La Directiva (UE) 2022/2555 (NIS2) sustituyó a la Directiva NIS original, ampliando el ámbito de aplicación y endureciendo las obligaciones de ciberseguridad para entidades esenciales e importantes.
¿A quién afecta?
NIS2 se aplica a un rango mucho más amplio de sectores que su predecesora:
- Sectores esenciales: energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio.
- Sectores importantes: servicios postales, gestión de residuos, fabricación de productos químicos, alimentación, fabricación de dispositivos médicos, informática y electrónica, proveedores digitales.
Obligaciones principales
- Implementar medidas de gestión de riesgos de ciberseguridad
- Notificar incidentes de seguridad en 24 horas (alerta inicial) y 72 horas (informe completo)
- Responsabilidad directa de los órganos de dirección
- Evaluaciones de riesgo de la cadena de suministro
Sanciones
Hasta 10 millones de euros o el 2% del volumen de negocio mundial para entidades esenciales. Hasta 7 millones o el 1,4% para entidades importantes.