El 27 de diciembre de 2022, se publicó la norma europea NIS2. Se trata de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo que fija una serie de obligaciones para los Estados miembros relativas a ciberseguridad. Entre ellas, incluye el imperativo de notificar a las entidades competentes cualquier evento al respecto a fin de reducir vulnerabilidades. Además, esta norma deroga la SRI2 por la que, hasta ahora, nos regíamos. Desde Gesprodat, consideramos importante que conozcas estos cambios y por puedes asistir a nuestro webinar gratuito del día 21 de noviembre sobre la NIS2.
¿En qué consiste la norma europea NIS2?
Su finalidad es reforzar la ciberseguridad e incrementar el nivel online de confianza ante el aumento de riesgos cibernéticos. Para ello, establece dos objetivos. Por un lado, amplía el alcance de las organizaciones que quedan bajo su jurisdicción. Y por otro, armoniza el cuerpo normativo de todos los países miembros.
Esta norma se aplica a 18 sectores, que se clasifican en dos grupos:
-
De alta criticidad: Incluye la banca, los transportes, la energía, las administraciones públicas, el agua potable o las infraestructuras digitales, entre otros. Sin embargo, no incorpora a los bancos centrales, parlamentos o poder judicial.
-
Otros sectores críticos: Afecta a la alimentación, investigación, sector químico, proveedores digitales o servicios postales, etcétera.
Por otro lado, uno de los cambios más notables es que hace una distinción entre entidades esenciales e importantes, la cual sustituye a la relativa a operadores de servicios esenciales y proveedores de servicios digitales. Todo ello nos demuestra que se ha producido una mayor amplitud de miras en lo referente a la ciberseguridad.
Notificación obligatoria de incidentes
Esta norma estipula que todas las entidades esenciales e importantes deben notificar a la autoridad competente, en nuestro caso la AEPD, cualquier evento cibernético con impacto. Estos impactos han de ser significativos; es decir, deben ocasionar graves problemas operativos o una pérdida económica relevante. Además, tienen que afectar a varias personas físicas o jurídicas.
Junto a lo anterior, la norma implanta un flujo de notificaciones:
-
Notificación inicial: Se ha de hacer en las 24 horas siguientes al evento.
-
Notificación intermedia: Se efectúa a las 72 horas y las entidades afectadas deben actualizar la situación en la que se encuentran.
-
Notificación final: Tiene que enviarse en el plazo máximo de un mes. En esta ocasión, se ha de incluir la gravedad, el tipo de amenaza, el impacto, las medidas aplicadas y si tiene repercusiones transfronterizas.
Qué sanciones conlleva incumplir la Directiva NIS2
El texto indica que los países miembros podrán establecer sanciones en sus correspondientes trasposiciones. Estas serán proporcionales, efectivas y disuasorias, y deberán tener en cuenta las circunstancias particulares.
Así, para las entidades esenciales, establece que sea la cuantía mayor entre 10 000 000 € o el 2 % de su facturación total anual del ejercicio inmediatamente anterior. En cuanto a las entidades importantes, la sanción podrá ser la de mayor cuantía entre 7 000 000 € o el 1,4 % del volumen de negocio anual en el ejercicio anterior. En ambos casos, se ha de considerar el volumen de negocio a nivel mundial.
Por lo tanto, y dadas las envergaduras de las sanciones, es conveniente que tengas presente la norma europea NIS2. Su trasposición debe ser efectuada antes del 17 de octubre de 2024. Asimismo, se establece el 17 de enero de 2025 como la fecha máxima para que los Estados miembros comuniquen el régimen sancionador que aplicarán. También es importante que tengáis en cuenta la entrada en vigor de dos reglamentos europeos trascendentes en 2024.