Comprueba si tu entidad está en el ámbito de NIS2 - Resultados

Si, según la información que ha introducido, su organización está en el ámbito de la Directiva NIS2 como entidad esencial o importante, deberá:

• Adoptar medidas de gestión de riesgos de ciberseguridad según el art. 21 que deben ser aprobadas y supervisadas por los órganos de dirección (Art. 20).
• Notificar de los incidentes significativos según el Art. 23.
• Cooperar con las autoridades competentes cuando ejerzan sus funciones de supervisión (Art. 32 y 33).

Consulte los servicios gratuitos de INCIBE-CERT para operadores y entidades estratégicas. Si tiene dudas revise la sección de FAQ-NIS2 en el apartado de Sectores Estratégicos de INCIBE-CERT, la sección NIS2: lo que necesitas saber y la TemáTICa Cumpliendo con la NIS2.

Si, de acuerdo con la información que ha introducido, su organización no está en el ámbito de la Directiva NIS2 puede:

• Suscribirse a los boletines de INCIBE-CERT.
• Consultar la sección de vulnerabilildades según los fabricantes y productos que soporten su actividad.
• Consultar el espacio INCIBE > EMPRESAS para obtener más información sobre medidas de ciberhigiene.

RECUERDE: si es proveedor o prestador de servicios de una entidad que sí está en el ámbito de NIS2, como cadena de suministro de la misma, tendrá que tomar medidas de seguridad en el marco de sus obligaciones con dicha entidad.

El régimen de supervisión se aplicará tanto a priori como a posteriori con respecto a los posibles incidentes y podrá conllevar suspensiones, prohibiciones temporales o multas. La persona física responsable de la entidad esencial o su representante podrá ser responsable por tales incumplimientos. El régimen de supervisión podrá contener, entre otras:

• Inspecciones in situ y a distancia incluidas aleatorias.
• Auditorías de seguridad periódicas y específicas.
• Auditorías ad hoc (tras un incidente).
• Análisis de seguridad.
• Solicitudes de información necesaria para evaluar las medidas de gestión de riesgos adoptadas.
• Solicitudes de acceso a datos e información para supervisión.
• Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

En caso de incumplimiento, además de una serie de medidas coercitivas, de forma proporcionada y disuasoria, se podrán imponer las siguientes sanciones: un máximo de, al menos, 10.000.000 euros o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca la entidad en el ejercicio precedente, optándose por la de mayor cuantía.

La supervisión será únicamente reactiva, es decir, a posteriori. En este caso, el régimen de supervisión, llevado a cabo por profesionales cualificados, podrá conllevar multas administrativas. Dicho régimen podrá contener, entre otras medidas:

• Inspecciones in situ y supervisión a posteriori.
• Auditorías de seguridad específicas.
• Análisis de seguridad.
• Solicitudes de información necesaria para evaluar a posteriori las medidas de gestión de riesgos adoptadas.
• Solicitudes de acceso a datos e información para supervisión.
• Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

En caso de incumplimiento, además de una serie de medidas coercitivas, de forma proporcionada y disuasoria, se podrán imponer las siguientes sanciones: un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad en el ejercicio precedente, optándose por la de mayor cuantía.