¿De qué trata la Directiva NIS 2 y cómo prepararse para ella?

La Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS 2) de la UE actualizada entró en vigor en enero de 2023. Los estados miembros tienen hasta el 17 de octubre de 2024 para trasladarla a la legislación nacional. ¿Qué significa esto y cómo prepararse?

La Directiva NIS 2 tiene como objetivo mejorar la resiliencia cibernética de la infraestructura crítica y las entidades esenciales e importantes. La NIS 2 pretende hacer por la seguridad de la información de la UE lo que hizo el RGPD por la privacidad de los datos del usuario.

No pasará mucho tiempo antes de que la nueva directiva se traslade a la legislación nacional, por lo que si tu organización aún no está lista, ahora es el momento de tomar medidas.

¿De qué trata la NIS 2?

La Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS 2) es la legislación de la UE sobre la ciberseguridad. La NIS 2 actualiza y complementa la Directiva NIS original, adoptada en 2016, y crea un marco legal para mejorar el nivel general de ciberseguridad de la UE.

La Directiva NIS 2 actualizada se centra en tres áreas principales:

  • Ampliación del alcance de la aplicación: los siete sectores cubiertos por la Directiva NIS original se complementan con varios nuevos.
  • Nuevos mecanismos para la notificación de incidentes y el intercambio de información: la NIS 2 exige la notificación oportuna de incidentes importantes.
  • Aplicación más estricta del cumplimiento: la Directiva NIS 2 actualizada introduce sanciones específicas por incumplimiento, incluidas multas de hasta el 2 % de la facturación anual global.

¿A qué organizaciones se aplica la NIS 2?

Como se mencionó anteriormente, la directiva revisada amplía considerablemente el alcance de la aplicación en comparación con la versión original de 2016. Además, la NIS 2 introduce una clasificación que divide los sectores cubiertos en dos categorías:

  • Sectores de alta criticidad (Anexo I):
    • Energía (electricidad, calefacción y refrigeración de distritos, gas, hidrógeno, petróleo)
    • Transporte (aéreo, ferroviario, acuático, por carretera)
    • Bancos
    • Infraestructura del mercado financiero
    • Salud
    • Agua potable
    • Aguas residuales
    • Infraestructura digital
    • Gestión de servicios de TIC (MSP, MSSP)
    • Entidades de la administración pública
    • Espacio
  • Otros sectores críticos (Anexo II):
    • Servicios postales y de mensajería
    • Gestión de residuos
    • Fabricación, producción y distribución de productos químicos
    • Producción, procesamiento y distribución de alimentos
    • Fabricación (dispositivos médicos, productos informáticos, electrónicos u ópticos, equipos eléctricos, maquinaria, vehículos de motor, otros equipos de transporte)
    • Proveedores digitales
    • Investigación

Además de la clasificación de sectores, la NIS 2 introduce una clasificación adicional de entidades específicas. También consta de dos categorías:

  • Esencial (Artículo 3.1):
    • Grandes entidades (facturación anual superior a 50 millones de euros) en sectores de alta criticidad.
    • Autoridades de certificación, registradores de dominios de alto nivel y proveedores de DNS, independientemente del tamaño de la empresa.
    • Prestadores de telecomunicaciones, medianos a grandes (ingresos superiores a 10 millones de euros).
    • Instituciones de la administración pública.
    • Cualquier entidad que pertenezca a un sector muy crítico o crítico que un Estado miembro de la UE defina como esencial.
    • Entidades definidas como críticas según la Directiva (UE) 2022/2557.
  • Importante (Artículo 3.2):
    • Entidades medianas (ingresos anuales de 10 a 50 millones de euros) en sectores muy críticos.
    • Entidades medianas y grandes de otros sectores críticos.
    • Cualquier entidad definida por un Estado miembro de la UE como importante.

La categoría a la que pertenece una entidad tiene implicaciones prácticas importantes. Las actividades de las entidades clasificadas como esenciales estarán sujetas a una supervisión mucho más estricta y proactiva, incluidas redadas aleatorias, controles de seguridad especiales y solicitudes de prueba de cumplimiento. En caso de incumplimiento de la NIS 2, las entidades esenciales pueden enfrentarse a una multa de hasta 10 millones de euros o el 2 % de su facturación global anual.

Las entidades clasificadas como importantes pueden respirar un poco más, ya que están sujetas a controles menos estrictos. Para las entidades importantes, las sanciones son un poco más modestas: hasta 7 millones de euros o el 1,4 % de la facturación global anual.

Cronología de la NIS 2

Ten en cuenta que, a diferencia del RGPD, la NIS 2 es una directiva, no un reglamento de la Unión Europea. Esto significa que los Estados miembros de la UE están obligados legalmente a modificar su legislación nacional dentro del plazo designado. En el caso de la NIS 2, la fecha límite está fijada para el 17 de octubre de 2024.

Además, los Estados miembros de la UE deberán elaborar listas de entidades esenciales e importantes sujetas a la NIS 2 antes del 17 de abril de 2025.

Consideramos útil repasar la cronología de las principales etapas de la NIS 2:

  • 6 de julio de 2016: adopción de la Directiva (UE) 2016/1148, la Directiva NIS original.
  • 9 de mayo de 2018: fecha límite para que los Estados miembros de la UE trasladen la Directiva NIS a su legislación nacional.
  • 7 de julio de 2020: inicio de las consultas de la Comisión Europea (CE) sobre la revisión de las NIS.
  • 16 de diciembre de 2020: publicación de la propuesta de la NIS 2 por parte de la CE.
  • 13 de mayo de 2022: votación del Parlamento europeo sobre la adopción de la Directiva NIS 2.
  • 10 de noviembre de 2022: aprobación de la Directiva NIS 2 por el Consejo de la UE.
  • 14 de diciembre de 2022: publicación de la Directiva NIS 2 en el Diario oficial de la UE con el título Directiva (UE) 2022/2555.
  • 16 de enero de 2023: entrada en vigor de la Directiva NIS 2.
  • 17 de octubre de 2024: fecha límite para que los Estados miembros de la UE trasladen la Directiva NIS 2 a su legislación nacional.
  • 17 de abril de 2025: fecha límite para que los Estados miembros de la UE elaboren listas de entidades esenciales e importantes. Estas listas deben actualizarse con regularidad a partir de entonces, al menos cada dos años.
  • 17 de octubre de 2027: revisión de la Directiva NIS 2.

¿Cómo prepararse para la implementación de la NIS 2?

  • Evalúa si los requisitos de la NIS 2 se aplican a tu organización y en qué medida.
  • Investiga cómo se trasladó la Directiva NIS a la legislación nacional de tu Estado miembro de la UE.
  • Sigue las recomendaciones de las autoridades nacionales de ciberseguridad.
  • Evalúa y desarrolla medidas técnicas, operativas y organizativas para la gestión de redes y sistemas informáticos; riesgos de seguridad.

Puedes encontrar más información sobre la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos actualizada de la UE, y cómo las organizaciones pueden prepararse para su entrada en vigor en nuestro sitio dedicado a la NIS 2.

Consejos