COMUNICAV 12_13 EDUARD CHAVELI DONET PRESIDENTE DE LA SECCIÓN DE DERECHO DIGITAL Y LEGALTECH DEL ICAV HEAD OF CONSULTING STRATEGY AT GOVERTIS PART OF TELEFONICA TECH PRIVACY AND AI COMPLIANCE SPECIALIST Por lo que respecta al sector público, se excluyen ciertos supuestos como el poder judicial, los parlamentos y los bancos centrales, las entidades que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, etc. 2. Por otro lado, la NIS 2 establece requisitos más precisos y estrictos para la gestión de los riesgos de ciberseguridad en las redes y sistemas de información. 3. Asimismo, la NIS 2 también obliga a la notificación al CSIRT de referencia y/o a la autoridad correspondiente de los incidentes que se consideren significativos conforme a los criterios que establece. La primera notificación deberá realizarse mediante una alerta temprana dentro de las primeras 24h. desde que se tuvo conocimiento del incidente. Además, cuando proceda, las entidades afectadas notificarán, sin demora indebida, a los destinatarios de sus servicios los incidentes significativos susceptibles de afectar negativamente a la prestación de dichos servicios. 4. La NIS 2 otorga especial relevancia a la gestión adecuada de los riesgos de seguridad en la cadena de suministro. 5. En cuanto al régimen sancionador, la NIS 2 establece multas significativamente más altas que las de la NIS 1, incluyendo la posibilidad de solicitar la imposición de una prohibición temporal para que una persona física ejerza funciones de dirección. 6. En lo relativo al régimen de supervisión, este será diferente si nos encontramos ante entidades esenciales o importantes. Para las entidades esenciales, el régimen de supervisión se aplicará tanto a priori, como a posteriori, debiendo ser proporcionado, efectivo y con carácter disuasorio. Por el contrario, la supervisión de las entidades importantes únicamente tendrá carácter reactivo (a posteriori). 7. Por último, cabe destacar el papel fundamental del Responsable de la Seguridad de la Información (CISO) en el cumplimiento de la NIS 2, ya que será el encargado de implementar las medidas de ciberseguridad y asesorar a la alta dirección en la gestión de los riesgos. La NIS 2 refuerza la responsabilidad directa de los directivos en materia de ciberseguridad, exigiendo la aprobación de medidas, la supervisión de su implementación y la obligación de recibir formaciones periódicas en la materia. Serán los órganos de dirección quienes responderán por el incumplimiento por parte de las entidades del artículo 21 sobre medidas para la gestión de riesgos de ciberseguridad. El incumplimiento de estas obligaciones estará sujeto a las normas nacionales de responsabilidad. Las organizaciones sujetas a NIS 2 deben encontrarse preparadas para su cumplimiento conforme al texto actual, sin perder de vista las posibles modificaciones y novedades que puedan incluirse en la normativa de transposición.
RkJQdWJsaXNoZXIy NTQ2OTk=