Los objetivos de la Directiva NIS2 son los siguientes: 

• Aumentar el nivel general de ciberseguridad en la UE.
• Mejorar la resiliencia de las redes y sistemas de información.
• Garantizar una respuesta más rápida y coordinada ante los incidentes cibernéticos.

La Directiva NIS2 establece obligaciones para que las adopten aquellas entidades que se incluyen en su ámbito de aplicación. Dichas obligaciones se concretan en obligaciones de notificación e intercambio de información sobre incidentes y medidas de seguridad técnicas, operativas y organizativas adecuadas, establecidas para gestionar los riesgos de ciberseguridad de los sistemas de información y las redes que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios.

Para una mejor adecuación de los requisitos de ciberseguridad exigibles a las entidades en su ámbito, la Directiva NIS2 distingue entre entidades esenciales y entidades importantes.

En cualquier caso, las 10 agrupaciones de medidas de seguridad que determina su artículo 21 se aplicarán a ambos tipos de entidades, aunque con mayor nivel de exigencia a las entidades esenciales.

Los requisitos de seguridad de la directiva NIS2 son muy estrictos, y un gran número de compañías de la Unión Europea (según unas estimaciones, aproximadamente más de 100.000) tendrán que cumplir con ella. Aunque no tendrá el mismo impacto que, por ejemplo, el RGPD de la UE, es muy probable que la NIS2 acabe convirtiéndose en un estándar que muchos países intentarán aplicar, del mismo modo que ocurrió con el RGPD.

Los beneficios de la Directiva NIS2 son los siguientes:

• Incrementar la seguridad de los ciudadanos europeos: Al proteger las infraestructuras críticas, como las redes energéticas o los sistemas sanitarios, se reduce el riesgo de ciberataques que podrían ocasionar graves perjuicios a la población.
• Fomentar un entorno digital más confiable: La confianza en el mundo digital es esencial para el desarrollo económico y social. La Directiva NIS2 contribuirá a crear un ecosistema digital más seguro y resiliente.
• Fortalecer la ciberseguridad en el seno de la Unión Europea: Se busca elevar el nivel de protección general frente a las ciberamenazas, cada vez más sofisticadas y frecuentes.
• Fomentar la cooperación internacional: La lucha contra los ciberataques requiere un frente unido. La Directiva NIS2 promueve el intercambio de información y la colaboración entre países y socios a nivel global.

1) La Directiva NIS2 afecta a las entidades que pertenezcan a sectores de alta criticidad (detalladas en el Anexo I de la Directiva) y a otros sectores críticos (Anexo II), tanto del sector público como del sector privado que se consideren medianas o grandes empresas (según la Recomendación 2003/361/CE una mediana empresa ocupa entre 50 y 250 empleados, tiene un volumen de negocios que no excede los 50 millones EUR y un balance general anual que no excede los 43 millones EUR).

2) Con independencia de su tamaño, la Directiva NIS2 también afecta a:

• Entidades pertenecientes a sectores de alta criticidad o a otros sectores críticos, cuando se trate de:
• Proveedores de redes públicas o de servicios de comunicaciones electrónicas disponibles para el público.
• Prestadores de servicios de confianza, registros de nombres de dominio de primer nivel y proveedores de servicios de DNS.
• Cuando la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.
• Cuando una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública.
• Cuando una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo.
• Cuando la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores
• interdependientes en el Estado miembro.
• Entidades del sector público central o regional: De conformidad con el Derecho nacional, entidades de la Administración pública central o regional, que presten servicios cuya perturbación podría tener un impacto significativo en actividades sociales o económicas críticas. 
• A criterio de cada Estado miembro: Adicionalmente, los Estados miembros podrán incorporar:
• A los centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación.
• La Administración pública local.
• Entidades críticas según otra Directiva europea: Entidades identificadas como críticas según se definen en el artículo 2.1 de la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas.

Las Entidades de la Administración pública están señaladas en el Anexo I de la Directiva como sectores de alta criticidad, con exclusión del poder judicial, los parlamentos y los bancos centrales. En este anexo se hace referencia exclusivamente a la Administración pública central y la autonómica (regional). No obstante, se señala que los Estados miembros podrán disponer que la presente Directiva se aplique a las entidades de la Administración pública a nivel local y a los centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación.

Asimismo, la presente Directiva no se aplicará a las entidades de la Administración pública que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales.

La Directiva NIS2 en su artículo 3 distingue entre entidades esenciales y entidades importantes, en función del grado de criticidad del sector al que pertenecen, de los servicios que presten y de su tamaño.

La directiva considera sectores de alta criticidad (Anexo I) y otros sectores críticos (Anexo II). Asimismo, considera gran empresa a aquella que supere los límites máximos respecto a una mediana empresa (según la Recomendación 2003/361/CE una mediana empresa ocupa entre 50 y   250 empleados, tiene un volumen de negocios que no excede los 50 millones EUR y un balance general anual que no excede los 43 millones EUR).

1) La Directiva NIS2 considera entidades esenciales a:

• La Administración pública central definida por cada Estado miembro de conformidad con el derecho nacional.
• Grandes empresas encuadradas en cualquiera de los sectores de alta criticidad.
• Los prestadores cualificados de servicios de confianza, los registros de nombres de dominio de primer nivel y los proveedores de servicios de DNS.
• Entidades identificadas como críticas con arreglo a la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas, actualmente en proceso de transposición.
• Las entidades identificadas por cada Estado miembro antes del 16 de enero de 2023 como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 (NIS1) o según su Derecho nacional, si dicho Estado así lo considera.

2) La Directiva NIS2 consideran entidades importantes:

• Cualquier entidad perteneciente a sectores de alta criticidad o a otros sectores críticos (según se establece en los anexos I y II de la Directiva NIS2) y que no puedan ser consideradas entidades esenciales.

3) En el proceso de transposición de la Directiva NIS2, cada Estado miembro puede calificar adicionalmente a otras entidades como esenciales o importantes, según su propio criterio, cuando con independencia de su tamaño:

• La entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.
• Una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública.
• Una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo.
• La entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro.

Para ello, los Estados miembros elaborarán una lista de entidades esenciales e importantes antes del 17/04/2025, que se actualizará periódicamente al menos cada 2 años.

Como se señala en el artículo 21 de la Directiva NIS2, las entidades esenciales e importantes deberán gestionar los riesgos respecto a la seguridad de redes y sistemas de información que utilizan en sus operaciones o para la prestación de sus servicios, a la vez que minimizar las repercusiones de los potenciales incidentes de seguridad que puedan producirse.

Las medidas deberán ser proporcionales al riesgo teniendo en consideración el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas las repercusiones sociales y económicas.

El precitado artículo 21 de la Directiva NIS2 establece de forma generalista diez (10) agrupaciones de requisitos o medidas de seguridad mínimas que cada entidad deberá implementar.

En España disponemos del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), que incluye todos los requisitos de la Directiva NIS2. El ENS es de obligado cumplimiento en España para todo el sector público (estatal, autonómico y local), para los proveedores que le aportan soluciones o le prestan servicios y, de forma voluntaria, para cualquier organización que desee mejorar su ciberseguridad. Adicionalmente, es una norma jurídica certificable, lo que permite evidenciar el cumplimiento.

Asimismo, la Directiva NIS2 obliga a las entidades esenciales e importantes a notificar cualquier incidente significativo a su equipo de respuesta a incidentes de seguridad informáticos (CSIRT) de referencia.

Se presenta una lista no exhaustiva derivada del Anexo I de la Directiva NIS2:

1. Energía

• Electricidad(Empresas eléctricas, gestores de la red de distribución, gestores de la red de transporte, productores, operadores designados para el mercado eléctrico, servicios de agregación o almacenamiento de energía, operadores encargados de la gestión y explotación de un punto de recarga)
• Operadores de sistemas urbanos de calefacción y refrigeración.
• Crudo(Operadores de oleoductos, operadores de producción, instalaciones de refinado y tratamiento, almacenamiento y transporte, entidades centrales de almacenamiento).
• Gas(Empresas suministradoras de gas, gestores de la red de distribución, gestores de la red de transporte, gestore de almacenamiento, gestores de la red de GNL, compañías de gas natural, operadores de instalaciones de refinado y tratamiento de gas natural).
• Hidrógeno(Operadores de producción, almacenamiento y transporte).

2. Transporte

• Transporte aéreo (Compañías aéreas, entidades gestoras de aeropuertos, aeropuertos, entidades que explotan instalaciones anexas dentro de los recintos de los aeropuertos, operadores de control de la gestión del tráfico que prestan servicios de control del tráfico aéreo).
• Transporte por ferrocarril(Administradores de infraestructuras, empresas ferroviarias).
• Transporte marítimo y fluvial(Empresas de transporte marítimo, fluvial y de cabotaje, tanto de pasajeros como de mercancías, organismos gestores de los puertos incluidas sus instalaciones portuarias y entidades que operan obras y equipos que se encuentran en los puertos, operadores de servicios de tráfico de buques (STB)).
• Transporte por carretera(Autoridades varias responsables del control de la gestión del tráfico, excluidas las entidades públicas para las cuales la gestión del tráfico o la explotación de sistemas de transporte inteligentes sea una parte no esencial de su actividad general, operadores de sistemas de transporte inteligentes).

3. Banca

• Entidades de crédito.

4. Infraestructuras de los mercados financieros

• Gestores de centros de negociación.
• Entidades de contrapartida central (ECC).

5. Sector sanitario

• Prestadores de asistencia sanitaria.
• Laboratorios de referencia de la UE.
• Medicamentos(Entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas, entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública).

6. Agua potable

• Suministradores y distribuidores de aguas destinadas al consumo humano(excluidos los distribuidores para los que la distribución de aguas destinadas al consumo humano sea una parte no esencial de su actividad general de distribución de otros bienes y productos básicos).

7. Aguas residuales

• Empresas dedicadas a la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales(excluidas las empresas para las que la recogida, la eliminación o el tratamiento de aguas residuales urbanas, domésticas o industriales sea una parte no esencial de su actividad general).

8. Infraestructura digital

• Proveedores(de puntos de intercambio de internet, de servicios de DNS excluidos los operadores de servidores raíz, de nombres de dominio de primer nivel, servicios de computación en la Nube, servicios de centro de datos, de redes de distribución de contenidos, de servicios de confianza, de redes públicas de comunicaciones electrónicas, de servicios de comunicaciones electrónicas disponibles para el público).

9. Gestión de servicios TIC B2B (de empresa a empresa)

• Proveedores de servicios gestionados.
• Proveedores de servicios de seguridad gestionados.

10. Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales

• Entidades de la Administración pública central(tal como se definen en el Estado miembro con arreglo a las disposiciones del Derecho nacional).
• Entidades de la Administración pública a escala regional(según su definición en el Estado miembro con arreglo a las disposiciones del Derecho nacional).

11. Espacio

• Operadores de infraestructuras terrestres(cuya propiedad, gestión y explotación descansa en los Estados miembros o en entidades privadas, que apoyan la prestación de servicios espaciales, excepto los proveedores de redes públicas de comunicaciones electrónicas).

Se presenta una lista no exhaustiva derivada del Anexo II de la Directiva NIS2:

1. Servicios postales
   • Proveedores de servicios postales (incluidos los proveedores de servicios de mensajería).
2. Gestión de residuos
   • Empresas que realizan la gestión de residuos(excepto aquellas para las que la gestión de residuos no es su principal actividad económica).
3. Fabricación, producción y distribución de sustancias y mezclas químicas
   • Empresas que realizan la fabricación de sustancias y la distribución de sustancias o mezclas (incluidas empresas que realizan la producción de artículos a partir de sustancias y mezclas.
4. Producción, transformación y distribución de alimentos
   • Empresas alimentarias (que se dediquen a la distribución al por mayor y a la producción y transformación industriales).
5. Fabricación
   • Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro (Entidades que fabrican los productos sanitarios y entidades que fabrican los productos sanitarios para diagnóstico in vitro, con algunas excepciones).
   • Fabricación de productos informáticos, electrónicos y ópticos.
   • Fabricación de material eléctrico.
   • Fabricación de maquinaria y equipos no comprendidos en otras partes.
   • Fabricación de vehículos de motor, remolques y semirremolques.
   • Fabricación de otro material de transporte.
6. Proveedores de servicios digitales
   • Proveedores de mercados en línea.
   • Proveedores de motores de búsqueda en línea.
   • Proveedores de plataformas de servicios de redes sociales.
7. Investigación
   • Organismos de investigación. 

La Directiva NIS2, a efectos de cumplimiento de las medidas de gestión de riesgos, distingue entre entidades esenciales e importantes, en función del grado de criticidad de sus sectores o del tipo de servicio que prestan, así como de su tamaño. La Directiva NIS2 recoge los criterios para determinar si una entidad, de cualquiera de los tipos de los anexos I y II, es esencial o importante.

Se consideran entidades esenciales:

• Grandes empresas de los sectores de alta criticidad del anexo I.
• Independientemente de su tamaño, los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y los proveedores de servicios de DNS.
• Medianas empresas proveedoras de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público.
• Independientemente de su tamaño, entidades identificadas como críticas con arreglo a la Directiva (UE) 2022/2557 que ha de trasponerse a la legislación nacional en las mismas fechas que la NIS2.
• Si así́ lo dispone el Estado miembro, las entidades identificadas por dicho Estado miembro antes del 16 de enero de 2023 como operadores de servicios esenciales de conformidad con la Directiva (UE) 2016/1148 o el derecho nacional.

Se consideran entidades importantes todas aquellas de uno de los tipos mencionados en los anexos I o II que no puedan considerarse entidades esenciales.

Además, un Estado miembro puede identificar a una entidad, independientemente de su tamaño, como esencial o importante cuando:

• La entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas.
• Una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública.
• Una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo.
• La entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro.

Los Estados miembros deben elaborar antes del 17/04/2025 y actualizar periódicamente al menos cada 2 años una lista de entidades esenciales e importantes, incluyendo en ella las entidades que prestan servicio de registro de nombres de dominios. Para la elaboración de esta lista, podrán establecer mecanismos nacionales de autorregistro.

Todas las entidades dentro del ámbito de aplicación de la directiva deberán aplicar las medidas para la gestión de riesgos de ciberseguridad, así como cumplir con las obligaciones de notificación de incidentes de ciberseguridad.

En cuanto a la gestión de riesgos de ciberseguridad, la Directiva NIS2 recoge un listado mínimo de medidas técnicas, operativas y de organización para gestionar los riesgos de seguridad de los sistemas y redes de información, así como el entorno físico de dichos sistemas. Estas medidas deben ser utilizadas tanto por las entidades esenciales como importantes en sus operaciones o en la prestación de sus servicios para prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios. Las medidas indicadas como mínimas son las que se incluyen a continuación y se exigirán siempre de forma proporcional a los riesgos y vulnerabilidades específicas y al tamaño de las entidades:

1. las políticas de seguridad de los sistemas de información y análisis de riesgos;
2. la gestión de incidentes;
3. la continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis;
4. la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
5. la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;
6. las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad;
7. las prácticas básicas de ciberhigiene y formación en ciberseguridad;
8. las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado;
9. la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos;
10. el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

Todas las medidas deben:

• Ser proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes.
• Tener en cuenta el estado de la técnica, y cuando proceda, las normas europeas e internacionales.

Por otro lado, la directiva recoge en su articulado obligaciones de notificación de cualquier incidente significativo. La directiva define como incidente significativo aquel que:

1. Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada.
2. Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

En el caso de ocurrir, la entidad deberá notificarlo sin demora a su CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos) o, en su caso, a su autoridad competente (si hubiera otras normas sectoriales aplicables). El procedimiento general será:

• Primera notificación al CSIRT que ha de producirse mediante una alerta temprana en las primeras 24 h desde el conocimiento del mismo.
• Antes de 72 h se ha de enviar una notificación del incidente actualizando la alerta y con una evaluación inicial en la que se indique su gravedad e el impacto, así como los IoC (indicadores de compromiso) cuando estén disponibles. Este plazo será de 24 h para prestadores de servicios de confianza.
• Las autoridades o CSIRT podrán solicitar un informe intermedio que contenga las actualizaciones pertinentes sobre la situación.
• Informe final, a más tardar un mes después de presentar la notificación del incidente, que deberá recoger los siguientes elementos:
• Descripción detallada del incidente, incluyendo su gravedad e impacto.
• El tipo de amenaza o causa principal que probablemente haya desencadenado el incidente.
• Medidas paliativas aplicadas y en curso.
• Cuando proceda, las repercusiones transfronterizas del incidente.
• Si el incidente siguiera en curso en el momento de la presentación del informe final, los Estados miembros velarán por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.

Si es un incidente transfronterizo o intersectorial, el CSIRT informará al punto de contacto único a nivel nacional, en tiempo y forma pertinente, que se encargará de transmitir estas notificaciones a otros países o a otras autoridades de otros sectores.

Tanto los CSIRT de referencia y las autoridades competentes como el punto de contacto único se conocerán con la trasposición de la norma a la legislación española.

Una de las medidas que han de tomar las entidades esenciales e importantes consiste en gestionar los riesgos de seguridad de la cadena de suministro, entre estos: proveedores de servicios de almacenamiento y tratamiento de datos, proveedores de servicios de seguridad gestionados y editores de software. En particular, deben incorporar en los acuerdos contractuales con sus proveedores y prestadores de servicios directos medidas para la gestión de riesgos de ciberseguridad.

Esto es debido a la frecuencia e importancia de los incidentes provocados por ciberataques dirigidos a sus proveedores, aprovechando vulnerabilidades de los productos y servicios que proveen a las entidades, comprometiendo así la seguridad de las redes y los sistemas de información de estas.

Por ello, las entidades en el ámbito de la NIS2 deben evaluar y tener en cuenta la calidad general y la resiliencia de los productos y los servicios que contraten. También, las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro.

En lo relativo a la supervisión y ejecución de medidas necesarias para garantizar el cumplimiento de la directiva, cuando se dispongan de pruebas, indicios o información de que una entidad presuntamente no cumple la presente directiva, los Estados miembros garantizarán que las autoridades competentes actúen, cuando proceda, a través de medidas de supervisión a priori o a posteriori, teniendo asimismo la obligación de velar por que esas medidas sean eficaces, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso.

La aplicación de la Directiva NIS2 varía significativamente dependiendo de si una entidad es considerada esencial o importante, lo que implica requisitos de supervisión distintos. En este contexto, las autoridades competentes de cada sector serán responsables de llevar a cabo la supervisión correspondiente.

En el supuesto de entidades esenciales, el régimen de supervisión deberá ser proporcionado, efectivo y disuasorio, es decir, se aplicará tanto a priori como a posteriori con respecto a los posibles incidentes y podrá conllevar suspensiones, prohibiciones temporales o multas. La persona física responsable de la entidad esencial o su representante podrá ser responsable por tales incumplimientos. El régimen de supervisión podrá contener, entre otras:

• Inspecciones in situ y a distancia incluidas aleatorias.
• Auditorías de seguridad periódicas y específicas.
• Auditorías ad hoc (tras un incidente).
• Análisis de seguridad.
• Solicitudes de información necesaria para evaluar las medidas de gestión de riesgos adoptadas.
• Solicitudes de acceso a datos e información para supervisión.
• Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

En el supuesto de las entidades importantes, la supervisión será únicamente reactiva, es decir, a posteriori. En este caso, el régimen de supervisión, llevado a cabo por profesionales cualificados, podrá conllevar multas administrativas. Dicho régimen podrá contener, entre otras medidas:

• Inspecciones in situ y supervisión a posteriori.
• Auditorías de seguridad específicas.
• Análisis de seguridad.
• Solicitudes de información necesaria para evaluar a posteriori las medidas de gestión de riesgos adoptadas.
• Solicitudes de acceso a datos e información para supervisión.
• Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

Los proveedores de servicios de alojamiento web o hosting no están recogidos como este  tipo ni en el anexo I (en infraestructura digital se menciona a proveedores de servicios DNS, registros de nombres de dominio, servicios de computación en nube, servicios de centro de datos, redes de distribución de contenidos, servicios de confianza, redes públicas de comunicaciones electrónicas, comunicaciones electrónicas disponibles para el público) ni en el II (proveedores de servicios digitales) y por lo tanto no estarían dentro del alcance de la Directiva NIS2. Sin embargo, en muchos casos, existirán entidades que estarán dentro del alcance de la NIS2 al prestar otro tipo de servicios (como servicio de hosting en la nube, servicios de Data Center o servicios de resolución de nombre de dominio autoritativo) y a su vez proveen también servicios de alojamiento web.

El artículo 33 sobre capacidad de respuesta a incidentes de seguridad del RD 311/2022 por el que se regula el ENS, de acuerdo con lo que dispone el artículo 11 del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (Transposición de la Directiva NIS1), señala:

La estructura denominada CCN-CERT del Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia y dependiente del Ministerio de Defensa, ejercerá la coordinación nacional de la respuesta técnica de los equipos de respuesta a incidentes de seguridad informática (CSIRT) del sector público en España, en materia de seguridad de las redes y sistemas de información, ejerciendo asimismo la función de enlace para garantizar la cooperación transfronteriza de los CSIRT de las Administraciones públicas con los CSIRT internacionales.

La estructura denominada INCIBE-CERT adscrita a la M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A., dependiente del Ministerio de Asuntos Económicos y Transformación Digital, actuará como el centro de respuesta a incidentes de seguridad de referencia para los ciudadanos y entidades de derecho privado en España.

La estructura denominada ESPDEF-CERT del Mando Conjunto del Ciberespacio (MCCE), adscrito al Ministerio de Defensa, actuará como capacidad de respuesta de incidentes de seguridad de referencia para el ámbito de la Defensa nacional, interviniendo siempre que un operador sufra un incidente que por su alcance pudiera tener impacto en el funcionamiento del Ministerio de Defensa o en la operatividad de las Fuerzas Armadas.

Por último, la Oficina de Coordinación de Seguridad (OCC) del Ministerio del Interior participará asimismo en la coordinación de la respuesta a incidentes de los operadores críticos, según los determina la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (LPIC) y el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de dichas infraestructuras.

Todo ello sin menoscabo de lo que pueda disponer en un futuro la transposición de la Directiva NIS2 cuando entre en vigor tras su publicación en el BOE.

El Centro Criptológico Nacional (CCN) ha publicado la guía CCN-STIC 892 que corresponde al “Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2 (PCE-NIS2)” donde se detalla todo lo necesario para cumplir con las disposiciones de la Directiva NIS2 a partir del ENS, ya sea para una entidad esencial o entidad importante, en espera de la transposición de la misma al derecho nacional.

Las 10 medidas generales para la gestión de riesgos de ciberseguridad a que hace referencia el artículo 21 de la Directiva NIS2, se mapean en una tabla de la precitada guía del PCE-NIS2 con aquellas de las 73 medidas del ENS relevantes para darles cumplimiento. Asimismo, las concreta en una Declaración de Aplicabilidad de forma diferenciada para las entidades esenciales y para las entidades importantes.

La Directiva NIS2 otorga a las autoridades nacionales una lista mínima de poderes coercitivos hacia las entidades afectadas en caso de incumplimiento, entre los que se incluyen: 

1. Apercibir por incumplimiento.
2. Adoptar instrucciones vinculantes o requerimientos de subsanación.
3. Ordenar el cese de una conducta que infrinja la directiva.
4. Ordenar que se garanticen las medidas de gestión de riesgos o las obligaciones de información de manera y en un plazo determinados.
5. Ordenar que se informe a las personas físicas o jurídicas a las que presten servicios o realicen actividades que se vean potencialmente afectadas por una ciberamenaza significativa.
6. Ordenar que se apliquen las recomendaciones formuladas como resultado de una auditoría de seguridad en un plazo razonable.
7. Designar a un responsable de supervisión con tareas bien definidas durante un periodo de tiempo determinado para supervisar el cumplimiento.
8. Ordenar hacer públicos los aspectos de incumplimiento.
9. Imponer multas administrativas.
10. Puede suspenderse la certificación o autorización de una entidad esencial relativa al servicio, si no se cumple el plazo para tomar medidas.
11. Prohibir temporalmente a los responsables de la gestión a nivel de director ejecutivo o representante legal el ejercicio de funciones directivas (aplicable únicamente a las entidades esenciales, no a las entidades importantes).

Adicionalmente, de forma proporcionada y disuasoria, se podrán imponer las siguientes sanciones:

• Un máximo de, al menos, 10.000.000 euros o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca laentidad esencial en el ejercicio precedente, optándose por la de mayor cuantía.
• Un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad importanteen el ejercicio precedente, optándose por la de mayor cuantía.

Los órganos de dirección tienen la responsabilidad de aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su aplicación en entidades esenciales e importantes. El incumplimiento por parte de los órganos de dirección de cumplir con las exigencias contenidas en la directiva podría tener graves consecuencias, incluyendo responsabilidad, prohibiciones temporales y multas administrativas, según lo previsto en la legislación nacional de aplicación.

Los órganos de dirección de las entidades esenciales e importantes serán responsables de:

• Aprobar la adecuación de las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad.
• Supervisar la aplicación de las medidas de gestión de los riesgos.
• Formarse con el fin de adquirir suficientes conocimientos y habilidades para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
• Ofrecer una formación similar a sus empleados de forma regular.
• Responsabilizarse del incumplimiento. 

A nivel de gobernanza, los Estados miembros velarán para que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades, supervisen su puesta en práctica y respondan por el incumplimiento por parte de las entidades de dicho artículo.

Para responder a esta pregunta es necesario esperar a la trasposición de la directiva.

Según los art. 3.3 y 3.4, los Estados miembros tienen que elaborar una lista de entidades esenciales e importantes y de las que prestan servicios de registro de nombres de dominio y podrán establecer mecanismos para que ellas mismas se registren. En este sentido, habrá que esperar a las consideraciones específicas que se establezca en la normativa de trasposición.

Según estos artículos, la fecha límite para elaborar esta lista es el 17/04/2025 y se ha de actualizar al menos cada 2 años:

3. A más tardar el 17 de abril de 2025, los Estados miembros deben elaborar una lista de las entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio. Posteriormente, los Estados miembros revisarán la lista con regularidad, al menos cada dos años, y si procede, la actualizarán.
4. A efectos de la elaboración de la lista a que se refiere el apartado 3, los Estados miembros requerirán a las entidades a que se refiere dicho apartado que presenten al menos la siguiente información a las autoridades competentes:

a) el nombre de la entidad;

b) la dirección y los datos de contacto actualizados, incluidas las direcciones de correo electrónico, los rangos de IP y los números de teléfono;

c) si procede, el sector y el subsector pertinentes a que se refieren los anexos I o II, y

d) si procede, una lista de los Estados miembros en los que prestan servicios comprendidos en el ámbito de aplicación de la presente Directiva.

Las entidades a que se refiere el apartado 3 notificarán sin demora cualquier cambio en la información presentada en virtud del párrafo primero del presente apartado y, en cualquier caso, en el plazo de dos semanas desde la fecha en que se produjo el cambio.

La Comisión, asistida por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), deberá proporcionar sin demora indebida directrices y plantillas relativas a las obligaciones establecidas en el presente apartado.

Los Estados miembros podrán establecer mecanismos nacionales para que las entidades se registren ellas mismas.

Este registro o listado se ha de realizar para que las autoridades competentes puedan aportar los datos que se indican en el art. 3.5:

5. A más tardar el 17 de abril de 2025, y posteriormente cada dos años, las autoridades competentes notificarán:

a) a la Comisión y al Grupo de Cooperación, el número de entidades esenciales e importantes enumeradas conforme al apartado 3 respecto de cada sector y subsector a que se refieren los anexos I o II, y

b) a la Comisión la información pertinente sobre el número de entidades esenciales e importantes identificadas en virtud del artículo 2, apartado 2, letras b) a e), el sector y subsector a que se refieren los anexos I o II a los que pertenecen, el tipo de servicio que prestan y la disposición, de entre las establecidas en el artículo 2, apartado 2, letras b) a e), en virtud de la cual fueron identificados.

6. Hasta el 17 de abril de 2025 y a petición de la Comisión, los Estados miembrospodrán notificara la Comisión los nombres de las entidades esenciales e importantes a que se refiere el apartado 5, letra b).

Es decir, según el citado art. 2.2, en los siguientes casos, y con independencia de su tamaño, se ha de identificar también el tipo de servicio, en virtud de cuáles de las siguientes disposiciones fueron identificados:

b) la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas;

c) una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;

d) una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;

e) la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro.

Las entidades en el ámbito de la Directiva NIS2 y las entidades críticas (Directiva UE 2022/2557) han de cumplir principalmente con los artículos del capítulo IV de la directiva, que se refiere a «medidas de gestión de riesgos de ciberseguridad y obligaciones de notificación de incidentes». Las autoridades competentes podrán supervisar el cumplimiento según el capítulo VII. Entre estas medidas de supervisión están las auditorías:

• para entidades esenciales realizarán auditorías de seguridad periódicas y específicas (art. 32.2b) basadas en evaluaciones del riesgo y auditorías ad hoc en caso de incidente significativo o incumplimiento (art. 32.2.c);
• para entidades importantes, auditorías de seguridad específicas (art. 3.2b) basadas en evaluaciones del riesgo.

En ambos casos se ha de considerar que los Estados miembros han de promover de la utilización de normas y especificaciones europeas o internacionales pertinentes como resume el considerando 80:

(80) Con el fin de demostrar el cumplimiento de las medidas para la gestión de riesgos de ciberseguridad y en ausencia de esquemas europeos de certificación de la ciberseguridad adecuados que se hayan adoptado de conformidad con el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, los Estados miembros, consultando al Grupo de Cooperación y al Grupo Europeo de Certificación de la Ciberseguridad, deben promover el uso de las normas europeas e internacionales pertinentes por parte de las entidades esenciales e importantes, o pueden exigir a las entidades que utilicen productos, servicios y procesos de TIC certificados.

Las entidades, a la hora de considerar adoptar las medidas de gestión de riesgos (art. 21.1), deben hacerlo con un enfoque que incluya todos los riesgos, incorporando la seguridad física (considerando 79) de conformidad con las normas europeas o internacionales, como las que figuran en la serie ISO/IEC 27000:

(79) Dado que las amenazas para la seguridad de los sistemas de redes y de información pueden originarse por diferentes causas, las medidas para la gestión de riesgos de ciberseguridad deben basarse en un planteamiento que abarque todos los riesgos y tenga por objetivo proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a cualquier tipo de suceso, como robos, incendios, inundaciones, fallos en las telecomunicaciones o de suministro de electricidad, acceso físico no autorizado o daños a la información que posee la entidad esencial o importante y las instalaciones de procesamiento de información de la entidad, o frente a cualquier tipo de interferencia con dicha información e instalaciones, que puedan poner en peligro la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios ofrecidos por tales sistemas de redes y de información o accesibles a través de ellos. Por tanto, las medidas para la gestión de riesgos de ciberseguridad también deben abordar la seguridad física y del entorno de los sistemas de redes y de información, mediante la introducción de medidas para proteger dichos sistemas de redes y de información frente a fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales, de conformidad con las normas europeas o internacionales, como las que figuran en la serie ISO/IEC 27000. A este respecto, las entidades esenciales e importantes deben abordar, asimismo, en el marco de sus medidas para la gestión de riesgos de ciberseguridad, la seguridad de los recursos humanos y establecer políticas adecuadas en materia de control del acceso. Esas medidas deben ser compatibles con la Directiva (UE) 2020/2557 (relativa a la resiliencia de las entidades críticas).

Se recuerda que los órganos de dirección son responsables de aprobar (art.20) las medidas para cumplir con el artículo 21. También se deben tener en cuenta en la aplicación de las mismas la proporcionalidad en función de los riesgos, el coste y las normas europeas e internacionales pertinentes.

En lo que respecta a los requerimientos, la pregunta es muy amplia y dependerá del requerimiento en cuestión. En cualquier caso, las solicitudes indicarán la finalidad y especificarán la información requerida. Esta podrá ser, sin ánimo de exhaustividad, políticas de ciberseguridad documentadas o la información del registro de la entidad (art. 32.2.e y 33.2.e); datos, documentos e información necesaria para la supervisión (art. 32.2.f y 33.2.e), o pruebas de aplicación de las políticas (art. 32.2.g y 33.2.f).

En resumen, no hay una respuesta directa a esta pregunta en la directiva, pero la entidad podrá seguir normas y especificaciones europeas o internacionales para demostrar dicho cumplimiento, documentando y manteniendo registros detallados de los procesos realizados y de las políticas y procedimientos implementados.

La directiva establece entre las medidas que deben adoptar las entidades en su ámbito, la gestión de riesgos de la cadena de suministro (art. 21.1):

Los Estados miembros velarán por que las entidades esenciales e importantes tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios y prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios.

Teniendo en cuenta la situación y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación, las medidas a que se refiere el párrafo primero garantizarán un nivel de seguridad de los sistemas de redes y de información adecuado en relación con los riesgos planteados. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas.

Las medidas a que se hace referencia en el apartado 1 se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos:

• d) la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;
• e) la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;

Dentro de esta gestión de riesgos y en los contratos que establezca con sus proveedores, las entidades deben establecer los requisitos de seguridad para los servicios, acordes con el nivel de seguridad que sea adecuado. Sirva como referencia y caso particular, la gestión de riesgos de terceros aplicable a las entidades en el ámbito del Reglamento DORA (capítulo V), donde se incluyen cláusulas contractuales fundamentales (art.30).

La Directiva NIS2 prevé también mecanismos de intercambio de información relevante sobre ciberseguridad, en particular la relativa a ciberamenazas, cuasiincidentes, vulnerabilidades, técnicas y procedimientos, indicadores de compromiso, tácticas de los adversarios, información específica del agente de riesgo, alertas de ciberseguridad y recomendaciones sobre configuraciones de las herramientas de seguridad para detectar ciberataques entre entidades y sus proveedores o prestadores de servicios art. 29.2:

Los Estados miembros garantizarán que el intercambio de información se desarrolle dentro de comunidades de entidades esenciales e importantes y, cuando proceda, sus proveedores o prestadores de servicios. Dicho intercambio se pondrá en práctica a través de mecanismos de intercambio de información sobre ciberseguridad que respeten la posible naturaleza delicada de la información compartida.

Luego, podemos concluir que las entidades en el ámbito de la Directiva NIS2 tienen que aplicar medidas que incluyan la seguridad de la cadena de suministro, pudiendo incluir cláusulas en los contratos con sus proveedores relativas a los niveles de seguridad que precisen. Por otra parte, pueden pertenecer a comunidades dentro de su sector en las que estén estos proveedores para intercambiar información sobre ciberseguridad en aras de una mejor gestión de los incidentes.

La Directiva NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, entre las que se encuentran el abordar la seguridad en la cadena de suministro y las relaciones con proveedores, pero no entra a resolver las posibles discrepancias entre la entidad y su cadena de suministro.

Una de las medidas que han de tomar las entidades esenciales e importantes consiste en gestionar los riesgos de seguridad de la cadena de suministro, entre estos: proveedores de servicios de almacenamiento y tratamiento de datos, proveedores de servicios de seguridad gestionados y editores de software. En particular, deben incorporar en los acuerdos contractuales con sus proveedores y prestadores de servicios directos medidas para la gestión de riesgos de ciberseguridad. Sirva como referencia y caso particular, la gestión de riesgos de terceros aplicable a las entidades en el ámbito del Reglamento DORA (capítulo V, donde se incluyen cláusulas contractuales fundamentales (art.30) extrapolables, en parte, a otros sectores críticos.

Las entidades en el ámbito de la NIS2 deben evaluar y tener en cuenta la calidad general y la resiliencia de los productos y los servicios que contraten. También las medidas para la gestión de riesgos de ciberseguridad integradas en ellos y las prácticas en materia de ciberseguridad de sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. Son los órganos de dirección quienes han de aprobar y supervisar estas medidas y los responsables en caso de incumplimiento (art. 20.1).

Así los art. 21.2 d) y e), 21.3 y 21.4 exponen lo siguiente:

2. Las medidas a que se hace referencia en el apartado 1 se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos:

d) la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos;

e) la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades;

[…]

3. Los Estados miembros velarán por que, al estudiar la idoneidad de las medidas a que se refiere el apartado 2, letra d), del presente artículo, las entidades tengan en cuenta las vulnerabilidades específicas de cada proveedor y prestador de servicios directo y lacalidad general de los productos y las prácticas en materia de ciberseguridadde sus proveedores y prestadores de servicios, incluidos sus procedimientos de desarrollo seguro. Los Estados miembros también velarán por que, al estudiar la idoneidad de las medidas a que se refiere el apartado 2, letra d), las entidades deban tener en cuenta los resultados de las evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas realizadas de conformidad con el artículo 22, apartado 1.
4. Los Estados miembros se asegurarán de que cuando una entidad constate que no cumple las medidas previstas en el apartado 2, adopte, sin demora indebida, todas las medidas correctoras apropiadas y proporcionadas necesarias.

Para cumplir con lo mencionado en el apartado 21.3 se prevén «mecanismos de intercambio de información sobre ciberseguridad» (art. 29), en particular información sobre corrección y divulgación de las vulnerabilidades, técnicas de detección, contención y prevención de amenazas y estrategias de mitigación.

En lo relativo al órgano mediador, la Directiva NIS2 no indica nada al respecto.

Para el caso particular de las cadenas de suministro críticas, los considerandos 90 y 91 establecen que el grupo de cooperación podrá llevar a cabo evaluaciones coordinadas de riesgos:

(90) Para abordar en mayor profundidad los principales riesgos de las cadenas de suministro y ayudar a las entidades esenciales e importantes que operan en los sectores incluidos en el ámbito de aplicación de la presente Directiva a gestionar adecuadamente los riesgos relacionados con las cadenas de suministro y los proveedores, el Grupo de Cooperación, en colaboración con la Comisión y la ENISA, y, en su caso, previa consulta a las partes interesadas pertinentes, incluidas las pertenecientes a la industria, debe llevar a cabo evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas, como ya se hizo en el caso de las redes 5G a raíz de la Recomendación (UE) 2019/534 de la Comisión (19), con el objetivo de identificar en cada sector los servicios, sistemas o productos de TIC críticos, las correspondientes amenazas y las vulnerabilidades.

(91) Las evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas, en función de las características del sector afectado, deben tener en cuenta tanto los factores técnicos como, en su caso, los de otra índole, en particular los definidos en la Recomendación (UE) 2019/534, en la evaluación de riesgos coordinada de la UE de la ciberseguridad de las redes 5G y en el conjunto de instrumentos de la UE para la seguridad de las redes 5G acordado por el Grupo de Cooperación. A fin de identificar las cadenas de suministro que deben ser objeto de una evaluación coordinada de riesgos, han de tenerse en cuenta los siguientes criterios: i) la medida en que las entidades esenciales e importantes utilizan servicios, sistemas o productos de TIC críticos y dependen de ellos; ii) la importancia de servicios, sistemas o productos de TIC críticos específicos para desempeñar funciones críticas o sensibles, en particular el tratamiento de datos personales; iii) la disponibilidad de servicios, sistemas o productos de TIC alternativos; iv) la resiliencia de la cadena de suministro global de servicios, sistemas o productos de TIC a lo largo de su ciclo de vida frente a las perturbaciones; y v) en el caso de los servicios, sistemas o productos de TIC emergentes, la importancia que puedan tener en el futuro para las actividades de las entidades. Además, debe prestarse especial atención a los servicios, sistemas o productos de TIC que proceden de terceros países y están sujetos a requisitos específicos.

Esto se concreta en el artículo 22:

Art. 22 Evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas a escala de la Unión

1. El Grupo de Cooperación, en colaboración con la Comisión y la ENISA, podrá llevar a cabo evaluaciones coordinadas de los riesgos de seguridad de cadenas de suministro de servicios, sistemas o productos de TIC críticos específicos, teniendo en cuenta factores de riesgo técnicos y, cuando proceda, de otra índole

2. La Comisión, tras consultar al Grupo de Cooperación y a la ENISA y, en caso necesario, con las partes interesadas pertinentes, delimitará los servicios, sistemas o productos de TIC críticos específicos que podrán ser objeto de la evaluación coordinada de riesgos de seguridad a que se refiere el apartado 1.

Además de lo anterior en lo relativo a sistemas y productos críticos, también tendremos que esperar cómo pueda afectar a las cadenas de suministro, en particular las de entidades esenciales en el marco de la Directiva NIS2, la aprobación del conocido como Reglamento de Ciberresiliencia o CRA, es decir, la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020.

La gestión del incidente es un proceso interno de la entidad afectada y no está regulado en la NIS2, donde solo se indica que se fomentará la adopción y utilización de prácticas comunes, sistemas de clasificación y taxonomías con relación a los procedimientos de gestión de incidentes, de crisis y divulgación de vulnerabilidades (art. 11.4):

«gestión de incidentes»: conjunto de medidas y procedimientos destinados a prevenir, detectar, analizar y limitar un incidente o responder ante este y recuperarse de él;

La NIS2 identifica en el art. 23 las entidades involucradas en la notificación del incidente, no en su gestión: CSIRT, y en su caso, autoridades competentes.

Los Estados miembros (art. 1.2) tienen que designar o establecer autoridades competentes, autoridades de gestión de crisis de ciberseguridad (art. 9), puntos de contacto únicos sobre ciberseguridad (en lo sucesivo «puntos de contacto únicos») y equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés).

Tendremos que esperar a la trasposición de la Directiva NIS2 para conocer los CSIRT, las autoridades competentes de referencia y el punto de contacto único.

CSIRT

El art. 11 define las obligaciones, capacidades técnicas y contenidos de los CSIRT. Entre ellos, fomentar la adopción y utilización de procedimientos de gestión de incidentes:

A fin de facilitar la cooperación a que se refiere el apartado 4, los CSIRT fomentarán la adopción y utilización de prácticas comunes o normalizadas, sistemas de clasificación y taxonomías en relación con:

a. los procedimientos de gestión de incidentes;

b. la gestión de crisis de ciberseguridad, y

c. la divulgación coordinada de las vulnerabilidades con arreglo al artículo 12, apartado 1.

Autoridades competentes

El art. 8 indica que las autoridades competentes (una o más) serán las encargadas de las funciones de supervisión y ejecución (capítulo VII), es decir, entre otras, auditorías, inspecciones, suspensiones e imponer o solicitar la imposición de multas administrativas por parte de los organismos u órganos jurisdiccionales competentes de acuerdo con la legislación nacional. Si hubiera una sola autoridad nacional, sería también el punto de contacto único, que será el enlace para la cooperación transfronteriza entre Estados y cuando proceda con la Comisión y ENISA, para garantizar la cooperación intersectorial:

Cada Estado miembro notificará sin dilación indebida a la Comisión la identidad de la autoridad competente a que se refiere el apartado 1 y del punto de contacto único contemplado en el apartado 3, las tareas de dichas autoridades, y cualquier cambio de lo notificado que se introduzca posteriormente. Cada Estado miembro publicará la identidad de su autoridad competente. La Comisión hará pública la lista de puntos de contacto únicos.

En el caso de que se produzca un incidente de ciberseguridad significativo, la entidad deberá notificarlo sin demora a su CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos) o, en su caso, a su autoridad competente (si hubiera otras normas sectoriales aplicables).

Punto de contacto único

Si se tratase de un incidente transfronterizo o intersectorial, el CSIRT informará al punto de contacto único a nivel nacional, en tiempo y forma pertinente, que se encargará de transmitir estas notificaciones a otros países o a otras autoridades de otros sectores.

EU-CYCLONe

Además, se establece formalmente la Red Europea de Enlace de Crisis Cibernéticas, EU-CYCLONe (European Cyber crisis Liaison Organisation Network), creada para apoyar la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala a nivel operativo y garantizar el intercambio regular de información entre los Estados miembros y las instituciones, órganos y organismos de la Unión. Entre sus funciones destacan:

1. Ser intermediario entre los niveles técnico y político durante los incidentes o crisis de ciberseguridad a gran escala.
2. Mejorar la cooperación a nivel operativo y apoyar la toma de decisiones.
3. Evaluar consecuencias e impactos de los incidentes y crisis a gran escala.
4. Debatir los planes nacionales de respuesta a incidentes
5. Aumentar el nivel de preparación de la gestión de incidentes a gran escala.

Cualquier incumplimiento, incluida falta de notificación de un incidente significativo, que aprecie la autoridad competente de las disposiciones nacionales adoptadas al amparo de la Directiva NIS2, podrá ser objeto de sanciones. La notificación de los incidentes significativos, sin demora indebida y, en cualquier caso, en un plazo de 24 horas desde que se haya tenido constancia del incidente (art. 23.4.a) con una alerta temprana, es una obligación de las entidades esenciales e importantes, es decir, cualquiera que sea la forma en la que sea consciente del incidente significativo y desde el momento en que tenga constancia, tiene hasta 24 horas para lanzar la alerta temprana.

Recordamos que un incidente se considera significativo si:

a) ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;

b) ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

Por otra parte, en general para todo tipo de incidentes de ciberseguridad, las entidades en el ámbito de la NIS2 han de tener implementadas medidas para gestionar los riesgos adecuadas y proporcionadas, entre las cuales se encuentra la gestión de incidentes (art. 21.2.b), la continuidad de las actividades (art. 21.2.c) y las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad (art. 21.2.f). Estas medidas han de estar aprobadas y supervisadas por los órganos de dirección que responden por su incumplimiento (art. 20.1).

Los Estados miembros podrán imponer medidas coercitivas y contarán con un régimen de sanciones, que irá desde multas económicas hasta la paralización de la actividad de las entidades o la prohibición a personas físicas de ejercer actividades de dirección. Las sanciones podrán verse modificadas si las entidades demuestran buenas prácticas, como puede ser contar con un programa de cumplimiento.

La directiva prevé sanciones administrativas de hasta 10 millones de euros o de un máximo del 2% del volumen de negocios anual a nivel mundial (se optará por la mayor cuantía) para las entidades esenciales.

Las cuantías para las entidades importantes serán desde 7 millones de euros o un máximo del 1,4% del volumen de negocios anual a nivel mundial (se optará igualmente por la de mayor cuantía).

La Directiva NIS2 se encuentra aprobada formalmente desde noviembre de 2022, publicándose en el Diario Oficial de la UE el día 27 de diciembre de 2022 y entrando en vigor el día 16 de enero de 2023, pasados 20 días desde su publicación en el DOUE.

Una vez en vigor, los Estados miembros tienen un periodo de 21 meses para trasponer los requisitos del texto a su legislación nacional. En este sentido, los Estados miembros deberán adoptar y trasponer el contenido de la directiva en sus ordenamientos jurídicos nacionales, a más tardar el 17 de octubre de 2024.

Hasta que los Estados no traspongan la directiva a sus ordenamientos jurídicos internos, esta no podrá resultar de aplicación, al tratarse de una directiva y no tener aplicación directa en los países miembros, a diferencia de los reglamentos. Una vez en vigor, los Estados miembros tienen un periodo de 21 meses para trasponer los requisitos del texto a su legislación nacional. En este sentido, los Estados miembros deberán adoptar y trasponer el contenido de la directiva en sus ordenamientos jurídicos nacionales, a más tardar el 17 de octubre de 2024.

Los hitos que menciona la directiva y que afectan al grupo de cooperación, la Comisión, EU-CYCLONe o los Estados son:

• 16/01/2023
• Art. 38.2: Delegación
• Art. 24.2 Utilización de esquemas europeos de certificación de la ciberseguridad
• 01/01/2024
• Art. 14.7 Grupo de Cooperación
• 17/07/2024
• Art. 16.7 Red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe)
• 17/10/2024
• Art. 21.5 Medidas para la gestión de riesgos de ciberseguridad
• Art. 23.11 Obligaciones de notificación
• Art. 34.8 Condiciones generales para la imposición de multas administrativas a entidades esenciales e importantes
• Art. 41.1  Transposición
• 18/10/2024
• Arts. 42 a 45 Modificación del Reglamentos y Derogación (NIS1)

• 17/01/2025
• Art. 15.4 Red de CSIRT
• Art. 19.1 Revisiones interpares
• Art. 27.2 Registro de entidades
• Art. 36 Sanciones
• 17/04/2025
• Art. 3.3 Entidades esenciales e importantes
• Art. 3.5 Entidades esenciales e importantes
• Art. 3.6 Entidades esenciales e importantes
• Art. 7.4 Estrategia nacional de ciberseguridad