NIS2: lo que necesitas saber

La Directiva NIS2 propone seguir mejorando el trabajo iniciado en la Directiva NIS para crear un alto nivel común de ciberseguridad en toda la Unión Europea, imponiendo obligaciones a los Estados miembros y a las entidades públicas y privadas de sectores críticos.
NOTA: Inspirado en NCSC Quick Reference Guide

Novedades

Amplía el ámbito de aplicación: más sectores, subsectores y tipos de entidades

Las entidades en su ámbito han de gestionar sus riesgos de ciberseguridad, tomando medidas técnicas, operativas y organizativas.

Afecta, en general, a medianas y grandes empresas de esos sectores.

Fija plazos para que las entidades en su ámbito notifiquen incidentes significativos.

Afecta a ciertas entidades con independencia de su tamaño.

Endurece las sanciones en caso de incumplimiento.

Clasifica las entidades en esenciales e importantes con distintos regímenes de supervisión y sanciones.

Las entidades en su ámbito han de tener en cuenta los riesgos de su cadena de suministro TIC.

Incluye nuevas formas para que las entidades afectadas se identifiquen y registren.

Introduce la divulgación coordinada de vulnerabilidades para entidades afectadas.

Fechas importantes

Más detalle

Sectores en el ámbito

La directiva NIS2 aplica a un mayor número de entidades e incluye nuevos sectores, subsectores y tipos de actividades, que no están en el ámbito de la actual Directiva NIS2 (transpuesta a la legislación nacional en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información).

En la nueva directiva las entidades se dividen según sus actividades en "sectores de alta criticidad", inluídos en el anexo I, y "otros sectores críticos", descritos en el anexo II.

Anexo I: Sectores de alta criticidad

Anexo II: Otros sectores críticos

Entidades esenciales e importantes

Visualiza y descarga la siguiente tabla en la que podrás consultar los tipos de entidades que están en el ámbito de la NIS2 según su sector y tamaño y la jurisdicción a la que deben someterse si operan en más de un país de la UE.

Las entidades en el ámbito de la NIS2 pueden identificarse o ser designadas como esenciales o importantes dependiendo de factores como su tamaño, sector o la criticidad de sus actividades.Con carácter general, la NIS2 aplica a entidades públicas o privadas, medianas o grandes que presten sus servicios o lleven a cabo sus actividades en la Unión. Estas entidades, salvo en algunos casos, han de autoidentificarse como esenciales o importantes. También están en su ámbito entidades de menor tamaño si los Estados las identifican como esenciales o importantes.

Descarga tabla de entidades.

Sectores de alta criticidad

ENERGÍA

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Electricidad	A) Empresas eléctricas que desempeñan la función de suministro. B) Gestores de la red de distribución y de la red de transporte. C) Productores (excluidas Centrales nucleares vinculadas con la seguridad nacional). D) Operadores NEMO.* E) Participantes en el mercado (generan, compran o venden) que presten servicios agregación, respuesta a la demanda o almacenamiento de energía. F) Operadores de punto de recarga.	A y B	A, B, C, D y E	Estado miembro en el que estén establecidas (Art. 26.1)	Esencial	Grandes empresas
Sistemas urbanos de calefacción y refrigeración	A) Operadores	-	A		Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE	Medianas empresas
Crudo	A) Operadores de oleoductos de transporte de crudo. B) Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte. C) Entidades centrales de almacenamiento.	A y B	A, B y C			Medianas empresas
Gas	A) Empresas suministradoras. B) Gestores de red de distribución, transporte, almacenamiento, de la red GNL. C) Compañías de gas natural. D) Operadores de instalaciones de refinado y tratamiento de gas natural.	Todas pero en D gestores en lugar de operadores	Todas pero en D gestores en lugar de operadores		Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.	Pequeñas y micro empresas
Hidrógeno	A) Operadores de producción, almacenamiento y transporte.	-	A			Pequeñas y micro empresas

TRANSPORTE

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Aéreo	A) Compañías aéreas. B) Entidades gestoras de aeropuertos y entidades que explotan instalaciones anexas. C) Operadores de control del tránsito aéreo.	SÍ	A	Estado miembro en el que estén establecidas (Art. 26.1)	Esencial	Grandes empresas
Por ferrocarril	A) Administradores de infraestructuras. B) Empresas ferroviarias (aportan tracción), incluidos explotadores de instalaciones de servicios.	SÍ	A		Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE	Medianas empresas
Marítimo y fluvial	A) Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías (excluyendo los buques particulares). B) Organismos gestores de puertos incluidas instalaciones portuarias. C) Operadores de servicio de tráfico de buques (STB).	SÍ	A) Sin mención a fluvial.		Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.	Pequeñas y micro empresas
Por carretera	A) Autoridades viarias excluidas entidades públicas para las que no sea su actividad principal. B) Operadores de sistemas de transporte inteligente.	SÍ	A			Pequeñas y micro empresas

Importantes (Art.3.2 y Art.2.1), salvo si son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2 b, c ,d y e) o bien como entidades críticas UE 2022/2557 (Art. 3.1.f) o como OSE (Ar. 3.a.g). Fuera del ámbito por tamaño (Art. 2.1), salvo si:

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

CER: añade Operadores de transporte público.

BANCA E INFRAESTRUCTURA DE MERCADOS FINANCIEROS

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Banca	A) Entidades de crédito.	SÍ	A	Estado miembro en el que estén establecidas (Art. 26.1)	Esencial	Grandes empresas
					Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE	Medianas empresas
Infraestructuras de los mercados financieros	A) Gestores de centros de negociación. B) Entidades de contrapartida central (ECC).	SÍ	A y B		Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

SECTOR SANITARIO

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Sector sanitario	A) Prestadores de asistencia sanitaria. B) Laboratorios de referencia de la UE. C) Entidades que realizan actividades de I+D de medicamentos. D) Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas. E) Entidades que fabrican productos sanitarios esenciales en situaciones de emergencia de salud pública.	A	A, B, C, D y E CER: Añade entidades con autorización de distribución de medicamentos para consumo humano.	Estado miembro en el que estén establecidas (Art. 26.1)	Esencial	Grandes empresas
					Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE	Medianas empresas
					Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

AGUA POTABLE Y RESIDUALES

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Agua potable	A) Suministradores y distribuidores de aguas destinadas al consumo humano, excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos.	SÍ	A	Estado miembro en el que estén establecidas (Art. 26.1)	Esencial	Grandes empresas
					Importante salvo que el Estado la identifique como Esencial, Entidad crítica u OSE	Medianas empresas
Aguas residuales	A) Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales, excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general.	NO	A		Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

INFRAESTRUCTURA DIGITAL

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Infraestructura digital	A) Proveedores de puntos de intercambio de internet. B) Proveedores de servicios de DNS, excluidos los operadores de servidores raíz. C) Registros de nombres de dominio de primer nivel. D) Proveedores de servicios de computación en nube. E) Proveedores de servicios de centro de datos. F) Proveedores de redes de distribución de contenidos. G) Prestadores de servicios de confianza. H) Proveedores de redes públicas de comunicaciones electrónicas. I) Proveedores de servicios de comunicaciones electrónicas disponibles para el público.	A, B y C	A, B, C, D, E, F, G, H e I.	A) Estado miembro en el que estén establecidas (Art. 26.1)	Esencial	Grandes empresas
				B, C, D, E Y F) Estado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2)	Importante salvo que el Estado la identifique como Esencial (críticas y OSE) Esenciales: B, C, H, e I.	Medianas empresas
				G) Estado miembro en el que estén establecidas (Art. 26.1)	Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante. Esenciales: B y C.	Pequeñas y micro empresas
				H, E, I) Estado miembro en el que prestan sus servicios (Art. 26.1 a)		Pequeñas y micro empresas

Proveedores de servicios de confianza cualificados: son esenciales con independencia de su tamaño.
Los Proveedores de servicios de computación en la nube eran PSD en NIS1.

GESTIÓN DE SERVICIOS TIC

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Gestión de servicios de TIC (de empresa a empresa)	A) Proveedores de servicios gestionados. B) Proveedores de servicios de seguridad gestionados.	NO	NO	Estado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2)	Esencial	Grandes empresas
					Importante salvo que el Estado la identifique como Esencial (críticas y OSE).	Medianas empresas
					Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

ADMINISTRACIONES PÚBLICAS

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales	A) Entidades de la Administración pública central, tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional. B) Entidades de la Administración pública a escala regional, según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional.	NO	A	Estado miembro que las haya establecido (Art. 26.1 c)	Esenciales	Central
					Importantes si tras evaluación de riesgos presta servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas.	Escala regional
					Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.	Nivel local

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

ESPACIO

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Espacio	Operadores de infraestructuras terrestres, cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas. Excluidas: Infraestructuras del sector espacio cuya propiedad, gestión o explotación corresponda a la UE o a terceros en su nombre como parte de su programa espacial.	NO	SÍ	Estado miembro en el que están establecidas (Art. 26.1)	Esencial	Grandes empresas
					Importante salvo que el Estado la identifique como Esencial (críticas y OSE)	Medianas empresas
					Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

Otros sectores críticos

SERVICIOS POSTALES Y DE MENSAJERÍA

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Servicios postales y de mensajería	Proveedores de servicios postales, tal como se definen en el artículo 2, punto 1 bis, de la Directiva 97/67/CE, incluidos los proveedores de servicios de mensajería. 1 bis) «proveedor de servicios postales»: la empresa que presta uno o varios servicios postales. 1) «servicios postales»: los servicios consistentes en la recogida, la clasificación, el transporte y la distribución de los envíos postales. Excluidos: Proveedores de servicios de mensajería que no intervengan en: recogida, clasificación, transporte o distribución y recogida por el destinatario considerando también su grado de dependencia de las TIC.	NO	NO	Estado miembro en el que están establecidas (Art. 26.1)	Importantes salvo que el Estado la identifique como Esencial (críticas y OSE)	Grandes empresas
						Medianas empresas
					Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

GESTIÓN DE RESIDUOS

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Gestión de residuos	Empresas que realizan la gestión de residuos, tal como se definen en el artículo 3, punto 9, de la Directiva 2008/98/CE del Parlamento Europeo y del Consejo (1), excepto aquellas para las que la gestión de residuos no es su principal actividad económica. «Gestión de residuos»: la recogida, el transporte, la valorización y la eliminación de los residuos, incluida la vigilancia de estas operaciones, así como el mantenimiento posterior al cierre de los vertederos, incluidas las actuaciones realizadas en calidad de negociante o agente.	NO	NO	Estado miembro en el que están establecidas (Art. 26.1)	Importantes salvo que el Estado la identifique como Esencial (críticas y OSE)	Grandes empresas
						Medianas empresas
					Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

FABRICACIÓN, PRODUCCIÓN Y DISTRIBUCIÓN DE SUSTANCIAS Y MEZCLAS QUÍMICAS

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Fabricación, producción y distribución de sustancias y mezclas químicas	Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas y empresas que realizan la producción de artículos, a partir de sustancias y mezclas. «Artículo»: un objeto que, durante su fabricación, recibe una forma, superficie o diseño especiales que determinan su función en mayor medida que su composición química. «Fabricante»: toda persona física o jurídica establecida en la Comunidad que fabrique una sustancia en la Comunidad. «Distribuidor»: toda persona física o jurídica establecida en la Comunidad, incluidos los minoristas, que únicamente almacena y comercializa una sustancia, como tal o en forma de preparado, destinada a terceros.	NO	NO	Estado miembro en el que están establecidas (Art. 26.1)	Importantes salvo que el Estado la identifique como Esencial (críticas y OSE)	Grandes empresas
						Medianas empresas
					Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro.	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

PRODUCCIÓN, TRANSFORMACIÓN Y DISTRIBUCIÓN DE ALIMENTOS

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Producción, transformación y distribución de alimentos	Empresas alimentarias, que se dediquen a la distribución al por mayor y a la producción y transformación industriales. "Empresa alimentaria": toda empresa pública o privada que, con o sin ánimo de lucro, lleve a cabo cualquier actividad relacionada con cualquiera de las etapas de la producción, la transformación y la distribución de alimentos.	NO	Las que se dedican exclusivamente a la logística y a la distribución al por mayor y a la producción y transformación industrial a gran escala.	Estado miembro en el que están establecidas (Art. 26.1)	Importante salvo que el Estado la identifique como Esencial (críticas y OSE)	Grandes empresas
						Medianas empresas
					Fuera del ámbito salvo que sean Importantes o Esenciales si así lo disponen los Estados miembro	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

FABRICACIÓN

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
A) Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro	Entidades que fabrican los productos sanitarios y entidades que fabrican los productos sanitarios para diagnóstico in vitro, excepto las entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas.	NO	NO	Estado miembro en el que están establecidas (Art. 26.1)	Importante salvo que el Estado la identifique como Esencial (críticas y OSE)	Grandes empresas
B) Fabricación de productos informáticos, electrónicos y ópticos	Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 26, de la NACE Rev. 2.					Medianas empresas
C) Fabricación de material eléctrico	Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 27, de la NACE Rev. 2.				Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante	Pequeñas y micro empresas
D) Fabricación de maquinaria y equipo n.c.o.p.	Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 28, de la NACE Rev. 2.
E) Fabricación de vehículos de motor, remolques y semirremolques	Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 29, de la NACE Rev. 2.
F) Fabricación de otro material de transporte	Empresas que realizan cualquiera de las actividades económicas a que se refiere la sección C, división 30, de la NACE Rev. 2.Hola

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

PROVEEDORES DE SERVICIOS DIGITALES

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Proveedores de servicios digitales	Proveedores de mercados en línea	NO	NO	Estado miembro en el que esté su establecimiento principal (Art. 26.1 b y Art. 26.2)	Importante salvo que el Estado la identifique como Esencial (críticas y OSE)	Grandes empresas
	Proveedores de motores de búsqueda en línea					Medianas empresas
	Proveedores de plataformas de servicios de redes sociales				Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

INVESTIGACIÓN

SECTOR NIS2	TIPO DE ENTIDAD NIS2	EN NIS1	EN CER	JURISDICCIÓN	IMPORTANTE O ESENCIAL	TAMAÑO
Investigación	Organismos de investigación (excluyendo los centros de enseñanza). Incluyendo los centros de enseñanza que así disponga el Estado Miembro, en particular cuando lleven a cabo actividades críticas de investigación (Art. 2.5)	NO	NO	Estado miembro en el que estén establecidas (Art 26.1)	Importante salvo que el Estado la identifique como Esencial (críticas y OSE)	Grandes empresas
						Medianas empresas
					Fuera del ámbito salvo que sea identificada por el Estado como Esencial o Importante	Pequeñas y micro empresas

Son identificadas como esenciales por el Estado miembro (Art.3.1.e y Art. 2.2.b, c, d y e), son entidades críticas UE 2022/2557 (Art. 3.1.f) u OSE (Ar. 3.a.g);
Son identificadas por el Estado miembro como importantes (Art. 3.2 y Art. 2.2.b, c, d y e).

Notificar incidentes

Obligaciones de notificación

Entidades esenciales e importantes deben notificar sin demora incidentes con impacto significativo a su CSIRT de referencia.

Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada
Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

La NIS2 impone obligaciones de notificación para los incidentes que tengan un impacto significativo en la prestación de sus servicios. Ante un incidente de este tipo, se deberá notificar a la autoridad competente o al CSIRT (Computer Security Incident Response Team) de referencia siguiendo las siguientes fases:

Cuando proceda, las entidades notificarán los incidentes significativos a los destinatarios de sus servicios. Cuando sea de interés público, el CSIRT o la autoridad competente pertinente podrán informar al público sobre el incidente significativo o podrá exigir a la entidad que lo haga.

Requisitos clave

Las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad a los que se enfrentan y prevenir o minimizar el impacto de los incidentes en sus servicios y en servicios de terceros.

Dichas medidas se basarán en una planificación que tenga en cuenta todos los riesgos y cuyo objetivo sea proteger la red y los sistemas de información, así como el entorno físico de los mismos, incluyendo al menos las siguientes medidas:

Todas las medidas deben ser:

Proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes.
Tener en cuenta el estado del arte de la técnica, y cuando proceda, las normas europeas e internacionales.

Para asegurar que se cumplen los requisitos clave descritos, la UE puede:

Llevar a cabo evaluaciones de riesgos de servicios, sistemas o cadenas de suministro críticos.
Imponer obligaciones de certificación a determinadas entidades, de productos, servicios o procesos, según un esquema europeo.
Adoptar actos de ejecución para el cumplimiento de las medidas que establezcan requisitos técnicos, metodológicos o sectoriales basados en normas europeas e internacionales.

Supervisión ex ante y ex post

Las autoridades de cada sector deben supervisar el cumplimiento de esta directiva y podrán adoptar un enfoque de gestión de riesgos para priorizar estas tareas. Las actividades de supervisión serán realizadas por profesionales cualificados.

Multas y sanciones

La Directiva NIS2 proporciona a las autoridades nacionales una lista mínima de poderes coercitivos hacia las entidades afectadas en caso de incumplimiento, entre los que se incluyen:

Apercibir por incumplimiento.
Adoptar instrucciones vinculantes o requerimientos de subsanación.
Ordenar el cese de una conducta que infrinja la directiva.
Ordenar que se garanticen las medidas de gestión de riesgos o las obligaciones de información de una manera y en un plazo determinados.
Ordenar que se informe a las personas físicas o jurídicas a las que presten servicios o realicen actividades que se vean potencialmente afectadas por una ciberamenaza significativa.
Ordenar que se apliquen las recomendaciones formuladas como resultado de una auditoría de seguridad en un plazo razonable.
Designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento.
Ordenar hacer públicos los aspectos de incumplimiento.
Imponer multas administrativas.
Suspender la certificación o autorización de una entidad esencial relativa al servicio, si no se cumple el plazo para tomar medidas.
Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).

Adicionalmente, de forma proporcionada y disuasoria, podrán imponer multas de:

Equipos directivos

La alta dirección tiene la responsabilidad última de la gestión de los riesgos de ciberseguridad en entidades esenciales e importantes. El incumplimiento por parte de la dirección de los requisitos que establece la NIS2 podría tener graves consecuencias, incluyendo responsabilidad, prohibiciones temporales y multas administrativas, según lo previsto en la legislación nacional de la aplicación.

Los equipos directivos de las entidades esenciales e importantes son responsables de:

Estados, riesgos y cooperación

Los Estados tienen que ir adaptando su normativa, las entidades han de adoptar un enfoque de gestión del riesgo en sus operaciones y entre Estados y entidades han de cooperar e intercambiar información que sirva para armonizar los niveles de ciberseguridad en la UE y para actuar al unísono en caso necesario para gestión de crisis y de incidentes transfronterizos.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Ante cualquier duda o discrepancia consulte la directiva NIS2 en http://data.europa.eu/eli/dir/2022/2555/oj