Qué es NIS2 y quién debe implementar procedimientos específicos?

NIS2 es una directiva europea que actualiza y amplía los requisitos de ciberseguridad establecidos por la directiva NIS original de 2016.
La directiva NIS2 fue adoptada oficialmente por el Parlamento Europeo y el Consejo de la Unión Europea el 14 de diciembre de 2022. Entró en vigor el 16 de enero de 2023 y debe ser transpuesta a la legislación nacional de cada estado miembro de la Unión Europea antes del 17 de octubre de 2024.

El objetivo principal de la directiva NIS2 es mejorar la ciberseguridad de las infraestructuras críticas y garantizar una mejor coordinación y armonización de las medidas de seguridad en toda la Unión Europea. La directiva debe ser transpuesta a la legislación nacional de cada estado miembro antes del 17 de octubre de 2024, y las entidades afectadas deben cumplir con los nuevos requisitos para esa fecha.

¿Quién debe cumplir con las disposiciones de NIS2?

NIS2 se aplica a un mayor número de sectores en comparación con la directiva NIS inicial, clasificando las entidades en dos categorías principales:

1. Entidades Esenciales: Grandes empresas con al menos 250 empleados, una facturación anual superior a 50 millones de EUR o un balance anual superior a 43 millones de EUR. Estas incluyen:
   • Energía
   • Transporte
   • Finanzas
   • Administración Pública
   • Salud
   • Infraestructura Digital (por ejemplo, centros de datos, operadores de telecomunicaciones)
   • Agua potable y residual
2. Entidades Importantes: Empresas medianas con al menos 50 empleados o una facturación anual superior a 10 millones de EUR. Estas incluyen:
   • Servicios postales
   • Gestión de residuos
   • Industria química
   • Investigación
   • Producción alimentaria
   • Proveedores digitales (por ejemplo, motores de búsqueda, plataformas de comercio electrónico)

Requisitos principales de la directiva NIS2

NIS2 introduce requisitos más estrictos de ciberseguridad y establece sanciones severas en caso de incumplimiento:

1. Gestión de Riesgos Cibernéticos: Las organizaciones deben adoptar medidas técnicas y organizativas para mitigar los riesgos cibernéticos, incluidas la encriptación de datos, el control de acceso y la gestión de la seguridad en la cadena de suministro.
2. Notificación de Incidentes: Las entidades deben notificar los incidentes de seguridad con impacto significativo dentro de las 24 horas posteriores a su detección y proporcionar un informe completo en un plazo de 72 horas. Un informe final debe ser entregado en un plazo de un mes desde la notificación.
3. Responsabilidad de la Dirección: La dirección de la empresa es responsable de implementar las medidas de ciberseguridad y puede ser responsabilizada en caso de incumplimiento, incluidas sanciones personales como la prohibición de ocupar cargos directivos.
4. Continuidad del Negocio: Las empresas deben desarrollar planes para asegurar la continuidad del negocio en caso de incidentes cibernéticos, incluidas la recuperación de datos y la formación de un equipo de crisis.

Conclusión
NIS2 impone requisitos de seguridad más estrictos y una mejor coordinación entre los estados miembros, aplicándose a un mayor número de sectores esenciales e importantes de la economía de la UE. Las empresas afectadas deben evaluar rápidamente si están dentro del alcance de la directiva e implementar las medidas necesarias para cumplir con ella antes de octubre de 2024.

Para obtener más información o realizar consultas adicionales, no dude en ponerse en contacto con nosotros:

➡ Teléfono: (+4) 031 426 0745
📧 Correo electrónico: office@grecupartners.ro

Estamos aquí para ayudar y brindar apoyo legal para todas sus necesidades. Esperamos con interés hablar con usted.

Abogada Elena Grecu