La Directiva NIS2 (Seguridad de las Redes y Sistemas de Información, en inglés Security of Network and Information Systems) reemplaza la Directiva NIS de 2016 y amplía su alcance a más empresas y sectores críticos mejorando la resiliencia y las capacidades de respuesta a incidentes de las entidades públicas y privadas, las autoridades competentes y la UE en su conjunto mediante medidas jurídicas destinadas a impulsar un nivel global garantizado de ciberseguridad en la UE.
La Unión creará un Grupo Europeo de Respuesta a Incidentes de Ciberseguridad (CSIRTs) destinado a facilitar la cooperación entre los Estados miembros.
NIS2 forzará a los Estados miembros la correcta preparación, exigiéndoles que estén debidamente equipados, por ejemplo, con un equipo de respuesta a incidentes de seguridad informática (CSIRT) y una autoridad nacional competente de redes y sistemas de información (NIS) y promueve la cooperación entre todos los Estados miembros mediante la creación de un Grupo de Cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros.
La Directiva introduce una regla de umbral de tamaño clara, lo que significa que todas las empresas medianas y grandes se incluirán en el ámbito de aplicación así como empresas de tamaño reducido de sectores seleccionados, dejando cierta discrecionalidad a los Estados miembros para identificar entidades más pequeñas con un alto perfil de riesgo de seguridad que también deberían estar cubiertas por las obligaciones de la nueva Directiva.Sin embargo, las obligaciones específicas varían según el tamaño y el sector de la empresa:
Empresas «esenciales»: aquellas con más de 250 empleados y un volumen de negocio anual superior a 50 millones de euros o un balance anual superior a 43 millones de euros o, independientemente del tamaño, si operan en un sector crítico, como energía, transporte, finanzas, salud o proveedores de servicios digitales.
Empresas «importantes»: las que cuenten con más de 50 empleados y un volumen de negocio anual superior a 10 millones de euros o un balance anual superior a 43 millones de euros.
NIS2 cubrirá empresas y sectores de alta criticidad como empresas de energía (electricidad, calefacción y refrigeración urbana, petróleo, gas e hidrógeno), de transporte (aéreo, ferroviario, acuático y por carretera), sector bancario, infraestructuras del mercado financiero, salud (incluida la fabricación de productos farmacéuticos, vacunas o fabricación de dispositivos médicos), depuración de agua potable y tratamiento de aguas residuales, infraestructura digital (puntos de intercambio de Internet, proveedores de servicios DNS, registros de nombres de TLD, proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, redes de entrega de contenidos, proveedores de servicios de confianza, proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicaciones electrónicas disponibles públicamente), empresas de gestión de servicios TIC (proveedores de servicios gestionados y proveedores de servicios gestionados de seguridad), administración pública y del espacio, proveedores de servicios digitales (como los motores de búsqueda, servicios de computación en nube y los mercados en línea), servicios postales y de mensajería, gestión de residuos, productos químicos, alimentación, fabricantes de ordenadores y electrónica, vehículos de motor, remolques y semirremolques y otros equipos de transporte.
Como novedad es que la Directiva aborda la seguridad de las cadenas de suministro y las relaciones con los proveedores al exigir que las empresas individuales aborden los riesgos de ciberseguridad en las cadenas de suministro y las relaciones con los proveedores.
La nueva Directiva introduce disposiciones más precisas sobre el proceso presentación de informes y de notificación de incidentes graves, el contenido de los informes y los plazos, con un enfoque de múltiples etapas para la notificación de incidentes. Las empresas afectadas tienen 24 horas desde que tienen conocimiento de un incidente por primera vez para enviar una alerta temprana al CSIRT o a la autoridad nacional competente que también les permitiría buscar asistencia (orientación o asesoramiento operativo sobre la implementación de posibles medidas de mitigación) si así lo solicitan. él. La alerta temprana debe ir seguida de una notificación de incidente dentro de las 72 horas siguientes a tener conocimiento del incidente y un informe final a más tardar un mes después.
Para garantizar el cumplimiento de la Directiva se amplía la supervisión y el control, incluyendo obligación de auditorías periódicas y específicas, controles in situ y extra situ, solicitud de información y acceso a documentos o pruebas, estableciendo una diferenciación de regímenes de supervisión entre entidades esenciales e importantes con vistas a garantizar un equilibrio justo de obligaciones que evite la saturación tanto de las entidades como de las autoridades supervisoras competentes.
Se establece un marco de las sanciones en toda la Unión, con multas administrativas distinguiendo entre entidades esenciales e importantes. En el caso de las entidades esenciales, exige que los Estados miembros establezcan un cierto nivel de multas administrativas, en particular un máximo de al menos 10.000.000 de euros o el 2% del volumen de negocios anual total mundial del ejercicio financiero anterior, lo que sea mayor. Con respecto a las entidades importantes exige que los Estados miembros establezcan una multa máxima de al menos 7.000.000 EUR o al menos el 1,4 % del volumen de negocios anual total mundial del ejercicio financiero anterior, lo que sea mayor.
Los Estados miembros deberán transponer la Directiva antes del 17 de octubre de 2024 y las empresas deberán aplicarla el 17 de octubre de 2025.