
Qué é
A Directiva europea NIS2 (Network and Information Systems Directive) ten como obxectivo reforzar a ciberseguridade en toda a Unión Europea.
Cambios
- NIS2 substitúe á Directiva NIS e amplía os sectores afectados e o alcance dos controis de ciberseguridade para as organizacións que operan en sectores críticos e servizos esenciais.
Claves
- Data límite de transposición: 17 de outubro de 2024 (en vigor dende xaneiro de 2023).
- Transposto en Alemaña, Austria, Bélxica e outros países europeos. Dispoñemos de guías de aplicación do “Centro Criptolóxico Nacional” específicas para o cumprimento da NIS2 (abril de 2024).

Ámbito de aplicación
18 Sectores aplicables, divididos entre sectores de Alta Criticidade e outros sectores Críticos.
- Entidades públicas ou privadas, consideradas medianas ou grandes empresas, que presten servizos ou leven a cabo actividades listadas nos Anexos I e II na UE:
- Mediana empresa: 50-250 traballadores e volume de negocio anual que non exceda os 50 millóns de euros ou o balance xeral anual que non exceda os 43 millóns de euros.
- Gran empresa: >250 traballadores e volume de negocio anual superior a 50 millóns de euros ou o balance xeral anual que sexa superior aos 43 millóns de euros.

Obxectivos
- Asegurar o cumprimento íntegro de NIS2
- Mellorar a resiliencia cibernética e a capacidade de resposta a incidentes
- Establecer procesos e políticas para a xestión de riscos de seguridade
- Garantir a protección adecuada dos datos e sistemas críticos
- Concienciación do persoal

Réxime sancionador
- Entidades esenciais: Ata 10 millóns de euros ou o 2 % do volume de negocio anual total a nivel mundial da empresa, optándose pola contía maior.
- Entidades importantes: Ata 7 millóns de euros ou o 1,4 % do volume de negocio anual total a nivel mundial da empresa, optándose pola contía maior.

Adecuación NIS2
A través dun enfoque estruturado e sistemático, a organización poderá cumprir cos requisitos legais e protexer os seus activos críticos fronte ás ameazas cibernéticas.
NIS2 DIRECTIVA (UE) 2022/2555 (pendente de transposición)
Recoñécense aos órganos de dirección das entidades as seguintes obrigas:
- Aprobar e supervisar periodicamente as medidas de ciberseguridade.
- Responder polo incumprimento da normativa.
- Asistir a formacións sobre prevención de riscos de ciberseguridade e ofrecer formacións periódicas en ciberseguridade aos empregados/as para dotarlles de coñecementos e previr riscos neste ámbito.
A Política de Seguridade debe incluír “os roles ou funcións de seguridade, definindo para cada un, os seus deberes e responsabilidades, así como o procedemento para a súa designación e renovación”.
No ENS de categoría Media e Alta tamén se esixe unha caracterización dos postos de traballo relacionados co manexo da información ou dos sistemas e das responsabilidades en materia de seguridade.
ISO 27001:2022
Recoñécense aos órganos de alta dirección das entidades as seguintes obrigas:
- Aprobar e revisar a PSI, así como outra normativa interna específica.
- Requirir aos empregados que apliquen a seguridade da información de acordo coa PSI, normativa específica e procedementos internos.