NIS2: lo que necesitas saber
La Directiva NIS2 propone seguir mejorando el trabajo iniciado en la Directiva NIS para crear un alto nivel común de ciberseguridad en toda la Unión Europea, imponiendo obligaciones a los Estados miembros y a las entidades públicas y privadas de sectores críticos.
NOTA: Inspirado en NCSC Quick Reference Guide
Novedades
Amplía el ámbito de aplicación: más sectores, subsectores y tipos de entidades
Las entidades en su ámbito han de gestionar sus riesgos de ciberseguridad, tomando medidas técnicas, operativas y organizativas.
Afecta, en general, a medianas y grandes empresas de esos sectores.
Fija plazos para que las entidades en su ámbito notifiquen incidentes significativos.
Afecta a ciertas entidades con independencia de su tamaño.
Endurece las sanciones en caso de incumplimiento.
Clasifica las entidades en esenciales e importantes con distintos regímenes de supervisión y sanciones.
Las entidades en su ámbito han de tener en cuenta los riesgos de su cadena de suministro TIC.
Incluye nuevas formas para que las entidades afectadas se identifiquen y registren.
Introduce la divulgación coordinada de vulnerabilidades para entidades afectadas.
Fechas importantes
Más detalle
La directiva NIS2 aplica a un mayor número de entidades e incluye nuevos sectores, subsectores y tipos de actividades, que no están en el ámbito de la actual Directiva NIS2 (transpuesta a la legislación nacional en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información).
En la nueva directiva las entidades se dividen según sus actividades en "sectores de alta criticidad", inluídos en el anexo I, y "otros sectores críticos", descritos en el anexo II.
Anexo I: Sectores de alta criticidad
Anexo II: Otros sectores críticos
Entidades esenciales e importantes
Visualiza y descarga la siguiente tabla en la que podrás consultar los tipos de entidades que están en el ámbito de la NIS2 según su sector y tamaño y la jurisdicción a la que deben someterse si operan en más de un país de la UE.
Las entidades en el ámbito de la NIS2 pueden identificarse o ser designadas como esenciales o importantes dependiendo de factores como su tamaño, sector o la criticidad de sus actividades.Con carácter general, la NIS2 aplica a entidades públicas o privadas, medianas o grandes que presten sus servicios o lleven a cabo sus actividades en la Unión. Estas entidades, salvo en algunos casos, han de autoidentificarse como esenciales o importantes. También están en su ámbito entidades de menor tamaño si los Estados las identifican como esenciales o importantes.
Sectores de alta criticidad
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Electricidad | A) Empresas eléctricas que desempeñan la función de suministro. | A y B | A, B, C, D y E | Estado miembro en el que estén establecidas (Art. 26.1) | Esencial | Grandes empresas |
Sistemas urbanos de calefacción y refrigeración | A) Operadores | - | A | Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE | Medianas empresas | |
Crudo | A) Operadores de oleoductos de transporte de crudo. | A y B | A, B y C | |||
Gas | A) Empresas suministradoras. | Todas pero en D gestores en lugar de operadores | Todas pero en D gestores en lugar de operadores | Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas | |
Hidrógeno | A) Operadores de producción, almacenamiento y transporte. | - | A |
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Aéreo | A) Compañías aéreas. | SÍ | A | Estado miembro en el que estén establecidas (Art. 26.1) | Esencial | Grandes empresas |
Por ferrocarril | A) Administradores de infraestructuras. | SÍ | A | Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE | Medianas empresas | |
Marítimo y fluvial | A) Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías (excluyendo los buques particulares). | SÍ | A) Sin mención a fluvial. | Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas | |
Por carretera | A) Autoridades viarias excluidas entidades públicas para las que no sea su actividad principal. | SÍ | A |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
CER: añade Operadores de transporte público.
BANCA E INFRAESTRUCTURA DE MERCADOS FINANCIEROS
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Banca | A) Entidades de crédito. | SÍ | A | Estado miembro en el que estén establecidas (Art. 26.1) | Esencial | Grandes empresas |
Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE | Medianas empresas | |||||
Infraestructuras de los mercados financieros | A) Gestores de centros de negociación. | SÍ | A y B | Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Sector sanitario | A) Prestadores de asistencia sanitaria. | A | A, B, C, D y E CER: Añade entidades con autorización de distribución de medicamentos para consumo humano. | Estado miembro en el que estén establecidas (Art. 26.1) | Esencial | Grandes empresas |
Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE | Medianas empresas | |||||
Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Agua potable | A) Suministradores y distribuidores de aguas destinadas al consumo humano, excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos. | SÍ | A | Estado miembro en el que estén establecidas (Art. 26.1) | Esencial | Grandes empresas |
Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE | Medianas empresas | |||||
Aguas residuales | A) Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general. | NO | A | Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Infraestructura digital | A) Proveedores de puntos de intercambio de internet. | A, B y C | A, B, C, D, E, F, G, H e I. | A) Estado miembro en el que estén establecidas (Art. 26.1) | Esencial | Grandes empresas |
B, C, D, E Y F) Estado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2) | Importante salvo que el Estado la identifique como Esencial (críticas y OSE) | Medianas empresas | ||||
G) Estado miembro en el que estén establecidas (Art. 26.1) | Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas | ||||
H, E, I) Estado miembro en el que prestan sus servicios (Art. 26.1 a) |
Proveedores de servicios de confianza cualificados: son esenciales con independencia de su tamaño.
Los Proveedores de servicios de computación en la nube eran PSD en NIS1.
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Gestión de servicios de TIC (de empresa a empresa) | A) Proveedores de servicios gestionados. | NO | NO | Estado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2) | Esencial | Grandes empresas |
Importante salvo que el Estado la identifique como Esencial (críticas y OSE). | Medianas empresas | |||||
Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales | A) Entidades de la Administración pública central, tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional. | NO | A | Estado miembro que las haya establecido (Art. 26.1 c) | Esenciales | Central |
Importantes si tras evaluación de riesgos presta servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas. | Escala regional | |||||
Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro. | Nivel local |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Espacio | Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas. Excluidas: Infraestructuras del sector espacio cuya propiedad, gestión o explotación corresponda a la UE o a terceros en su nombre como parte de su programa espacial. | NO | SÍ | Estado miembro en el que están establecidas (Art. 26.1) | Esencial | Grandes empresas |
Importante salvo que el Estado la identifique como Esencial (críticas y OSE) | Medianas empresas | |||||
Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
Otros sectores críticos
SERVICIOS POSTALES Y DE MENSAJERÍA
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Servicios postales y de mensajería | Proveedores de servicios postales, tal como se definen en el artículo 2, punto 1 bis, de la Directiva 97/67/CE, incluidos los proveedores de servicios de mensajería. 1 bis) «proveedor de servicios postales»: la empresa que presta uno o varios servicios postales. Excluidos: Proveedores de servicios de mensajería que no intervengan en: recogida, clasificación, transporte o distribución y recogida por el destinatario considerando también su grado de dependencia de las TIC. | NO | NO | Estado miembro en el que están establecidas (Art. 26.1) | Importantes salvo que el Estado la identifique como Esencial (críticas y OSE) | Grandes empresas |
Medianas empresas | ||||||
Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Gestión de residuos | Empresas que realizan la gestión de residuos, tal como se definen en el artículo 3, punto 9, de la Directiva 2008/98/CE del Parlamento Europeo y del Consejo (1), excepto aquellas para las que la gestión de residuos no es su principal actividad económica. «Gestión de residuos»: la recogida, el transporte, la valorización y la eliminación de los residuos, incluida la vigilancia de estas operaciones, así como el mantenimiento posterior al cierre de los vertederos, incluidas las actuaciones realizadas en calidad de negociante o agente. | NO | NO | Estado miembro en el que están establecidas (Art. 26.1) | Importantes salvo que el Estado la identifique como Esencial (críticas y OSE) | Grandes empresas |
Medianas empresas | ||||||
Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
FABRICACIÓN, PRODUCCIÓN Y DISTRIBUCIÓN DE SUSTANCIAS Y MEZCLAS QUÍMICAS
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Fabricación, producción y distribución de sustancias y mezclas químicas | Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas y empresas que realizan la producción de artículos, a partir de sustancias y mezclas. «Artículo»: un objeto que, durante su fabricación, recibe una forma, superficie o diseño especiales que determinan su función en mayor medida que su composición química. | NO | NO | Estado miembro en el que están establecidas (Art. 26.1) | Importantes salvo que el Estado la identifique como Esencial (críticas y OSE) | Grandes empresas |
Medianas empresas | ||||||
Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro. | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
PRODUCCIÓN, TRANSFORMACIÓN Y DISTRIBUCIÓN DE ALIMENTOS
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Producción, transformación y distribución de alimentos | Empresas alimentarias, que se dediquen a la distribución al por mayor y a la producción y transformación industriales. "Empresa alimentaria": toda empresa pública o privada que, con o sin ánimo de lucro, lleve a cabo cualquier actividad relacionada con cualquiera de las etapas de la producción, la transformación y la distribución de alimentos. | NO | Las que se dedican exclusivamente a la logística y a la distribución al por mayor y a la producción y transformación industrial a gran escala. | Estado miembro en el que están establecidas (Art. 26.1) | Importante salvo que el Estado la identifique como Esencial (críticas y OSE) | Grandes empresas |
Medianas empresas | ||||||
Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
A) Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro | Entidades que fabrican los productos sanitarios y entidades que fabrican los productos sanitarios para diagnóstico in vitro, excepto las entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas. | NO | NO | Estado miembro en el que están establecidas (Art. 26.1) | Importante salvo que el Estado la identifique como Esencial (críticas y OSE) | Grandes empresas |
B) Fabricación de productos informáticos, electrónicos y ópticos | Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 26, de la NACE Rev. 2. | Medianas empresas | ||||
C) Fabricación de material eléctrico | Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 27, de la NACE Rev. 2. | Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante | Pequeñas y micro empresas | |||
D) Fabricación de maquinaria y equipo n.c.o.p. | Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 28, de la NACE Rev. 2. | |||||
E) Fabricación de vehículos de motor, remolques y semirremolques | Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 29, de la NACE Rev. 2. | |||||
F) Fabricación de otro material de transporte | Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 30, de la NACE Rev. 2.Hola |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
PROVEEDORES DE SERVICIOS DIGITALES
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Proveedores de servicios digitales | Proveedores de mercados en línea | NO | NO | Estado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2) | Importante salvo que el Estado la identifique como Esencial (críticas y OSE) | Grandes empresas |
Proveedores de motores de búsqueda en línea | Medianas empresas | |||||
Proveedores de plataformas de servicios de redes sociales | Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
SECTOR NIS2 | TIPO DE ENTIDAD NIS2 | EN NIS1 | EN CER | JURISDICCIÓN | IMPORTANTE O ESENCIAL | TAMAÑO |
Investigación | Organismos de investigación (excluyendo los centros de enseñanza). Incluyendo los centros de enseñanza que así disponga el Estado Miembro, en particular cuando lleven a cabo actividades críticas de investigación (Art. 2.5) | NO | NO | Estado miembro en el que estén establecidas (Art 26.1) | Importante salvo que el Estado la identifique como Esencial (críticas y OSE) | Grandes empresas |
Medianas empresas | ||||||
Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante | Pequeñas y micro empresas |
Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:
- Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
- Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).
Obligaciones de notificación
Entidades esenciales e importantes deben notificar sin demora incidentes con impacto significativo a su CSIRT de referencia.
|
La NIS2 impone obligaciones de notificación para los incidentes que tengan un impacto significativo en la prestación de sus servicios. Ante un incidente de este tipo, se deberá notificar a la autoridad competente o al CSIRT (Computer Security Incident Response Team) de referencia siguiendo las siguientes fases:
Cuando proceda, las entidades notificarán los incidentes significativos a los destinatarios de sus servicios. Cuando sea de interés público, el CSIRT o la autoridad competente pertinente podrán informar al público sobre el incidente significativo o podrá exigir a la entidad que lo haga.
Las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad a los que se enfrentan y prevenir o minimizar el impacto de los incidentes en sus servicios y en servicios de terceros.
Dichas medidas se basarán en una planificación que tenga en cuenta todos los riesgos y cuyo objetivo sea proteger la red y los sistemas de información, así como el entorno físico de los mismos, incluyendo al menos las siguientes medidas:
Todas las medidas deben ser:
- Proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes.
- Tener en cuenta el estado del arte de la técnica, y cuando proceda, las normas europeas e internacionales.
Para asegurar que se cumplen los requisitos clave descritos, la UE puede:
- Llevar a cabo evaluaciones de riesgos de servicios, sistemas o cadenas de suministro críticos.
- Imponer obligaciones de certificación a determinadas entidades, de productos, servicios o procesos, según un esquema europeo.
- Adoptar actos de ejecución para el cumplimiento de las medidas que establezcan requisitos técnicos, metodológicos o sectoriales basados en normas europeas e internacionales.
Las autoridades de cada sector deben supervisar el cumplimiento de esta directiva y podrán adoptar un enfoque de gestión de riesgos para priorizar estas tareas. Las actividades de supervisión serán realizadas por profesionales cualificados.
La Directiva NIS2 proporciona a las autoridades nacionales una lista mínima de poderes coercitivos hacia las entidades afectadas en caso de incumplimiento, entre los que se incluyen:
- Apercibir por incumplimiento.
- Adoptar instrucciones vinculantes o requerimientos de subsanación.
- Ordenar el cese de una conducta que infrinja la directiva.
- Ordenar que se garanticen las medidas de gestión de riesgos o las obligaciones de información de una manera y en un plazo determinados.
- Ordenar que se informe a las personas físicas o jurídicas a las que presten servicios o realicen actividades que se vean potencialmente afectadas por una ciberamenaza significativa.
- Ordenar que se apliquen las recomendaciones formuladas como resultado de una auditoría de seguridad en un plazo razonable.
- Designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento.
- Ordenar hacer públicos los aspectos de incumplimiento.
- Imponer multas administrativas.
- Suspender la certificación o autorización de una entidad esencial relativa al servicio, si no se cumple el plazo para tomar medidas.
- Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).
Adicionalmente, de forma proporcionada y disuasoria, podrán imponer multas de:
La alta dirección tiene la responsabilidad última de la gestión de los riesgos de ciberseguridad en entidades esenciales e importantes. El incumplimiento por parte de la dirección de los requisitos que establece la NIS2 podría tener graves consecuencias, incluyendo responsabilidad, prohibiciones temporales y multas administrativas, según lo previsto en la legislación nacional de la aplicación.
Los equipos directivos de las entidades esenciales e importantes son responsables de:
Estados, riesgos y cooperación
Los Estados tienen que ir adaptando su normativa, las entidades han de adoptar un enfoque de gestión del riesgo en sus operaciones y entre Estados y entidades han de cooperar e intercambiar información que sirva para armonizar los niveles de ciberseguridad en la UE y para actuar al unísono en caso necesario para gestión de crisis y de incidentes transfronterizos.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnlogía y los dispositivos conectados.
Ante cualquier duda o discrepancia consulte la directiva NIS2 en http://data.europa.eu/eli/dir/2022/2555/oj