NIS2: qué organizaciones de Europa están afectadas y qué deben hacer

La Directiva NIS2 (2022/2555) amplía considerablemente el ámbito de aplicación de la regulación de ciberseguridad en la UE. En España, el CCN-CERT (Centro Criptológico Nacional) es la autoridad nacional competente.

Los 18 sectores cubiertos

Los sectores altamente críticos (Anexo I) comprenden energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, proveedores de servicios TIC, administración pública y espacio. Los sectores críticos (Anexo II) incluyen servicios postales, gestión de residuos, química, alimentación, fabricación, proveedores digitales e investigación.

Criterios de tamaño

Las entidades con 50 o más empleados o una facturación superior a 10 millones de euros que operen en un sector cubierto están sujetas a NIS2. Las entidades esenciales son las grandes organizaciones de los sectores altamente críticos; las entidades importantes son las medianas empresas de todos los sectores cubiertos.

Primeras obligaciones

El cumplimiento se basa en la gobernanza de la ciberseguridad, la gestión de riesgos, la seguridad de la cadena de suministro y la notificación de incidentes al CCN-CERT — alerta en 24 horas, informe completo en 72 horas.

*Este artículo es solo informativo y no constituye asesoramiento jurídico.*