Aplicaciones de las medidas Directiva (UE) 2022/2555

La ciberseguridad en Europa da un paso adelante con la Directiva NIS2 (UE 2022/2555), que amplía las obligaciones en materia de protección digital, abarcando más sectores y estableciendo estándares más rigurosos para la gestión de riesgos cibernéticos.

NIS2

Nuestras Oficinas

Barcelona

Benet i Mateu, 40 08034

Madrid

Paseo de la Castellana 141, 28046

Bilbao

Edificio Albia San Vicente 8, 48001

Santiago de Compostela

Rúa Camiños da Vida, 15705

Sevilla

Avda. República Argentina 24,

41011

Valencia

Avda. Cortes Valencianas 39 46015

¿Qué implica Directiva NIS2?

Ante el creciente impacto de las amenazas cibernéticas, la Unión Europea ha introducido la Directiva NIS2 para fortalecer la seguridad digital en organizaciones clave. Esta nueva regulación sustituye a NIS1, ampliando su alcance con normativas más exigentes para garantizar una estrategia uniforme en todos los Estados miembros.

Principales Novedades de NIS2:

Cobertura ampliada

Incorpora nuevos sectores y clasifica a las empresas en "esenciales" o "importantes" según su rol en la economía y la sociedad.

Obligación de reporte de incidentes

Plazos más definidos para la notificación de ciberataques y coordinación entre Estados miembros.

Requisitos de seguridad más estrictos

Incluye medidas reforzadas en la cadena de suministro y mejores prácticas de ciberseguridad.

Sanciones más severas

Endurecimiento de las penalizaciones para garantizar el cumplimiento.

Mayor cooperación internacional

Refuerzo de la colaboración y el intercambio de información a través de iniciativas como el EU-CYCLONe.

¿A qué entidades afecta?

NIS2 se aplica a empresas medianas y grandes, tanto públicas como privadas, pertenecientes a sectores estratégicos recogidos en los Anexos I y II de la normativa.

Clasificación empresarial según la UE

• Microempresas: Menos de 10 empleados y facturación < 2M€.
• Pequeñas empresas: Menos de 50 empleados y facturación < 10M€.
• Medianas empresas: Entre 50 y 250 empleados, facturación < 50M€.
• Grandes empresas: Más de 250 empleados y facturación > 43M€.

Además, las entidades con más del 25% de su capital controlado por organismos públicos no se consideran pymes.

¿Necesita aplicar medidas de cumplimiento NIS2?

Le garantizamos un servicio a medida para su empresa.

Calendario de adecuación

Aprobación

Noviembre de 2022

Entrada en vigor

16 de enero de 2023.

Publicación oficial:

27 de diciembre de 2022

Transposición en España

Hasta el 17 de octubre de 2024

Aplicación obligatoria

A partir del 18 de octubre de 2024

Impacto en Pequeñas Empresas

Aunque en principio está dirigida a empresas de mayor tamaño, la normativa también afecta a ciertas pymes si cumplen alguno de estos criterios:

1. Son el único proveedor de un servicio esencial en un país de la UE.
2. Prestan servicios críticos para la seguridad pública.
3. Su interrupción tendría un impacto transfronterizo significativo.

Sectores Clave Afectados por NIS2

Energia: Redes eléctricas, hidrógeno, infraestructura de carga de vehículos eléctricos.

Sanidad: Laboratorios, desarrollo de medicamentos y dispositivos médicos.

Infraestructura Digital: Computación en la nube, centros de datos y redes de comunicación.

Servicios TIC: Proveedores de seguridad gestionada y servicios informáticos esenciales.

Administraciones Públicas: Organismos gubernamentales de nivel estatal y regional.

Gestión del Agua: Infraestructuras de abastecimiento y saneamiento.

Espacio: Operadores de infraestructuras espaciales y satelitales.

Sectores de Alta Criticidad (Anexo I)

Otros Sectores Regulados (Anexo II)

• Servicios postales y de mensajería.
• Gestión de residuos y tratamiento de desechos peligrosos.
• Industria química y alimentaria.Producción de equipos electrónicos, sanitarios y automoción.
• Instituciones de investigación en sectores estratégicos.
• Plataformas digitales, redes sociales y marketplaces.

¿Necesita aplicar medidas de cumplimiento NIS2?

Le garantizamos un servicio a medida para su empresa.

Obligaciones Claves para las Empresas Afectadas

Las organizaciones que entren dentro del ámbito de aplicación deberán implementar medidas avanzadas de ciberseguridad, incluyendo:

1. Gestión de riesgos: Estrategias de seguridad y evaluación continua de amenazas.
2. Planes de continuidad: Sistemas de backup, recuperación ante incidentes y protocolos de respuesta.
3. Seguridad en la cadena de suministro: Supervisión de proveedores para mitigar vulnerabilidades.
4. Protección de infraestructuras IT: Aplicación de autenticación multifactor y cifrado de datos.
5. Capacitación en ciberseguridad: Formación periódica para el personal.
6. Notificación de incidentes en plazos definidos.

Proceso de Notificación de Incidentes

Primer aviso: Dentro de las primeras 24 horas tras la detección.

Informe preliminar: En 72 horas con detalles sobre el impacto inicial.

Actualización intermedia: Si lo requiere la autoridad competente.

Informe final: En un plazo de 1 mes, detallando origen, efectos y medidas correctivas.

Responsabilidad de los Órganos de Dirección

Los directivos de las empresas afectadas tendrán la responsabilidad de:

• Normativas internacionales: Implementación de estándares como ISO/IEC 27001.
• Auditorías regulares: Evaluaciones oficiales por parte de las autoridades nacionales.
• Registros de seguridad: Documentación detallada de medidas, procedimientos y respuesta ante incidentes.

Cumplimiento y Auditorías

• Supervisar la aplicación de las medidas de seguridad exigidas.
• Garantizar la formación en ciberseguridad de empleados y equipos.
• Cumplir con auditorías y revisiones regulatorias.
• Asumir responsabilidades legales en caso de incumplimiento.

Las empresas podrán acreditar su cumplimiento mediante:

• Entidades esenciales: Hasta 10M€ o el 2% de la facturación global anual.
• Entidades importantes: Hasta 7M€ o el 1,4% de la facturación global anual.
• Otras sanciones posibles:

• Suspensión de certificaciones y licencias.
• Inhabilitación temporal de directivos.
• Publicación oficial de los incumplimientos detectados.

El incumplimiento de la normativa puede acarrear sanciones económicas significativas:

Consecuencias del Incumplimiento

Pida su PRESUPUESTO

Completa el formulario y lo contactaremos lo más pronto posible