Leyes de Internet

Directiva con medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión

Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).

BOE: BOE-A-2021-10026

La Directiva (UE) 2022/2555, también conocida como Directiva NIS2, fue adoptada el 14 de diciembre de 2022 con el objetivo de establecer un elevado nivel común de ciberseguridad en toda la Unión Europea. Esta normativa actualiza y amplía las medidas de seguridad para las redes y sistemas de información, reemplazando a la anterior Directiva (UE) 2016/1148, conocida como NIS1. Busca mejorar la resiliencia y capacidad de respuesta ante incidentes cibernéticos, promoviendo una cooperación más estrecha entre los Estados miembros y estableciendo requisitos más estrictos para las entidades que operan en sectores críticos.

¿A quién afecta?

La Directiva NIS2 impacta en:

  • Entidades esenciales: Organizaciones que operan en sectores como energía, transporte, salud, agua potable, infraestructura digital, servicios financieros y administración pública.
  • Entidades importantes: Empresas de sectores como servicios postales, gestión de residuos, fabricación de productos químicos, alimentos y otros servicios digitales que, aunque no sean esenciales, desempeñan un papel significativo en la economía y la sociedad.
  • Estados miembros: Autoridades nacionales responsables de la implementación y supervisión de las medidas de ciberseguridad establecidas por la directiva.

Derechos y obligaciones de los afectados

  • Entidades esenciales e importantes:
  • Obligaciones:
    • Gestión de riesgos de ciberseguridad: Implementar medidas técnicas y organizativas adecuadas para gestionar los riesgos que amenazan la seguridad de las redes y sistemas de información utilizados en sus operaciones.
    • Notificación de incidentes: Informar sin demora indebida a las autoridades competentes sobre cualquier incidente que tenga un impacto significativo en la prestación de sus servicios.
    • Cooperación: Colaborar con las autoridades nacionales y otros actores relevantes en la gestión de riesgos y la respuesta a incidentes.
  • Derechos:
    • Asesoramiento y apoyo: Recibir orientación de las autoridades competentes sobre la implementación de medidas de ciberseguridad y la gestión de incidentes.
  • Estados miembros:
  • Obligaciones:
    • Designación de autoridades competentes: Establecer organismos responsables de supervisar y hacer cumplir las medidas de ciberseguridad previstas en la directiva.
    • Estrategia nacional de ciberseguridad: Desarrollar y mantener una estrategia que aborde los riesgos y defina las acciones para mejorar la ciberseguridad a nivel nacional.
    • Cooperación internacional: Participar en mecanismos de cooperación a nivel de la UE para compartir información y coordinar respuestas a incidentes cibernéticos.
  • Derechos:
    • Acceso a información: Obtener datos relevantes de las entidades afectadas para evaluar el cumplimiento y la eficacia de las medidas de ciberseguridad implementadas.

La Directiva (UE) 2022/2555 representa un paso significativo hacia la consolidación de un marco de ciberseguridad robusto y armonizado en toda la Unión Europea. Al establecer obligaciones claras para las entidades que operan en sectores críticos y fomentar la cooperación entre los Estados miembros, se busca fortalecer la resiliencia frente a las crecientes amenazas cibernéticas. Esta normativa no solo protege la infraestructura digital esencial, sino que también salvaguarda los intereses económicos y la seguridad de los ciudadanos europeos en el entorno digital.