TRIBUNA COMUNICAV 12_13 LA DIRECTIVA NIS 2 EN MATERIA DE SEGURIDAD DE REDES E INFORMACIÓN La ciberseguridad se ha convertido en un elemento esencial para salvaguardar la integridad, confidencialidad y disponibilidad de los sistemas de redes e información para los que el creciente aumento y sofisticación de los ciberataques representan una seria amenaza. Estas amenazas ponen en riesgo la continuidad de los servicios esenciales y exigen medidas de seguridad más robustas para proteger las infraestructuras críticas y mitigar el impacto de posibles ataques. La Directiva (UE) 2016/1148, conocida como NIS 1. fue el primer marco legal en la Unión Europea destinado a garantizar un nivel común de ciberseguridad, transpuesta al ordenamiento jurídico nacional mediante el Real Decreto-ley 12/2018, de 7 de septiembre, y desarrollado posteriormente por el Real Decreto 43/2021, de 26 de enero. Sin embargo, ante la evolución de las ciberamenazas, fue necesario actualizar este marco. Así, la Directiva (UE) 2022/2555, conocida como NIS 2, surge con el objetivo de actualizar y fortalecer las medidas establecidas en la NIS 1, para asegurar un elevado nivel común de ciberseguridad en toda la Unión y responder a las nuevas amenazas cibernéticas. La Directiva NIS 2 entró en vigor el 16 de enero de 2023 y al igual que su antecesora establece un periodo de 21 meses para su transposición a los ordenamientos jurídicos nacionales, plazo que finaliza el 17 de octubre de 2024 y las obligaciones derivadas de la directiva resultarán de aplicación a partir del 18 de octubre de 2024. Su transposición conllevará la actualización del marco jurídico español en materia de ciberseguridad, lo que significa que el marco regulatorio anterior, incluido el RD 43/2021, quedará obsoleto y será reemplazado por las nuevas disposiciones que se implementen en virtud de la transposición de la NIS 2. A continuación, indicamos las principales novedades de la NIS 2: 1. Ampliación de su alcance a nuevos sectores críticos no contemplados en la NIS 1. El Anexo I los clasifica como “sectores de alta criticidad”, mientras que el Anexo II incluye nuevos sectores bajo la denominación de “otros sectores críticos”. Según su inclusión en uno u otro Anexo, las entidades serán catalogadas como “entidades esenciales” o “entidades importantes”, de acuerdo con lo establecido en los Anexos I y II, respectivamente. En el siguiente enlace del INCIBE se refleja con claridad el nuevo alcance: https://www.incibe.es/incibe-cert/ sectores-estrategicos/FAQNIS2 Las exigencias contenidas en la NIS 2, así como en su normativa de transposición, aplicarán, con carácter general, a medianas y grandes empresas, públicas y privadas, considerados sectores de alta criticidad y sectores críticos en virtud de los Anexos I y II. No obstante, en ambos anexos se recogen excepciones de sectores y subsectores a la aplicación de la directiva que deberán examinarse de manera específica. Asimismo, con independencia de su tamaño (incluyendo, por tanto, a pequeñas empresas), la NIS 2 también resultará de aplicación a las entidades de alguno de los tipos mencionados en los anexos I o II en diferentes supuestos. Por último, los Estados Miembros podrán disponer que la directiva se aplique también a entidades que integran la administración pública local y a los centros de enseñanza, en particular cuando lleven a cabo actividades críticas de investigación. La categorización de una entidad como microempresa, pequeña y mediana empresa deberá realizarse conforme a lo establecido en la Recomendación de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (Recomendación 2003/361/CE). Según el art. 3 de la Directiva 2013/34/ UE, se entenderá por gran empresa aquella que, en la fecha de cierre del balance, rebase los límites numéricos de dos de los tres criterios establecidos para empresa mediana (número de empleados, volumen de negocio anual y balance general anual).
RkJQdWJsaXNoZXIy NTQ2OTk=