La Directiva NIS2 (Directiva (UE) 2022/2555) es una normativa de la Unión Europea diseñada para fortalecer la ciberseguridad en todos los Estados miembros. Entró en vigor en enero de 2023, reemplazando a la Directiva NIS original de 2016, con el objetivo de adaptarse a la creciente digitalización y al panorama evolutivo de las amenazas cibernéticas.
1. Ampliación del Ámbito de Aplicación
NIS2 amplía su alcance para incluir una variedad más amplia de sectores y entidades que se consideran esenciales para la economía y la sociedad. Esto incluye sectores como energía, transporte, agua, banca, infraestructuras del mercado financiero, salud e infraestructura digital. Además, se incorporan nuevos sectores emergentes, como servicios TIC, mercados financieros, investigación y química.
2. Requisitos de Seguridad y Notificación
Las entidades cubiertas por NIS2 están obligadas a implementar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad. Esto incluye la adopción de políticas de seguridad, gestión de incidentes y planes de continuidad de negocio. Además, deben notificar a las autoridades nacionales pertinentes sobre incidentes graves que
3. Clasificación de entidades
NIS2 clasifica las entidades en dos categorías principales: esenciales e importantes. Las entidades esenciales incluyen sectores como energía, transporte y salud, mientras que las entidades importantes abarcan sectores como servicios postales, gestión de residuos y fabricación de productos químicos. Esta clasificación determina el nivel de obligaciones y supervisión al que están sujetas las entidades.
4. Plazos de Transposición y Aplicación
Los Estados miembros de la UE tenían hasta el 17 de octubre de 2024 para transponer las disposiciones de la Directiva NIS2 a su legislación nacional, y estas medidas debían aplicarse a partir del 18 de octubre de 2024. Esto implica que las empresas deben estar preparadas para cumplir con los nuevos requisitos de ciberseguridad establecidos por la directiva.
5. Sanciones por incumplimiento
El incumplimiento de las obligaciones establecidas en NIS2 puede conllevar sanciones significativas. Para las entidades esenciales, las multas pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocios anual global de la empresa, lo que sea mayor. Estas sanciones buscan garantizar el cumplimiento y la implementación efectiva de las medidas de ciberseguridad.
6. Importancia para las empresas
La Directiva NIS2 representa un desafío y una oportunidad para las empresas en Europa. Al fortalecer sus medidas de ciberseguridad, las empresas no solo cumplen con la normativa, sino que también protegen sus operaciones y datos contra amenazas cibernéticas cada vez más sofisticadas. Es esencial que las organizaciones evalúen sus prácticas actuales de seguridad y realicen las mejoras necesarias para alinearse con los requisitos de NIS2.