DIRECTIVA NIS II: ¿QUÉ ES? ¿TENGO QUE CUMPLIRLA?

La acelerada transformación digital ha generado un entorno de nuevos desafíos que requieren respuestas apropiadas, como las ciberamenazas. La magnitud y la frecuencia de los incidentes va en aumento, suponiendo un gran peligro para el funcionamiento de las organizaciones. Frente a este escenario, es preciso tomar medidas que engloben a todas las entidades que operen en la Unión Europea.
En fecha 14 de diciembre de 2022 se aprobó la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº. 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2), también conocida como Directiva NIS2, que entró en vigor el 27 de diciembre de 2022 y que deberá ser traspuesta en los Estados miembros antes del 17 octubre de 2024.
Si bien en España la Directiva NIS2 aún no ha sido traspuesta dado que se encuentra en fase de anteproyecto, sí que podemos conocer las obligaciones de ciberseguridad, de medidas para la gestión de los riesgos, de notificación, de intercambio de información sobre ciberseguridad y de supervisión y ejecución que tienen que cumplir un amplio listado de organizaciones. Entonces, ¿estoy obligado a cumplirla?
Para dar respuesta a esta cuestión debemos acudir al artículo 2 de la Directiva, que establece la obligación de implementar las medidas de la NIS2 a:
- Empresas de más de 250 empleados con un volumen de facturación de más de 50 millones de euros o cuyo balance general anual excede de 43 millones de euros.

- Empresas de más de 50 empleados con un volumen de facturación de más de 10 millones de euros de los siguientes sectores:

   energía,
   transporte,
   banca,
   infraestructura de los mercados financieros,
   sanitario,
   agua potable,
   aguas residuales,
   infraestructura digital,
   gestión de servicios TIC,
   espacio,
   servicios postales y de mensajería,
   gestión de residuos,
   fabricación, producción y distribución de sustancias y mezclas químicas,
   producción, transformación y distribución de alimentos,
   fabricación,
   proveedores de servicios digitales,
   e investigación.

- Las entidades que estén dentro de los sectores mencionados sin importar su tamaño y facturación cuando:

   Los servicios sean prestados por proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público; prestadores de servicios de confianza; o registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio.
   Sean el único proveedor de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.
   Una perturbación de su servicio pudiera repercutir significativamente sobre la seguridad, orden y salud públicas o pudiera inducir riesgos significativos que pudiera tener repercusiones de carácter transfronterizo.
   Sea crítica a la luz de su importancia a nivel nacional o regional para el sector o tipo de servicio o para otros sectores interdependientes.

- Administraciones Públicas (a espera de mayor especificación en la disposición que lo desarrolle en la normativa nacional).

- Entidades que presten servicios de registro de dominio.

-   Entidades críticas (deberán ser identificadas por los Estados miembros antes del 17 de julio de 2026).
   ¿Eres una organización obligada al cumplimiento de la Directiva NIS2? Entonces deberás asumir una serie de responsabilidades e implementar medidas técnicas, operativas y de organización adecuadas y proporcionadas según el nivel de riesgos que se planteen para la seguridad de los sistemas de redes y de información y prevenir o minimizar las repercusiones de los incidentes que pudieran acontecer.
   Preparar a las entidades en materia de ciberseguridad para dar una respuesta eficaz a cualquier contingencia se ha convertido en el objetivo de Datalia. Es preciso dotar a los organismos de mecanismos necesarios que aseguren la salvaguarda de sus intereses esenciales. Para ello, es imprescindible adaptarse a los procedimientos reglados en la normativa nacional y supranacional que garanticen la seguridad y el cumplimiento normativo.
   El incumplimiento de los requisitos puede llevar aparejadas sanciones de hasta 10 millones de euros. Para evitarlo, desde Datalia te podemos ayudar a mejorar o a implementar los recursos necesarios para tener la capacidad de hacer frente a las ciberamenazas mediante el estudio de los principales puntos de riesgo, detectando los puntos débiles de la organización y aportando una solución ágil.