Tribuna
Por
Transposición de la Directiva NIS 2: aspectos a tener en cuenta para cumplir con las nuevas normas de Ciberseguridad
Al igual que con otras directivas, cada Estado miembro está obligado a incorporarla en su legislación nacional. Se espera que esta transposición sea el 17 de octubre de 2024, siendo de aplicación el 18 de octubre del mismo año
La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, conocida como Directiva NIS 2, tiene como objeto establecer las medidas que garanticen un elevado nivel de ciberseguridad en toda la Unión Europea con el objetivo de mejorar el funcionamiento del mercado interior.
Esta Directiva se publicó en el Diario Oficial de la UE (DOUE) el 27 de diciembre de 2022 y entró en vigor en enero de 2023. Al igual que con otras directivas, cada Estado miembro está obligado a incorporarla en su legislación nacional. Se espera que esta transposición tenga lugar el 17 de octubre de 2024, siendo de aplicación el 18 de octubre del mismo año.
La Directiva NIS2 se aplica a las entidades que pertenecen a sectores de alta criticidad enumerados en el Anexo I, como la energía, el transporte, la banca, el sector sanitario, el suministro de agua, las infraestructuras digitales, las Administraciones Públicas y el sector espacial. Además, también abarca otros sectores críticos recogidos en el Anexo II como los servicios de mensajería, la gestión de residuos, el sector químico y alimentario, la manufactura y la investigación, tanto del sector público como del sector privado.
* Si no ves correctamente el módulo de suscripción, haz clic aquí
En lo que respecta al sector público, las entidades de la Administración pública están incluidas en el Anexo I de la Directiva NIS2 como sectores de alta criticidad, sin embargo, se excluye de esta categoría al poder judicial, los parlamentos y los bancos centrales, así como las que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa. La referencia se limita específicamente a la Administración pública central y autonómica (regional) aunque el apartado 5 del artículo 2, que trata sobre el ámbito de aplicación de la Directiva, establece que los Estados miembros pueden decidir extender su aplicación a las entidades de la Administración pública local y a los centros educativos, especialmente cuando realicen actividades críticas de investigación.
La Directiva NIS2 en su artículo 3 distingue entre entidades esenciales y entidades importantes en función del grado de criticidad del sector al que pertenecen, de los servicios que presten y de su tamaño. A estos efectos se consideran entidades esenciales la Administración pública central y las grandes empresas encuadradas en los sectores de alta criticidad, entre otras, aunque habrá que estar atentos a esta catalogación en el proceso de transposición al ordenamiento jurídico español, ya que se permite que cada Estado miembro pueda calificar adicionalmente otras entidades como esenciales según su propio criterio elaborando un listado que se actualizará periódicamente cada dos años.
La catalogación como entidad esencial o importante a efectos de la Directiva NIS2 conlleva unas obligaciones concretas cuyo incumplimiento puede derivar en la imposición de sanciones. Entre estas obligaciones, las entidades esenciales deberán gestionar los riesgos respecto a la seguridad de redes y sistemas de información que utilizan en sus operaciones o para la prestación de sus servicios, a la vez que minimizar las repercusiones de los potenciales incidentes de seguridad. El artículo 21 de la Directiva NIS2 establece de forma generalista diez agrupaciones de requisitos o medidas de seguridad mínimas que cada entidad deberá implementar.
Actualmente, en España es de aplicación el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), que incluye todos los requisitos de la Directiva NIS2. El ENS es de obligado cumplimiento en España para todo el sector público (estatal, autonómico y local), así como para los proveedores que ofrecen soluciones o servicios a dicho sector.
"Esto les permitirá ajustarse a las nuevas exigencias y evitar procedimientos sancionadores que podrían resultar en multas significativas"
Asimismo, la Directiva NIS2 obliga a las entidades esenciales e importantes a notificar cualquier incidente significativo a su equipo de respuesta a incidentes de seguridad informáticos (CSIRT) de referencia que será definido igualmente en la transposición cuando entre en vigor tras su publicación en el BOE.
En cuanto al régimen sancionador, la Directiva NIS2 habilita a los Estados miembros a imponer sanciones administrativas a las entidades que no cumplan con los requisitos y obligaciones relacionados con la gestión de riesgos de ciberseguridad y las obligaciones de notificación. Las sanciones deben ser efectivas, proporcionales y disuasorias, considerando las circunstancias de cada caso. Según el artículo 34 de la Directiva NIS2, las multas pueden llegar hasta 10.000.000 euros para las entidades esenciales, mientras que, para las entidades importantes, las multas pueden ser de hasta 7.000.000 euros.
En vista de lo anterior, es fundamental que tanto las entidades que ya estaban bajo la regulación de ciberseguridad previa, como aquellas que estarán sujetas a partir del 18 de octubre de 2024 a esta nueva regulación, tengan en cuenta la actualización de la Directiva NIS2. Esto les permitirá ajustarse a las nuevas exigencias y evitar procedimientos sancionadores que podrían resultar en multas significativas.
* Alba Toledano, asociada de derecho Público de Vaciero.
La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, conocida como Directiva NIS 2, tiene como objeto establecer las medidas que garanticen un elevado nivel de ciberseguridad en toda la Unión Europea con el objetivo de mejorar el funcionamiento del mercado interior.