La Directiva (UE) 2022/2555, conocida como NIS2 (Network and Information Security Directive 2) refuerza el marco normativo en materia de ciberseguridad de la Unión Europea, con el objetivo de alcanzar un elevado nivel común de ciberresiliencia en los Estados miembros. Reemplaza a la Directiva NIS (2016/1148) y establece requisitos armonizados de seguridad y notificación, ampliando significativamente su ámbito de aplicación.
El ámbito de aplicación de la NIS2 se determina a partir de un criterio objetivo de tamaño y de la naturaleza de los servicios prestados. Quedan incluidas las entidades que operan en sectores considerados críticos o altamente relevantes para el funcionamiento del mercado interior y que desempeñan un papel clave para la sociedad o la economía.
Las entidades incluidas se clasifican en dos categorías:
- Esenciales: las entidades esenciales pertenecen a sectores como energía, transporte, sanidad, agua potable, infraestructura digital o servicios financieros.
- Entidades importantes: abarcan sectores como manufactura crítica, servicios postales, alimentación o investigación.
Es importante preparase para para cumplir con la Directiva NIS2 y garantizar la continuidad del negocio, evitar sanciones, fortalecer la ciberresiliencia y proteger infraestructuras críticas ante amenazas crecientes.
Actualmente, el anteproyecto de ley para transponer la Directiva NIS2 en España se encuentra en fase de tramitación, pendiente de aprobación definitiva, con implicaciones relevantes para sectores críticos y esenciales.