Término del glosario
NIS2
NIS2 es la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión, en vigor desde el 16 de enero de 2023. El plazo de transposición al ordenamiento interno de los Estados miembros venció el 17 de octubre de 2024.
Qué incluye NIS2
NIS2 sustituye a la Directiva NIS (UE) 2016/1148 y amplía su ámbito. Distingue entre entidades "esenciales" (Anexo I: energía, transporte, banca, mercados financieros, sanidad, agua, infraestructuras digitales, administración pública, espacio) y entidades "importantes" (Anexo II: postal, residuos, química, alimentación, fabricación, proveedores digitales, investigación).
Exige medidas técnicas y organizativas en gestión de riesgos (art. 21): políticas de análisis de riesgos y seguridad de los sistemas, gestión de incidentes, continuidad y gestión de crisis, seguridad de la cadena de suministro, seguridad en adquisición/desarrollo, evaluación de eficacia, formación, criptografía, control de acceso, autenticación multifactor, comunicaciones seguras y gestión de activos. Notificación de incidentes significativos: alerta temprana en 24 horas y notificación en 72 horas.
A quién aplica
Entidades medianas y grandes (más de 50 empleados o más de 10 M€ de facturación) que operan en los sectores de los Anexos I y II, además de entidades específicas con independencia del tamaño (proveedores de DNS, registros de TLD, prestadores de servicios fiduciarios, administración pública central, etc.). Los Estados pueden añadir sectores adicionales.
Plazos y costes orientativos
Plazo de transposición: hasta el 17 de octubre de 2024. En España la transposición sigue su tramitación legislativa; consultar el BOE y la web de INCIBE para el estado vigente. Sanciones máximas previstas: 10 M€ o el 2% del volumen de negocios anual mundial para entidades esenciales; 7 M€ o 1,4% para importantes. Adecuación habitual en pymes obligadas: 6-12 meses.
Errores frecuentes
- Asumir que solo afecta a "infraestructuras críticas": NIS2 amplía mucho el ámbito subjetivo.
- No identificar el tamaño y sector con criterios homogéneos (recomendación 2003/361/CE para pyme).
- Olvidar la cadena de suministro y los terceros: NIS2 exige evaluarla y controlarla.
- No formar a la dirección: los órganos de administración pueden incurrir en responsabilidad personal (art. 20).