Directiva NIS2

A Directiva 2022/2555 do Parlamento Europeo e do Consello, coñecida como NIS2, é a lexislación en materia de ciberseguridade adoptada para toda a Unión Europea. Proporciona medidas legais para impulsar o nivel xeral de ciberseguridade na UE e a resiliencia das infraestruturas críticas e dos servizos dixitais en Europa. Establece obrigacións de ciberseguridade, de supervisión e execución para os Estados membros, medidas para a xestión de riscos e obrigacións de notificación para as entidades no seu ámbito de aplicación (Anexos I e II) e relativas ao intercambio de información sobre ciberseguridade. 

A directiva entrou en vigor en xaneiro de 2023 e debería ter sido transposto antes do 17 de outubro de 2024. 

Servizo de consultas

O Centro Criptológico Nacional habilitou un servizo para axudar ás entidades para cumprir coas medidas técnicas, operativas e de organización da NIS2.  Poden enviar as súas dúbidas a través do correo: 

nis2

Material didáctico

Qué es la NIS2

¿Qué es la NIS2?

Requerimientos de la Directiva NIS2

Requerimientos de la Directiva NIS2

Ámbito de aplicación | Sector público

Ámbito de aplicación | Sector público


Preguntas frecuentes 

A Directiva (UE) 2022/2555, do 14 de decembro de 2022 (Directiva NIS2), que actualizará e derrogará a Directiva (UE) 2016/1148 do 6 de xullo de 2016, coñecida como Directiva NIS1, é unha norma xurídica europea que ten como obxecto establecer un marco normativo destinado a garantir un elevado nivel de seguridade nas redes e sistemas de información en toda a Unión Europea, co obxectivo de alcanzar un elevado nivel común de ciberseguridade.

Para iso, establécense obrigacións para que as adopten aquelas entidades que se inclúen no seu ámbito de aplicación. Ditas obrigacións concrétanse en obrigacións de notificación e intercambio de información sobre incidentes e medidas de seguridade técnicas, operativas e organizativas adecuadas, establecidas para xestionar os riscos de ciberseguridade dos sistemas de información e as redes que utilizan ditas entidades nas súas operacións ou na prestación dos seus servizos. 

Para unha mellor adecuación dos requisitos de ciberseguridade esixibles ás entidades no seu ámbito, a Directiva NIS2 distingue entre entidades esenciais e entidades importantes. En calquera caso, as 10 agrupacións de medidas de seguridade que determina o seu artigo 21 aplicaranse a ambos os tipos de entidades, aínda que con maior nivel de esixencia ás entidades esenciais.