FAQ NIS2

Índice

¿Qué es la Directiva NIS2?

La continua evolución de las amenazas cibernéticas ha dado origen a nuevos desafíos, poniendo de manifiesto ciertas limitaciones que dificultan abordar de manera eficaz los retos actuales y emergentes en el ámbito de la ciberseguridad. Esta realidad ha impulsado la necesidad de revisar y actualizar la legislación europea vigente en materia de ciberseguridad. En este contexto, la Directiva NIS1 de 2016 (UE 2016/1148), a pesar de haber sido un pilar esencial, estableciendo un marco normativo de medidas destinadas a garantizar un alto nivel de seguridad de las redes y sistemas de información en la Unión Europea, ha ido quedando obsoleta con el tiempo, resultando imperativo la pronta elaboración de un nuevo texto normativo que abordase de manera integral todas las amenazas emergentes en el ámbito de la ciberseguridad.

La Directiva NIS2 (Directiva (UE) 2022/2555) surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia de ciberseguridad en el marco de la Unión Europea. Es por ello por lo que se procede a la actualización y derogación de la Directiva NIS1, cuya trasposición en nuestro ordenamiento jurídico se materializó mediante el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y su normativa de desarrollo, el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre. Puedes obtener más información sobre ellas en nuestras FAQ.

La Directiva NIS2 amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de mayor relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado. En consecuencia, se suprime la categorización establecida por la NIS1 con respecto a los operadores de servicios esenciales y proveedores de servicios digitales.

Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe).

Volver al índice

¿Cuándo entró en vigor la NIS2 y cuando aplicará en España?

La Directiva NIS 2 fue aprobada formalmente en noviembre de 2022, publicándose en el Diario Oficial de la UE (DOUE) el 27 de diciembre de 2022, y entró en vigor el 16 de enero de 2023, 20 días después de su publicación en el DOUE.

Los Estados miembros deberán adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la Directiva antes del 17 de octubre de 2024, comunicando de manera inmediata el texto de dichas disposiciones, las cuales resultarán de aplicación a partir del 18 de octubre de 2024.

Volver al índice

Soy una entidad privada, ¿me afecta la Directiva NIS2?

Con carácter general, la directiva aplica a medianas y grandes empresas, ya sean públicas o privadas, de los sectores de alta criticidad y otros sectores críticos indicados en sus anexos I y II, respectivamente, que presten sus servicios o lleven a cabo sus actividades en la Unión Europea.

De cara a valorar si una empresa es considerada como microempresa, pequeña, mediana o gran empresa, se debe atender a lo expuesto en la Recomendación 2003/361/CE que cita la NIS2, y que define dichas categorías de la siguiente manera:

  • Microempresa: empresa que ocupa a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 2 millones de euros.
  • Pequeña empresa: empresa que ocupa a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 10 millones de euros.
  • Mediana empresa: empresa que ocupa entre 50 y 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
  • Gran empresa: empresa que ocupa más de 250 personas y cuyo volumen de negocios anual o cuyo balance general anual sea superior a 43 millones de euros.

Es importante destacar que, aunque la citada recomendación no reconozca como pyme a una empresa cuando el 25% o más de su capital o de sus derechos de voto están controlados, directa o indirectamente, por uno o más organismos públicos o colectividades públicas, ello no resultará de aplicación a efectos de la presente directiva.

El Ministerio de Industria, Comercio y Turismo ofrece el servicio en línea ¿Soy una PYME? para consultar si una entidad entra o no dentro de esta categoría.

Volver al índice

Y si soy una pequeña empresa, ¿me afectará la Directiva NIS2?

La NIS2 contempla excepciones para pequeñas empresas y microempresas que cumplan con criterios específicos que pongan de manifiesto su papel clave para la sociedad, la economía o para determinados sectores o tipos de servicios queden incluidas dentro de su ámbito de aplicación. Por tal motivo, e independientemente de su tamaño, las siguientes pequeñas empresas y microempresas podrían quedar incluidas dentro de su ámbito de aplicación:

2. Entidades de alguno de los tipos mencionados en los anexos I o II cuando:

 a) Los servicios son prestados por:

    i) Proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público.

    ii) Prestadores de servicios de confianza.

    iii) Registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio.

  b) La entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.

 c) Una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública.

 d) Una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo.

 e) La entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro.

 f) la entidad sea una entidad de la Administración Pública [...].

3. [...] entidades que se identifiquen como entidades críticas con arreglo a la Directiva (UE) 2022/2557.

4. [...] entidades que presten servicios de registro de nombres de dominio.

Volver al índice

Mi empresa ya estaba obligada por la trasposición de la directiva NIS1, ¿me aplica la NIS2?

Con respecto a la NIS1, la Directiva NIS2 amplía su ámbito de aplicación con más sectores, con el fin de dotar de una cobertura más completa a los servicios de mayor importancia para las actividades sociales y económicas, Además, ya no diferencia entre operadores de servicios esenciales (OSE) y proveedores de servicios digitales (PSD) como lo hacía previamente.

Cabe destacar que en España, al trasponerse la NIS1, se amplió el ámbito de aplicación con más sectores de servicios esenciales para armonizarlos con los del anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, es decir, que en España se incluyeron de forma adicional OSE de los sectores de administración, espacio, industria química, industria nuclear, instalaciones de investigación, tecnologías de la información y la comunicación (TIC) y alimentación, no contemplados en la Directiva Europea NIS1.

En la Directiva NIS2, en el art. 3.1. g) se incluye opcionalmente como uno de los tipos de entidades esenciales a los OSE:

«Si así lo dispone el Estado miembro, las entidades identificadas por dicho Estado miembro antes del 16 de enero de 2023 como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 o el Derecho nacional.»

En el caso del sector de PSD, la legislación anterior incluía a proveedores de mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

En la nueva legislación hay cambios en los tipos de entidades de este sector, considerándose en el anexo II, «Otros sectores críticos», como PSD:

  • Proveedores de mercados en línea.
  • Proveedores de motores de búsqueda en línea.
  • Proveedores de plataformas de servicios de redes sociales.

Por lo tanto, como novedad, incorpora en los PSD a los proveedores de plataformas de servicios de redes sociales, considerando ahora a los proveedores de servicios de computación en la nube dentro del sector de infraestructuras digitales del anexo I de «Sectores de alta criticidad».

Si tu empresa estaba obligada al cumplimiento de la trasposición de la Directiva NIS1 a la legislación española, es esencial que revises de manera detallada las disposiciones y actualizaciones específicas de la NIS2 y de su transposición al ordenamiento jurídico español, de cara a analizar las nuevas exigencias contempladas en la normativa.

Volver al índice

¿Qué nuevos sectores y subsectores incluye la Directiva NIS2 respecto a la Directiva NIS1?

La Directiva NIS2 amplía su ámbito de aplicación a los siguientes sectores y subsectores, que encuadra dentro de los sectores de alta criticidad recogidos en el anexo I:

  • Se incorporan nuevos subsectores dentro del ámbito del sector energético, como el subsector de operadores de producción, almacenamiento y transporte de hidrógeno y los sistemas urbanos de calefacción y refrigeración.
    • El subsector electricidad se ve ampliado, incluyendo las entidades productoras, los operadores designados para el mercado eléctrico, participantes en el mercado de la electricidad y operadores de puntos de recarga que sean responsables de la gestión y explotación de un punto de recarga.
    • El subsector del crudo se amplía con entidades centrales de almacenamiento.
  • Respecto al sector sanitario, incluye laboratorios de referencia de la UE, entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas y entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.
  • Se incluye el sector de aguas residuales, de manera independiente al de agua potable.
  • Se amplían las entidades del sector de infraestructura digital, incluyendo proveedores de redes de servicios de computación en la nube, proveedores de distribución de contenidos, prestadores de servicios de confianza, proveedores de servicios de centro de datos y proveedores de redes públicas de comunicaciones electrónicas, así como servicios de comunicaciones electrónicas disponibles para el público.
  • Se incluye el sector de gestión de servicios de TIC (de empresa a empresa), con dos tipos de entidades: los proveedores de servicios gestionados y los proveedores de servicios de seguridad gestionados.
  • Se incorpora el sector de entidades de la Administración pública central y regional, con exclusión del poder judicial, los parlamentos y los bancos centrales.
  • Se incluye el sector espacio, con los operadores de infraestructuras terrestres que apoyan la prestación de servicios espaciales, salvo que sean proveedores de redes públicas de comunicaciones electrónicas.
Sectores NIS2 anexo 1

Además, incluye los nuevos sectores que categoriza como otros sectores críticos recogidos en el anexo II:

  • Sector de servicios postales y de mensajería.
  • Sector gestión de residuos.
  • Sector de fabricación, producción y distribución de sustancias y mezclas químicas.
  • Sector de producción, transformación y distribución de alimentos.
  • Sector de fabricación, cuyos subsectores abarcan la fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro, fabricación de productos informáticos electrónicos y ópticos, fabricación de material eléctrico, fabricación de maquinaria y equipo n.c.o.p, fabricación de vehículos de motor, remolques y semirremolque, así como la fabricación de otro material de transporte.
  • Organismos de investigación, incluyendo, solo cuando los Estados miembros lo dispongan, centros de enseñanza, si llevan a cabo actividades críticas de investigación.
  • También en este anexo II están los proveedores de servicios digitales, que incorporan como novedad a los proveedores de plataformas de servicios de redes sociales, además de los ya existentes en la NIS1 (proveedores de mercados en línea y de motores de búsqueda en línea), salvo los proveedores de servicios cloud que son ahora considerados Infraestructuras digitales (anexo I).
sectores NIS2

Si perteneces a uno de estos sectores, revisa con detenimiento estos anexos, así como su normativa correspondiente, para determinar si tu empresa se encuentra dentro del ámbito de aplicación de la NIS2, y permanece atento a su trasposición.

Volver al índice

¿Qué tipos de entidades privadas no están dentro del ámbito de la NIS2?

Los Estados miembros pueden eximir a las entidades específicas que llevan a cabo actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas las de prevención, investigación, detección y enjuiciamiento de infracciones penales, de determinadas obligaciones establecidas en la presente directiva en relación con dichas actividades.

Los Estados miembros deben poder eximir de determinadas obligaciones establecidas en la presente directiva a una entidad cuando esta preste servicios exclusivamente a otra de la Administración pública excluida del ámbito de aplicación de la presente directiva. Se eximirán únicamente las obligaciones en relación con dichos servicios.

Además, la directiva no se aplica a las misiones diplomáticas y consulares de los Estados miembros en terceros países ni a sus sistemas de redes y de información, en la medida en que dichos sistemas estén situados en las dependencias de la misión o se utilicen para usuarios ubicados en un tercer país.

Por otra parte, en los anexos I y II se mencionan expresamente algunas exclusiones, por ejemplo, sin ser exhaustiva esta relación:

  • En el subsector de transporte por carretera, cuando se refiere a autoridades viarias responsables de la gestión del tráfico excluye a "entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general".
  • En el subsector de transporte marítimo y fluvial, cuando se refiere a las empresas de transporte marítimo, fluvial y de cabotaje excluye a "los buques particulares explotados por esas empresas".
  • En el sector de infraestructura digital, en el caso de proveedores de servicios de DNS, excluye "los operadores de servidores raíz".
  • En el subsector de transporte aéreo incluye a las "compañías aéreas con fines comerciales", excluyendo, por tanto, de manera implícita, a las que no tengan tales fines.
  • En el sector de agua potable incluye los suministradores y distribuidores de aguas destinadas al consumo humano y excluye de estos a aquellos "para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos".
  • En el sector de aguas residuales se excluye a "las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general".
  • En el sector de servicios postales se excluye a proveedores de servicios postales, tal como se definen en la Directiva 97/67/CE del Parlamento Europeo y del Consejo, incluidos los proveedores de servicios de mensajería, si no se ocupan de al menos de "una de las fases de la cadena de distribución postal y en particular de la recogida, la clasificación, el transporte o la distribución de envíos postales, incluida la recogida por el destinatario, teniendo en cuenta al mismo tiempo su grado de dependencia de los sistemas de redes y de información".
  • En el sector del espacio, en lo relativo o las infraestructuras terrestres que apoyan la prestación de servicios espaciales, excluye a "proveedores de redes públicas de comunicaciones electrónicas".
  • En el sector de investigación, en lo relativo a organismos de investigación, están excluidos los centros de enseñanza, siempre y cuando los Estados miembros no dispongan lo contrario por llevar a cabo actividades críticas de investigación.

Además de las expresamente mencionadas u otras que pudieran deducirse de las definiciones, quedan excluidas del ámbito de aplicación de la NIS2 las entidades no recogidas en la columna «Tipo de entidad» de los anexos I y II.

No obstante, debemos esperar a la trasposición de las normas para conocer las autoridades competentes en cada sector, que resolverán las dudas concretas que puedan surgir.

Volver al índice

Me afecta la NIS2, pero, ¿soy entidad esencial o importante?

La Directiva NIS2, a efectos de cumplimiento de las medidas de gestión de riesgos, distingue entre entidades esenciales e importantes, en función del grado de criticidad de sus sectores o del tipo de servicio que prestan, así como de su tamaño. La Directiva NIS2 recoge los criterios para determinar si una entidad, de cualquiera de los tipos de los anexos I y II, es esencial o importante.

Se consideran entidades esenciales:

  • Grandes empresas de los sectores de alta criticidad del anexo I.
  • Independientemente de su tamaño, los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y los proveedores de servicios de DNS.
  • Medianas empresas proveedoras de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público.
  • Independientemente de su tamaño, entidades identificadas como críticas con arreglo a la Directiva (UE) 2022/2557 que ha de trasponerse a la legislación nacional en las mismas fechas que la NIS2.
  • Si así́ lo dispone el Estado miembro, las entidades identificadas por dicho Estado miembro antes del 16 de enero de 2023 como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 o el derecho nacional.

Se consideran entidades importantes todas aquellas de uno de los tipos mencionados en los anexos I o II que no puedan considerarse entidades esenciales.

Además, un Estado miembro puede identificar a una entidad, independientemente de su tamaño, como esencial o importante cuando:

  • La entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.
  • Una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública.
  • Una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo.
  • La entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro.

Los Estados miembros deben elaborar antes del 17/04/2025 y actualizar periódicamente al menos cada 2 años una lista de entidades esenciales e importantes, incluyendo en ella las entidades que prestan servicio de registro de nombres de dominios. Para la elaboración de esta lista, podrán establecer mecanismos nacionales de autorregistro.

Volver al índice

¿Qué obligaciones tendrán las entidades afectadas?

Todas las entidades dentro del ámbito de aplicación de la directiva deberán aplicar las medidas para la gestión de riesgos de ciberseguridad, así como cumplir con las obligaciones de notificación de incidentes de ciberseguridad.

En cuanto a la gestión de riesgos de ciberseguridad, la Directiva NIS2 recoge un listado mínimo de medidas técnicas, operativas y de organización para gestionar los riesgos de seguridad de los sistemas y redes de información, así como el entorno físico de dichos sistemas. Estas medidas deben ser utilizadas tanto por las entidades esenciales como importantes en sus operaciones o en la prestación de sus servicios para prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios. Las medidas indicadas como mínimas son las que se incluyen a continuación y se exigirán siempre de forma proporcional a los riesgos y vulnerabilidades específicas y al tamaño de las entidades:

  1. las políticas de seguridad de los sistemas de información y análisis de riesgos;
  2. la gestión de incidentes;
  3. la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis;
  4. la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
  5. la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;
  6. las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;
  7. las prácticas básicas de ciberhigiene y formación en ciberseguridad;
  8. las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado;
  9. la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos;
  10. el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

Todas las medidas deben:

  • Ser proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes.
  • Tener en cuenta el estado de la técnica, y cuando proceda, las normas europeas e internacionales.

Por otro lado, la directiva recoge en su articulado obligaciones de notificación de cualquier incidente significativo. La directiva define como incidente significativo aquel que:

  1. Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada.
  2. Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

En el caso de ocurrir, la entidad deberá notificarlo sin demora a su CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos) o, en su caso, a su autoridad competente (si hubiera otras normas sectoriales aplicables). El procedimiento general será:

  • Primera notificación al CSIRT que ha de producirse mediante una alerta temprana en las primeras 24 h desde el conocimiento del mismo.
  • Antes de 72 h se ha de enviar una notificación del incidente actualizando la alerta y con una evaluación inicial en la que se indique su gravedad e el impacto, así como los IoC (indicadores de compromiso) cuando estén disponibles. Este plazo será de 24 h para prestadores de servicios de confianza.
  • Las autoridades o CSIRT podrán solicitar un informe intermedio que contenga las actualizaciones pertinentes sobre la situación.
  • Informe final, a más tardar un mes después de presentar la notificación del incidente, que deberá recoger los siguientes elementos:
    • Descripción detallada del incidente, incluyendo su gravedad e impacto.
    • El tipo de amenaza o causa principal que probablemente haya desencadenado el incidente.
    • Medidas paliativas aplicadas y en curso.
    • Cuando proceda, las repercusiones transfronterizas del incidente.
  • Si el incidente siguiera en curso en el momento de la presentación del informe final, los Estados miembros velarán por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.

Si es un incidente transfronterizo o intersectorial, el CSIRT informará al punto de contacto único a nivel nacional, en tiempo y forma pertinente, que se encargará de transmitir estas notificaciones a otros países o a otras autoridades de otros sectores.

Tanto los CSIRT de referencia y las autoridades competentes como el punto de contacto único se conocerán con la trasposición de la norma a la legislación española.

Volver al índice

¿Por qué es tan importante la seguridad en la cadena de suministro?

Una de las medidas que han de tomar las entidades esenciales e importantes consiste en gestionar los riesgos de seguridad de la cadena de suministro, entre estos: proveedores de servicios de almacenamiento y tratamiento de datos, proveedores de servicios de seguridad gestionados y editores de software. En particular, deben incorporar en los acuerdos contractuales con sus proveedores y prestadores de servicios directos medidas para la gestión de riesgos de ciberseguridad.

Esto es debido a la frecuencia e importancia de los incidentes provocados por ciberataques dirigidos a sus proveedores, aprovechando vulnerabilidades de los productos y servicios que proveen a las entidades, comprometiendo así la seguridad de las redes y los sistemas de información de estas.

Por ello, las entidades en el ámbito de la NIS2 deben evaluar y tener en cuenta la calidad general y la resiliencia de los productos y los servicios que contraten. También, las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.

Volver al índice

¿La supervisión se aplicará de la misma manera a todos los tipos de entidades?

En lo relativo a la supervisión y ejecución de medidas necesarias para garantizar el cumplimiento de la directiva, cuando se dispongan de pruebas, indicios o información de que una entidad presuntamente no cumple la presente directiva, los Estados miembros garantizarán que las autoridades competentes actúen, cuando proceda, a través de medidas de supervisión a priori o a posteriori, teniendo asimismo la obligación de velar por que esas medidas sean eficaces, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso.

La aplicación de la Directiva NIS2 varía significativamente dependiendo de si una entidad es considerada esencial o importante, lo que implica requisitos de supervisión distintos. En este contexto, las autoridades competentes de cada sector serán responsables de llevar a cabo la supervisión correspondiente.

En el supuesto de entidades esenciales, el régimen de supervisión deberá ser proporcionado, efectivo y disuasorio, es decir, se aplicará tanto a priori como a posteriori con respecto a los posibles incidentes y podrá conllevar suspensiones, prohibiciones temporales o multas. La persona física responsable de la entidad esencial o su representante podrá ser responsable por tales incumplimientos. El régimen de supervisión podrá contener, entre otras:

  • Inspecciones in situ y a distancia incluidas aleatorias.
  • Auditorías de seguridad periódicas y específicas.
  • Auditorías ad hoc (tras un incidente).
  • Análisis de seguridad.
  • Solicitudes de información necesaria para evaluar las medidas de gestión de riesgos adoptadas.
  • Solicitudes de acceso a datos e información para supervisión.
  • Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

En el supuesto de las entidades importantes, la supervisión será únicamente reactiva, es decir, a posteriori. En este caso, el régimen de supervisión, llevado a cabo por profesionales cualificados, podrá conllevar multas administrativas. Dicho régimen podrá contener, entre otras medidas:

  • Inspecciones in situ y supervisión a posteriori.
  • Auditorías de seguridad específicas.
  • Análisis de seguridad.
  • Solicitudes de información necesaria para evaluar a posteriori las medidas de gestión de riesgos adoptadas.
  • Solicitudes de acceso a datos e información para supervisión.
  • Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

Volver al índice

¿Qué multas y sanciones están contempladas en la NIS2 en caso de incumplimiento?

La Directiva NIS2 otorga a las autoridades nacionales una lista mínima de poderes coercitivos hacia las entidades afectadas en caso de incumplimiento, entre los que se incluyen:

  1. Apercibir por incumplimiento.
  2. Adoptar instrucciones vinculantes o requerimientos de subsanación.
  3. Ordenar el cese de una conducta que infrinja la directiva.
  4. Ordenar que se garanticen las medidas de gestión de riesgos o las obligaciones de información de manera y en un plazo determinados.
  5. Ordenar que se informe a las personas físicas o jurídicas a las que presten servicios o realicen actividades que se vean potencialmente afectadas por una ciberamenaza significativa.
  6. Ordenar que se apliquen las recomendaciones formuladas como resultado de una auditoría de seguridad en un plazo razonable.
  7. Designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento.
  8. Ordenar hacer públicos los aspectos de incumplimiento.
  9. Imponer multas administrativas.
  10. Puede suspenderse la certificación o autorización de una entidad esencial relativa al servicio, si no se cumple el plazo para tomar medidas.
  11. Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).

Adicionalmente, de forma proporcionada y disuasoria, se podrán imponer las siguientes sanciones:

  • Un máximo de, al menos, 10.000.000 euros o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca la entidad esencial en el ejercicio precedente, optándose por la de mayor cuantía.
  • Un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad importante en el ejercicio precedente, optándose por la de mayor cuantía.

Volver al índice

¿Qué responsabilidad tienen los órganos de dirección en las entidades afectadas?

Los órganos de dirección tienen la responsabilidad de aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación en entidades esenciales e importantes. El incumplimiento por parte de los órganos de dirección de cumplir con las exigencias contenidas en la directiva podría tener graves consecuencias, incluyendo responsabilidad, prohibiciones temporales y multas administrativas, según lo previsto en la legislación nacional de aplicación.

Los órganos de dirección de las entidades esenciales e importantes serán responsables de:

  • Aprobar la adecuación de las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad.
  • Supervisar la aplicación de las medidas de gestión de los riesgos.
  • Formarse con el fin de adquirir suficientes conocimientos y habilidades para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
  • Ofrecer una formación similar a sus empleados de forma regular.
  • Responsabilizarse del incumplimiento.

A nivel de gobernanza, los Estados miembros velarán para que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades, supervisen su puesta en práctica y respondan por el incumplimiento por parte de las entidades de dicho artículo.

Volver al índice

Compartir en Redes Sociales