Aplicaciones de las medidas Directiva (UE) 2022/2555

La ciberseguridad en Europa da un paso adelante con la Directiva NIS2 (UE 2022/2555), que amplía las obligaciones en materia de protección digital, abarcando más sectores y estableciendo estándares más rigurosos para la gestión de riesgos cibernéticos.

Nuestras Oficinas
info@ariolconsulting.com
 Image

NIS2

Nuestras Oficinas

Barcelona

Benet i Mateu, 40 08034

Madrid

Paseo de la Castellana 141, 28046

91 060 38 73
93 390 05 03

Bilbao

Edificio Albia San Vicente 8, 48001

94 434 01 71

Santiago de Compostela

Rúa Camiños da Vida, 15705

88 124 39 91

Sevilla

Avda. República Argentina 24,

41011

95 432 04 93

Valencia

Avda. Cortes Valencianas 39 46015

96 116 00 54

¿Qué implica Directiva NIS2?

Ante el creciente impacto de las amenazas cibernéticas, la Unión Europea ha introducido la Directiva NIS2 para fortalecer la seguridad digital en organizaciones clave. Esta nueva regulación sustituye a NIS1, ampliando su alcance con normativas más exigentes para garantizar una estrategia uniforme en todos los Estados miembros.

Principales Novedades de NIS2:

Cobertura ampliada

Incorpora nuevos sectores y clasifica a las empresas en "esenciales" o "importantes" según su rol en la economía y la sociedad.

Obligación de reporte de incidentes

Plazos más definidos para la notificación de ciberataques y coordinación entre Estados miembros.

Requisitos de seguridad más estrictos

Incluye medidas reforzadas en la cadena de suministro y mejores prácticas de ciberseguridad.

Sanciones más severas

Endurecimiento de las penalizaciones para garantizar el cumplimiento.

Mayor cooperación internacional

Refuerzo de la colaboración y el intercambio de información a través de iniciativas como el EU-CYCLONe.

¿A qué entidades afecta?

Directiva NIS2 afecta a empresas medianas y grandes, ya sean del ámbito público o privado, que desempeñen su actividad en sectores considerados críticos o estratégicos, conforme a lo estipulado en los Anexos I y II de la norma. Para determinar si una organización se encuentra dentro del ámbito de aplicación, se utiliza como referencia la clasificación definida en la Recomendación 2003/361/CE:


  • Microempresas: Menos de 10 trabajadores y una facturación o balance anual inferior a 2 millones de euros.
  • Pequeñas empresas: Menos de 50 empleados y volumen de negocio o balance anual menor a 10 millones de euros.
  • Medianas empresas: Entre 50 y 250 empleados, con ingresos anuales por debajo de 50 millones de euros o un balance inferior a 43 millones.
  • Grandes empresas: Más de 250 personas empleadas y un volumen de negocio o balance anual superior a 43 millones de euros.

Un aspecto importante a tener en cuenta es que aquellas entidades cuyo capital o derechos de voto estén en más de un 25% en manos de organismos públicos, no serán consideradas pymes bajo esta clasificación. Sin embargo, esta excepción no se tiene en cuenta en el contexto de NIS2, por lo que siguen estando sujetas a sus disposiciones.


¿Necesita aplicar medidas de cumplimiento NIS2?

Le garantizamos un servicio a medida para su empresa.

Directiva NIS2 en España

La Unión Europea aprobó oficialmente la Directiva NIS2 en noviembre de 2022, y su publicación se realizó en el Diario Oficial de la UE el 27 de diciembre del mismo año. Esta normativa comenzó a estar vigente desde el 16 de enero de 2023, dando inicio al periodo de adaptación por parte de los países miembros. Cada Estado miembro, incluida España, debe incorporar esta directiva a su legislación nacional a más tardar el 17 de octubre de 2024, comenzando su aplicación efectiva a partir del día siguiente, el 18 de octubre de 2024.


Calendario de adecuación

Aprobación

Noviembre de 2022

Entrada en vigor

16 de enero de 2023.

Publicación oficial:

27 de diciembre de 2022

Transposición en España

Hasta el 17 de octubre de 2024

Aplicación obligatoria

A partir del 18 de octubre de 2024

Impacto en Pequeñas Empresas

Aunque la Directiva NIS2 excluye, en principio, a microempresas y pequeñas empresas, existen ciertas excepciones cuando estas desempeñan funciones esenciales dentro de sectores estratégicos. Incluso con una estructura reducida, algunas organizaciones pueden quedar bajo el alcance de esta regulación si se dan determinadas condiciones, como, por ejemplo:

  1. Ser el único operador que brinda un servicio crucial dentro de un país miembro de la UE.
  2. Ofrecer servicios cuya interrupción represente un riesgo para la seguridad, el orden público o la salud de la población.
  3. Tener un papel cuya interrupción pueda causar consecuencias significativas más allá de las fronteras nacionales. .

Si su empresa ya cumplía con la NIS1, ¿También Debe Adaptarse a NIS2?

NIS2 supone una evolución significativa respecto a la normativa anterior, ampliando su cobertura e introduciendo cambios clave, como la eliminación de la división entre operadores de servicios esenciales (OSE) y proveedores de servicios digitales (PSD). En el caso de España, la implementación de NIS1 ya había abarcado sectores adicionales, incluyendo áreas como la administración pública, la industria alimentaria y la química. Con la llegada de NIS2, se redefine y expande el concepto de entidad esencial, lo que hace indispensable que las organizaciones revisen cuidadosamente el nuevo marco normativo. Incluso aquellas que ya cumplían con NIS1 podrían verse sujetas a nuevas obligaciones y controles más exigentes.

Sectores Clave Afectados por NIS2

Energia: Redes eléctricas, hidrógeno, infraestructura de carga de vehículos eléctricos.

Sanidad: Laboratorios, desarrollo de medicamentos y dispositivos médicos.

Infraestructura Digital: Computación en la nube, centros de datos y redes de comunicación.

Servicios TIC: Proveedores de seguridad gestionada y servicios informáticos esenciales.

Administraciones Públicas: Organismos gubernamentales de nivel estatal y regional.

Gestión del Agua: Infraestructuras de abastecimiento y saneamiento.

Espacio: Operadores de infraestructuras espaciales y satelitales.

Sectores de Alta Criticidad (Anexo I)

Otros Sectores Regulados (Anexo II)

  • Servicios postales y de mensajería.
  • Gestión de residuos y tratamiento de desechos peligrosos.
  • Industria química y alimentaria.Producción de equipos electrónicos, sanitarios y automoción.
  • Instituciones de investigación en sectores estratégicos.
  • Plataformas digitales, redes sociales y marketplaces.

¿Necesita aplicar medidas de cumplimiento NIS2?

Le garantizamos un servicio a medida para su empresa.

Obligaciones Claves para las Empresas Afectadas

Las organizaciones que entren dentro del ámbito de aplicación deberán implementar medidas avanzadas de ciberseguridad, incluyendo:

  1. Gestión de riesgos: Estrategias de seguridad y evaluación continua de amenazas.
  2. Planes de continuidad: Sistemas de backup, recuperación ante incidentes y protocolos de respuesta.
  3. Seguridad en la cadena de suministro: Supervisión de proveedores para mitigar vulnerabilidades.
  4. Protección de infraestructuras IT: Aplicación de autenticación multifactor y cifrado de datos.
  5. Capacitación en ciberseguridad: Formación periódica para el personal.
  6. Notificación de incidentes en plazos definidos.

Aplicación de NIS2 a Empresas Multinacionales en la UE

La Directiva NIS2 tiene un alcance aplicable en toda la Unión Europea, lo que implica que las empresas multinacionales deben adaptarse a las normativas de ciberseguridad en cada uno de los países miembros en los que operan. A pesar de que cada nación es responsable de incorporar la directiva en su legislación, las entidades estarán bajo la jurisdicción principal del país donde se encuentren establecidas.


En el caso de proveedores de servicios como redes de comunicación, plataformas de computación en la nube o redes sociales, la jurisdicción se determinará por el Estado miembro en el que se ubique la sede principal de la empresa. Si la compañía opera en múltiples países, deberá cumplir con las regulaciones locales de cada uno de ellos, con las autoridades nacionales colaborando en la supervisión y el control.


Si una empresa no está establecida en la Unión Europea, pero presta servicios dentro de su territorio, deberá nombrar un representante en al menos uno de los Estados miembros donde tenga presencia. Este enfoque asegura que las empresas multinacionales sigan un marco regulador armonizado y coherente en cuanto a ciberseguridad en toda la UE.

Proceso de Notificación de Incidentes

Primer aviso: Dentro de las primeras 24 horas tras la detección.

Informe preliminar: En 72 horas con detalles sobre el impacto inicial.

Actualización intermedia: Si lo requiere la autoridad competente.

Informe final: En un plazo de 1 mes, detallando origen, efectos y medidas correctivas.

Responsabilidades de los Órganos de Dirección

Image

Los responsables de la gestión a nivel directivo en las entidades consideradas esenciales e importantes tienen un rol crucial en la aprobación y supervisión de las políticas de gestión de riesgos relacionados con la ciberseguridad, tal como lo exige la Directiva NIS2. La falta de cumplimiento con estas responsabilidades puede resultar en sanciones severas, que incluyen multas, sanciones administrativas y restricciones temporales, conforme a la normativa nacional vigente. Entre las principales obligaciones de los órganos de dirección se incluyen:


  • Validar que las medidas adoptadas para la gestión de riesgos en ciberseguridad sean apropiadas y estén alineadas con las exigencias legales.
  • Monitorear la correcta implementación y cumplimiento de dichas medidas dentro de la entidad.
  • Invertir en la formación y actualización continua en ciberseguridad para desarrollar las competencias necesarias para identificar riesgos y evaluar la efectividad de las estrategias de seguridad.
  • Asegurar que se brinden programas de formación periódica a los empleados sobre temas de ciberseguridad.
  • Aceptar la responsabilidad por cualquier incumplimiento de las disposiciones establecidas por la normativa. .

Cumplimiento y Requerimientos Regulatorios

Las organizaciones sujetas a la Directiva NIS2 deben cumplir con las medidas relativas a la gestión de riesgos en ciberseguridad y la notificación de incidentes. Para verificar este cumplimiento, las autoridades competentes podrán llevar a cabo auditorías regulares o específicas, tanto para entidades esenciales como para aquellas consideradas importantes, basándose en evaluaciones de riesgos o como respuesta a incidentes de seguridad.


El cumplimiento puede ser evidenciado a través de la adopción de estándares y directrices europeos o internacionales, como los establecidos en la serie ISO/IEC 27000, que abordan la gestión de riesgos cibernéticos y la seguridad física de las redes y sistemas de información. Además, corresponde a los órganos de dirección aprobar y supervisar las medidas implementadas para la gestión de estos riesgos.


Durante las auditorías o en respuesta a requerimientos regulatorios, las entidades deberán presentar documentación detallada que respalde sus políticas de ciberseguridad, registros de actividades realizadas y evidencias de la aplicación efectiva de dichas políticas. Esto incluye proporcionar pruebas documentadas de las políticas adoptadas, información sobre su supervisión y demostrar la implementación efectiva, garantizando así la transparencia y el cumplimiento con las normativas establecidas.

Image
  • Entidades esenciales: Hasta 10M€ o el 2% de la facturación global anual.
  • Entidades importantes: Hasta 7M€ o el 1,4% de la facturación global anual.
  • Otras sanciones posibles:
  • Suspensión de certificaciones y licencias.
  • Inhabilitación temporal de directivos.
  • Publicación oficial de los incumplimientos detectados.

El incumplimiento de la normativa puede acarrear sanciones económicas significativas:

Consecuencias del Incumplimiento

Pida su PRESUPUESTO

Completa el formulario y lo contactaremos lo más pronto posible