NIS2: lo que necesitas saber

La Directiva NIS2 propone seguir mejorando el trabajo iniciado en la Directiva NIS para crear un alto nivel común de ciberseguridad en toda la Unión Europea, imponiendo obligaciones a los Estados miembros y a las entidades públicas y privadas de sectores críticos.
NOTA: Inspirado en NCSC Quick Reference Guide

Novedades

Amplía el ámbito de aplicación: más sectores, subsectores y tipos de entidades

Las entidades en su ámbito han de gestionar sus riesgos de ciberseguridad, tomando medidas técnicas, operativas y organizativas.

Afecta, en general, a medianas y grandes empresas de esos sectores.

Fija plazos para que las entidades en su ámbito notifiquen incidentes significativos.

Afecta a ciertas entidades con independencia de su tamaño.

Endurece las sanciones en caso de incumplimiento.

Clasifica las entidades en esenciales e importantes con distintos regímenes de supervisión y sanciones.

Las entidades en su ámbito han de tener en cuenta los riesgos de su cadena de suministro TIC.

Incluye nuevas formas para que las entidades afectadas se identifiquen y registren.

Introduce la divulgación coordinada de vulnerabilidades para entidades afectadas.

Fechas importantes

 

 

 

Más detalle

La directiva NIS2 aplica a un mayor número de entidades e incluye nuevos sectores, subsectores y tipos de actividades, que no están en el ámbito de la actual Directiva NIS2 (transpuesta a la legislación nacional en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información).

En la nueva directiva las entidades se dividen según sus actividades en "sectores de alta criticidad", inluídos en el anexo I, y "otros sectores críticos", descritos en el anexo II.

Anexo I: Sectores de alta criticidad

Anexo II: Otros sectores críticos

Visualiza y descarga la siguiente tabla en la que podrás consultar los tipos de entidades que están en el ámbito de la NIS2 según su sector y tamaño y la jurisdicción a la que deben someterse si operan en más de un país de la UE.

Las entidades en el ámbito de la NIS2 pueden identificarse o ser designadas como esenciales o importantes dependiendo de factores como su tamaño, sector o la criticidad de sus actividades.Con carácter general, la NIS2 aplica a entidades públicas o privadas, medianas o grandes que presten sus servicios o lleven a cabo sus actividades en la Unión. Estas entidades, salvo en algunos casos, han de autoidentificarse como esenciales o importantes. También están en su ámbito entidades de menor tamaño si los Estados las identifican como esenciales o importantes.

Sectores de alta criticidad

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Electricidad

A) Empresas eléctricas que desempeñan la función de suministro.
B) Gestores de la red de distribución y de la red de transporte.
C) Productores (*excluidas Centrales nucleares vinculadas con la seguridad nacional).
D) Operadores NEMO.
E) Participantes en el mercado (generan, compran o venden) que presten servicios agregación, respuesta a la demanda o almacenamiento de energía.
F) Operadores de punto de recarga.

A y BA, B, C, D y EEstado miembro en el que estén establecidas (Art. 26.1)

Esencial

Grandes empresas

Sistemas urbanos de calefacción y refrigeración

A) Operadores

-A

Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE

Medianas empresas

Crudo

A) Operadores de oleoductos de transporte de crudo.
B) Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.
C) Entidades centrales de almacenamiento.

A y BA, B y C

Gas

A) Empresas suministradoras.
B) Gestores de red de distribución, transporte, almacenamiento, de la red GNL.
C) Compañías de gas natural.
D) Operadores de instalaciones de refinado y tratamiento de gas natural.

Todas pero en D gestores en lugar de operadoresTodas pero en D gestores en lugar de operadores

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.

Pequeñas y micro empresas

Hidrógeno

A) Operadores de producción, almacenamiento y transporte.

-A

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Aéreo

A) Compañías aéreas.
B) Entidades gestoras de aeropuertos y entidades que explotan instalaciones anexas.
C) Operadores de control del tránsito aéreo.

AEstado miembro en el que estén establecidas (Art. 26.1)

Esencial

Grandes empresas

Por ferrocarril

A) Administradores de infraestructuras.
B) Empresas ferroviarias (aportan tracción), incluidos explotadores de instalaciones de servicios.

A

Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE

Medianas empresas

Marítimo y fluvial

A) Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías (excluyendo los buques particulares).
B) Organismos gestores de puertos incluidas instalaciones portuarias.
C) Operadores de servicio de tráfico de buques (STB).

A) Sin mención a fluvial.

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.

Pequeñas y micro empresas

Por carretera

A) Autoridades viarias excluidas entidades públicas para las que no sea su actividad principal.
B) Operadores de sistemas de transporte inteligente.

A

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​ ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

CER: añade Operadores de transporte público. ​ ​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Banca

A) Entidades de crédito.

AEstado miembro en el que estén establecidas (Art. 26.1)

Esencial

Grandes empresas

Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE

Medianas empresas

Infraestructuras de los mercados financieros

A) Gestores de centros de negociación.
B) Entidades de contrapartida central (ECC).

A y B

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​ ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Sector sanitario

A) Prestadores de asistencia sanitaria.
B) Laboratorios de referencia de la UE.
C) Entidades que realizan actividades de I+D de medicamentos.
D) Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas.
E) Entidades que fabrican productos sanitarios esenciales en situaciones de emergencia de salud pública.

AA, B, C, D y E
CER: Añade entidades con autorización de distribución de medicamentos para consumo humano.
Estado miembro en el que estén establecidas (Art. 26.1)

Esencial

Grandes empresas

Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE

Medianas empresas

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Agua potable

A) Suministradores y distribuidores de aguas destinadas al consumo humano, excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos.

AEstado miembro en el que estén establecidas (Art. 26.1)

Esencial

Grandes empresas

Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE

Medianas empresas

Aguas residuales

A) Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general.

NOA

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Infraestructura digital

A) Proveedores de puntos de intercambio de internet.
B) Proveedores de servicios de DNS, excluidos los operadores de servidores raíz.
C) Registros de nombres de dominio de primer nivel.
D) Proveedores de servicios de computación en nube.
E) Proveedores de servicios de centro de datos.
F) Proveedores de redes de distribución de contenidos.
G) Prestadores de servicios de confianza.
H) Proveedores de redes públicas de comunicaciones electrónicas.
I) Proveedores de servicios de comunicaciones electrónicas disponibles para el público.

A, B y CA, B, C, D, E, F, G, H e I.A) Estado miembro en el que estén establecidas (Art. 26.1)

Esencial

Grandes empresas
B, C, D, E Y F) Estado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2)

Importante salvo que el Estado la identifique como Esencial (críticas y OSE)
Esenciales: B, C, H, e I.

Medianas empresas

G) Estado miembro en el que estén establecidas (Art. 26.1)

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.
Esenciales: B y C.

Pequeñas y micro empresas

H, E, I) Estado miembro en el que prestan sus servicios (Art. 26.1 a)

Proveedores de servicios de confianza cualificados: son esenciales con independencia de su tamaño.
Los Proveedores de servicios de computación en la nube eran PSD en NIS1.

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Gestión de servicios de TIC (de empresa a empresa)

A) Proveedores de servicios gestionados.
B) Proveedores de servicios de seguridad gestionados.

NONOEstado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2)

Esencial

Grandes empresas

Importante salvo que el Estado la identifique como Esencial (críticas y OSE).

Medianas empresas

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si:​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales

A) Entidades de la Administración pública central, tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional.
B) Entidades de la Administración pública a escala regional, según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional.

NOAEstado miembro que las haya establecido (Art. 26.1 c)

Esenciales

Central

Importantes si tras evaluación de riesgos presta servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas.

Escala regional

Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.

Nivel local

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Espacio

Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas.

Excluidas: Infraestructuras del sector espacio cuya propiedad, gestión o explotación corresponda a la UE o a terceros en su nombre como parte de su programa espacial.

NOEstado miembro en el que están establecidas (Art. 26.1)

Esencial

Grandes empresas

Importante salvo que el Estado la identifique como Esencial (críticas y OSE)

Medianas empresas

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

 

Otros sectores críticos

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Servicios postales y de mensajería

Proveedores de servicios postales, tal como se definen en el artículo 2, punto 1 bis, de la Directiva 97/67/CE, incluidos los proveedores de servicios de mensajería.

1 bis) «proveedor de servicios postales»: la empresa que presta uno o varios servicios postales.
1) «servicios postales»: los servicios consistentes en la recogida, la clasificación, el transporte y la distribución de los envíos postales.

Excluidos: Proveedores de servicios de mensajería que no intervengan en: recogida, clasificación, transporte o distribución y recogida por el destinatario considerando también su grado de dependencia de las TIC.

NONOEstado miembro en el que están establecidas (Art. 26.1)

Importantes salvo que el Estado la identifique como Esencial (críticas y OSE)

Grandes empresas

Medianas empresas

Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Gestión de residuos

Empresas que realizan la gestión de residuos, tal como se definen en el artículo 3, punto 9, de la Directiva 2008/98/CE del Parlamento Europeo y del Consejo (1), excepto aquellas para las que la gestión de residuos no es su principal actividad económica.

«Gestión de residuos»: la recogida, el transporte, la valorización y la eliminación de los residuos, incluida la vigilancia de estas operaciones, así como el mantenimiento posterior al cierre de los vertederos, incluidas las actuaciones realizadas en calidad de negociante o agente.

NONOEstado miembro en el que están establecidas (Art. 26.1)

Importantes salvo que el Estado la identifique como Esencial (críticas y OSE)

Grandes empresas

Medianas empresas

Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si:

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Fabricación, producción y distribución de sustancias y mezclas químicas

Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas y empresas que realizan la producción de artículos, a partir de sustancias y mezclas.

«Artículo»: un objeto que, durante su fabricación, recibe una forma, superficie o diseño especiales que determinan su función en mayor medida que su composición química.
«Fabricante»: toda persona física o jurídica establecida en la Comunidad que fabrique una sustancia en la Comunidad.
«Distribuidor»: toda persona física o jurídica establecida en la Comunidad, incluidos los minoristas, que únicamente almacena y comercializa una sustancia, como tal o en forma de preparado, destinada a terceros.

NONOEstado miembro en el que están establecidas (Art. 26.1)

Importantes salvo que el Estado la identifique como Esencial (críticas y OSE)

Grandes empresas

Medianas empresas

Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si:

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Producción, transformación y distribución de alimentos

Empresas alimentarias, que se dediquen a la distribución al por mayor y a la producción y transformación industriales.

"Empresa alimentaria": toda empresa pública o privada que, con o sin ánimo de lucro, lleve a cabo cualquier actividad relacionada con cualquiera de las etapas de la producción, la transformación y la distribución de alimentos.

NOLas que se dedican exclusivamente a la logística y a la distribución al por mayor y a la producción y transformación industrial a gran escala.Estado miembro en el que están establecidas (Art. 26.1)

Importante salvo que el Estado la identifique como Esencial (críticas y OSE)

Grandes empresas

Medianas empresas

Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

A) Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro

Entidades que fabrican los productos sanitarios y entidades que fabrican los productos sanitarios para diagnóstico in vitro, excepto las entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas.NONOEstado miembro en el que están establecidas (Art. 26.1)

Importante salvo que el Estado la identifique como Esencial (críticas y OSE)

Grandes empresas

B) Fabricación de productos informáticos, electrónicos y ópticos

Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 26, de la NACE Rev. 2.Medianas empresas

C) Fabricación de material eléctrico

Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 27, de la NACE Rev. 2.

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante

Pequeñas y micro empresas

D) Fabricación de maquinaria y equipo n.c.o.p.

Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 28, de la NACE Rev. 2.

E) Fabricación de vehículos de motor, remolques y semirremolques

Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 29, de la NACE Rev. 2.

F) Fabricación de otro material de transporte

Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 30, de la NACE Rev. 2.Hola

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Proveedores de servicios digitales

Proveedores de mercados en líneaNONOEstado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2)

Importante salvo que el Estado la identifique como Esencial (críticas y OSE)

Grandes empresas
Proveedores de motores de búsqueda en líneaMedianas empresas
Proveedores de plataformas de servicios de redes sociales

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

 

SECTOR NIS2TIPO DE ENTIDAD NIS2EN NIS1EN CERJURISDICCIÓNIMPORTANTE O ESENCIALTAMAÑO

Investigación

Organismos de investigación (excluyendo los centros de enseñanza).

Incluyendo los centros de enseñanza que así disponga el Estado Miembro, en particular cuando lleven a cabo actividades críticas de investigación (Art. 2.5)
NONOEstado miembro en el que estén establecidas (Art 26.1)

Importante salvo que el Estado la identifique como Esencial (críticas y OSE)

Grandes empresas
Medianas empresas

Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante

Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557  (Art. 3.1.f) o como OSE (Ar. 3.a.g).​ Fuera del ámbito por tamaño  (Art. 2.1), salvo si: ​

  • Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557  (Art. 3.1.f) u OSE (Ar. 3.a.g);​​
  • Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).​

Obligaciones de notificación

Entidades esenciales e importantes deben notificar sin demora incidentes con impacto significativo a su CSIRT de referencia.

  • Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada
  • Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

La NIS2 impone obligaciones de notificación para los incidentes que tengan un impacto significativo en la prestación de sus servicios. Ante un incidente de este tipo, se deberá notificar a la autoridad competente o al CSIRT (Computer Security Incident Response Team) de referencia siguiendo las siguientes fases:

Cuando proceda, las entidades notificarán los incidentes significativos a los destinatarios de sus servicios. Cuando sea de interés público, el CSIRT o la autoridad competente pertinente podrán informar al público sobre el incidente significativo o podrá exigir a la entidad que lo haga.

Las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad a los que se enfrentan y prevenir o minimizar el impacto de los incidentes en sus servicios y en servicios de terceros.

Dichas medidas se basarán en una planificación que tenga en cuenta todos los riesgos y cuyo objetivo sea proteger la red y los sistemas de información, así como el entorno físico de los mismos, incluyendo al menos las siguientes medidas:

Todas las medidas deben ser:

  • Proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes.
  • Tener en cuenta el estado del arte de la técnica, y cuando proceda, las normas europeas e internacionales.

Para asegurar que se cumplen los requisitos clave descritos, la UE puede:

  • Llevar a cabo evaluaciones de riesgos de servicios, sistemas o cadenas de suministro críticos.
  • Imponer obligaciones de certificación a determinadas entidades, de productos, servicios o procesos, según un esquema europeo.
  • Adoptar actos de ejecución para el cumplimiento de las medidas que establezcan requisitos técnicos, metodológicos o sectoriales basados en normas europeas e internacionales.

Las autoridades de cada sector deben supervisar el cumplimiento de esta directiva y podrán adoptar un enfoque de gestión de riesgos para priorizar estas tareas. Las actividades de supervisión serán realizadas por profesionales cualificados.

La Directiva NIS2 proporciona a las autoridades nacionales una lista mínima de poderes coercitivos hacia las entidades afectadas en caso de incumplimiento, entre los que se incluyen:

  • Apercibir por incumplimiento.
  • Adoptar instrucciones vinculantes o requerimientos de subsanación.
  • Ordenar el cese de una conducta que infrinja la directiva.
  • Ordenar que se garanticen las medidas de gestión de riesgos o las obligaciones de información de una manera y en un plazo determinados.
  • Ordenar que se informe a las personas físicas o jurídicas a las que presten servicios o realicen actividades que se vean potencialmente afectadas por una ciberamenaza significativa.
  • Ordenar que se apliquen las recomendaciones formuladas como resultado de una auditoría de seguridad en un plazo razonable.
  • Designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento.
  • Ordenar hacer públicos los aspectos de incumplimiento.
  • Imponer multas administrativas.
  • Suspender la certificación o autorización de una entidad esencial relativa al servicio, si no se cumple el plazo para tomar medidas.
  • Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).

Adicionalmente, de forma proporcionada y disuasoria, podrán imponer multas de:

La alta dirección tiene la responsabilidad última de la gestión de los riesgos de ciberseguridad en entidades esenciales e importantes. El incumplimiento por parte de la dirección de los requisitos que establece la NIS2 podría tener graves consecuencias, incluyendo responsabilidad, prohibiciones temporales y multas administrativas, según lo previsto en la legislación nacional de la aplicación.

Los equipos directivos de las entidades esenciales e importantes son responsables de:

Los Estados tienen que ir adaptando su normativa, las entidades han de adoptar un enfoque de gestión del riesgo en sus operaciones y entre Estados y entidades han de cooperar e intercambiar información que sirva para armonizar los niveles de ciberseguridad en la UE y para actuar al unísono en caso necesario para gestión de crisis y de incidentes transfronterizos.

 

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnlogía y los dispositivos conectados.

Ante cualquier duda o discrepancia consulte la directiva NIS2 en http://data.europa.eu/eli/dir/2022/2555/oj

 

Compartir en Redes Sociales