Grupo Ingertec te brindamos nuestra ayuda y asesoramiento en todo el proceso.

¡NO TE QUEDES ATRÁS Y CERTIFÍCATE!
De forma sencilla, rápida y económica

Artículos
relacionados

Pide tu PRESUPUESTO

Completa el formulario y te contactaremos lo más pronto posible