La Directiva NIS2 ¿A qué entidades afecta?

La Directiva NIS2 afecta a un conjunto amplio de entidades que operan en sectores considerados críticos para la sociedad y la economía. Estas entidades se dividen en dos categorías principales: entidades esenciales y entidades importantes. A continuación, se detalla a qué tipo de entidades afecta la directiva NIS2:

1. Energía: empresas que operan en los sectores de electricidad, gas y petróleo. 
2. Transporte: operadores de transporte aéreo, marítimo, ferroviario y por carretera. 
3. Banca: instituciones financieras, incluyendo bancos y cooperativas de crédito.
4. Infraestructuras de mercado financiero: entidades que proporcionan servicios críticos para los mercados financieros, como las bolsas de valores. 
5. Salud: proveedores de atención médica, hospitales y otros servicios de salud críticos. 
6. Agua potable y saneamiento: empresas que suministran agua potable y de servicios de tratamiento de aguas residuales. 
7. Infraestructuras digitales: proveedores de servicios de Internet, centros de datos, servicios de nube, y otras infraestructuras esenciales para el funcionamiento de las tecnologías de la información y la comunicación.

1. Servicios postales y de mensajería: empresas que proporcionan servicios de correos y paquetería. 
2. Gestión de residuos: empresas que gestionan residuos, incluidos los peligrosos. 
3. Fabricación: empresas en sectores de fabricación específicos, especialmente aquellas que producen productos críticos. 
4. Productos químicos: empresas que producen, almacenan o utilizan productos químicos peligrosos. 
5. Alimentación: empresas del sector alimentario que son cruciales para la cadena de suministro de alimentos. 
6. Fabricación de dispositivos médicos: empresas que fabrican dispositivos médicos críticos. 
7. Espacio: entidades que operan en el sector espacial, incluyendo satélites y sistemas de comunicación espacial. 
8. Administración pública: organismos gubernamentales y entidades públicas que gestionan servicios esenciales.

• Proveedores de servicios digitales: empresas que ofrecen servicios digitales como motores de búsqueda, servicios de computación en la nube y plataformas en línea. 
• Redes y sistemas de información de operadores de servicios esenciales y proveedores de servicios digitales: entidades responsables de la seguridad y operatividad de redes y sistemas de información críticos.

¿Qué tamaño mínimo debe tener la entidad para ser sujeto obligado de la Directiva NIS2?

La Directiva NIS2 establece que las empresas deben cumplir con ciertos umbrales de tamaño para ser consideradas como sujetos obligados. En general, la directiva se aplica principalmente a las medianas y grandes empresas. Aquí están los criterios específicos de tamaño:

• Emplean a más de 50 personas
• Tienen un volumen de negocios anual o un balance general anual superior a 10 millones de euros. 

• Emplean a más de 250 personas
• Tienen un volumen de negocios anual superior a 50 millones de euros o un balance general anual superior a 43 millones de euros.

¿Cuáles son las obligaciones principales que establece la directiva NIS2?

1. Gestión de riesgos de seguridad: Las empresas deben adoptar medidas de gestión de riesgos y seguridad adecuadas para prevenir y minimizar el impacto de los ciberincidentes. Esto incluye la implementación de medidas técnicas y organizativas para garantizar un nivel adecuado de seguridad de sus redes y sistemas de información.
2. Notificación de incidentes: Las empresas deben notificar a las autoridades competentes sobre cualquier incidente de seguridad significativo que pueda tener un impacto en la prestación de servicios esenciales. La notificación debe hacerse sin demora indebida y proporcionar información suficiente para permitir una evaluación adecuada del incidente.
3. Cooperación y coordinación: Las empresas deben cooperar con las autoridades nacionales y otros actores relevantes en el intercambio de información sobre riesgos y incidentes de seguridad. Esto incluye participar en ejercicios de ciberseguridad y compartir información sobre amenazas y vulnerabilidades.4. Gobernanza y responsabilidades: Las empresas deben designar a personas responsables de la gestión de la seguridad de la información y establecer políticas claras sobre la gobernanza y las responsabilidades en materia de ciberseguridad.
4. Evaluaciones y auditorías: Las empresas están obligadas a realizar evaluaciones periódicas de sus políticas y prácticas de seguridad cibernética.También pueden ser objeto de auditorías y controles por parte de las autoridades competentes para asegurar el cumplimiento de los requisitos de la directiva.
5. Capacitación y concienciación: Las empresas deben proporcionar capacitación regular y concienciación a sus empleados sobre las políticas de ciberseguridad y las mejores prácticas para prevenir y gestionar incidentes de seguridad.
6. Gestión de la cadena de suministro: Las empresas deben asegurarse de que sus proveedores y socios comerciales cumplan con los requisitos de ciberseguridad. Esto puede implicar la realización de evaluaciones de riesgos y la implementación de medidas de seguridad adicionales para proteger la cadena de suministro.
7. Protección de datos personales: Las empresas deben implementar medidas para garantizar la protección de los datos personales y cumplir con las regulaciones de protección de datos, como el Reglamento General de Protección de Datos (RGPD).

Estas obligaciones están diseñadas para fortalecer la ciberresiliencia en la Unión Europea y proteger a las infraestructuras críticas las ciberamenazas.