EU 2022/2555

¿Qué es NIS2?

Directiva (UE) 2022/2555 sobre ciberseguridad, la revisión más importante de la regulación de ciberseguridad de toda la UE desde 2016.

Simon OrzelSimon Orzel·Laufend geprüft

Resumen

La Directiva NIS2 (Directiva (UE) 2022/2555) es el marco actualizado de la Unión Europea para alcanzar un elevado nivel común de ciberseguridad en todos los Estados miembros. Sustituye a la Directiva NIS original de 2016.

NIS2 amplía drásticamente el ámbito de aplicación de la regulación de ciberseguridad de la UE: de aproximadamente 10.000 entidades bajo NIS1 a un estimado de 160.000 en toda Europa. Solo en Alemania, alrededor de 29.500 empresas se ven afectadas.

La directiva impone medidas armonizadas de gestión de riesgos, obligaciones de notificación de incidentes y requisitos de seguridad de la cadena de suministro. Introduce la responsabilidad personal de la dirección y sanciones significativamente más elevadas por incumplimiento.

Fechas clave
FechaEvento
27 de diciembre de 2022La Directiva NIS2 se publica en el Diario Oficial de la UE
16 de enero de 2023NIS2 entra en vigor a nivel de la UE
17 de octubre de 2024Plazo para que los Estados miembros la transpongan al derecho nacional
17 de abril de 2025Plazo para que los Estados miembros establezcan registros de entidades
17 de octubre de 2027La Comisión Europea revisa el funcionamiento de la directiva
Ver el calendario completo de NIS2
NIS1 frente a NIS2
AspectoNIS1 (2016)NIS2 (2022)
Ámbito de aplicación~10.000 entidades en la UE~160.000 entidades en la UE
Sectores7 sectores18 sectores (11 de alta criticidad + 7 otros críticos)
Clasificación de entidadesOperadores de servicios esenciales (OES) + proveedores de servicios digitalesEntidades esenciales + entidades importantes (en función del tamaño)
SancionesFijadas por los Estados miembros, con gran variaciónArmonizadas: hasta 10 M EUR o el 2 % del volumen de negocios mundial
Responsabilidad de la direcciónNo reguladaResponsabilidad personal de los órganos de dirección
Notificación de incidentesSin demora indebidaCascada estricta de 24 h / 72 h / 1 mes
Cadena de suministroNo reguladaEvaluación obligatoria de la seguridad de la cadena de suministro
SupervisiónDejada a los Estados miembrosProactiva (esenciales) + reactiva (importantes)

18 sectores afectados

Anexo I: Sectores de alta criticidad
Las grandes entidades de estos sectores se clasifican como esenciales (entidades esenciales). Las entidades medianas se clasifican como importantes.
  1. 01Energía (electricidad, calefacción/refrigeración urbana, petróleo, gas, hidrógeno)
  2. 02Transporte (aéreo, ferroviario, por vías navegables, por carretera)
  3. 03Banca
  4. 04Infraestructuras de los mercados financieros
  5. 05Salud (hospitales, farmacéuticas, productos sanitarios, laboratorios de referencia)
  6. 06Agua potable
  7. 07Aguas residuales
  8. 08Infraestructura digital (DNS, TLD, nube, centros de datos, CDN, telecomunicaciones)
  9. 09Gestión de servicios TIC, B2B (MSP, MSSP)
  10. 10Administración pública
  11. 11Espacio
Anexo II: Otros sectores críticos
Las entidades de estos sectores se clasifican como importantes, con independencia de que sean medianas o grandes.
  1. 01Servicios postales y de mensajería
  2. 02Gestión de residuos
  3. 03Productos químicos (fabricación, producción, distribución)
  4. 04Alimentación (comercio mayorista, producción industrial, transformación)
  5. 05Fabricación (productos sanitarios, electrónica, equipos eléctricos, maquinaria, vehículos de motor, otro material de transporte)
  6. 06Proveedores digitales (mercados en línea, motores de búsqueda, redes sociales)
  7. 07Organizaciones de investigación
Umbrales de tamaño
NIS2 utiliza la definición de pyme de la UE. La clasificación se determina por el número de empleados O por las cifras financieras (para la prueba financiera deben superarse TANTO el volumen de negocios COMO el balance general).
TamañoEmpleadosUmbral financieroÁmbito de NIS2
Grande≥ 250> 50 M EUR de volumen de negocios Y > 43 M EUR de balance generalDentro del ámbito
Mediana≥ 50 (y < 250)> 10 M EUR de volumen de negocios Y > 10 M EUR de balance generalDentro del ámbito
Pequeña< 50≤ 10 M EUR de volumen de negocios Y ≤ 10 M EUR de balance generalGeneralmente fuera del ámbito

Determinados tipos de entidad están dentro del ámbito con independencia de su tamaño, incluidos los proveedores de DNS, los registros de TLD, los prestadores cualificados de servicios de confianza, los operadores KRITIS y los proveedores únicos de servicios esenciales.

Obligaciones clave de un vistazo
  • Implementar 10 medidas obligatorias de gestión de riesgos de ciberseguridad
  • Notificar los incidentes significativos en un plazo de 24 h / 72 h / 1 mes
  • La dirección debe aprobar, supervisar y formarse en ciberseguridad
  • Evaluar y gestionar los riesgos de ciberseguridad en la cadena de suministro
  • Registrarse ante la autoridad nacional competente
  • Mantener pruebas del cumplimiento (auditorías para operadores KRITIS cada 3 años)