Imagen: Tumisu @ Pixabay

La Directiva (UE) 2022/2555, conocida como NIS2, establece principalmente obligaciones de ciberseguridad, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación

El 27 de diciembre de 2022 se publicó la DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 14 de, diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2)(Abre en nueva ventana) , conocida también como NIS2. Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades en su ámbito de aplicación, obligaciones relativas al intercambio de información sobre ciberseguridad, así como obligaciones de supervisión y ejecución para los Estados miembros.

En primer lugar, la Directiva NIS2 establece para los Estados miembros obligaciones en relación con las siguientes cuestiones, de forma resumida: elaborar, mantener y comunicar a la Comisión un listado de entidades esenciales e importantes; adoptar, notificar a la Comisión y evaluar periódicamente una estrategia nacional de ciberseguridad; designar autoridades competentes de ciberseguridad, supervisión y punto de contacto único, así como notificar a la Comisión y garantizar recursos para que puedan realizar su función; articular una plan nacional para gestión de crisis de ciberseguridad, así como designar autoridades competentes y determinar capacidades; designar equipos de respuesta a incidentes de seguridad informática (CSIRT), así como garantizar recursos, capacidades técnicas y cooperación efectiva; designar CSIRT para la divulgación coordinada de vulnerabilidades; garantizar la cooperación a escala nacional (junto con disposiciones relativas a la cooperación en el ámbito europeo); y, en relación con la supervisión y ejecución, garantizar que las autoridades competentes supervisen efectivamente y adopten las medidas necesarias incluyendo régimen sancionatorio.

En segundo lugar, la Directiva NIS2 establece para las entidades en su alcance, indicadas en sus anexos I y II, obligaciones tales como las siguientes, también de forma resumida: adoptar medidas de gobernanza, gestión de riesgos de ciberseguridad e información (reporting); adoptar medidas técnicas y organizativas proporcionadas para gestionar los riesgos de ciberseguridad; así como para prevenir y minimizar el impacto de posibles ciberincidentes; notificar los incidentes de ciberseguridad al CSIRT o autoridad competente correspondiente; que los gestores reciban formación sobre los riesgos de ciberseguridad, siendo responsables en cuanto a la adopción de las medidas adecuadas; utilizar esquemas europeos de certificación; remitir a las autoridades competentes la información requerida y notificar cualquier cambio en la misma. Adicionalmente se contemplan el intercambio voluntario de información de ciberseguridad entre entidades esenciales e importantes y la notificación, de forma voluntaria, a las autoridades competentes o a los CSIRT cualquier incidente, amenaza cibernética o cuasi incidente relevante.

La directiva NIS 2 amplía su ámbito de aplicación para abarcar a entidades medianas y grandes de más sectores críticos para la economía y la sociedad, incluyendo proveedores de servicios públicos de comunicaciones electrónicas, servicios digitales, gestión de aguas residuales y residuos, fabricación de productos críticos, servicios postales y de mensajería, así como a las Administraciones Públicas (en el caso de España Entidades de la Administración General del Estado; Entidades de administraciones públicas de Comunidades Autónomas; y se podrá determinar su aplicación a entidades de la Administración Pública a nivel local).

Otras novedades reseñables de la Directiva NIS 2 son, por ejemplo, que contempla la seguridad de la cadena de suministro y las relaciones con los proveedores; y que introduce la responsabilidad de la alta dirección por el incumplimiento de las obligaciones de ciberseguridad.

Texto de la DIRECTIVA (UE) 2022/2555

Ah, hola 👋
Un placer conocerte.

Regístrate para recibir contenido genial en tu bandeja de entrada.

¡No enviamos spam! Lee nuestra política de privacidad para más información.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies