- Detalles
Directiva NIS2
A Directiva 2022/2555 do Parlamento Europeo e do Consello, coñecida como NIS2, é a lexislación en materia de ciberseguridade adoptada para toda a Unión Europea. Proporciona medidas legais para impulsar o nivel xeral de ciberseguridade na UE e a resiliencia das infraestruturas críticas e dos servizos dixitais en Europa. Establece obrigacións de ciberseguridade, de supervisión e execución para os Estados membros, medidas para a xestión de riscos e obrigacións de notificación para as entidades no seu ámbito de aplicación (Anexos I e II) e relativas ao intercambio de información sobre ciberseguridade.
A directiva entrou en vigor en xaneiro de 2023 e debería ter sido transposto antes do 17 de outubro de 2024.
Servizo de consultas
O Centro Criptológico Nacional habilitou un servizo para axudar ás entidades para cumprir coas medidas técnicas, operativas e de organización da NIS2. Poden enviar as súas dúbidas a través do correo:
Preguntas frecuentes
A Directiva (UE) 2022/2555, do 14 de decembro de 2022 (Directiva NIS2), que actualizará e derrogará a Directiva (UE) 2016/1148 do 6 de xullo de 2016, coñecida como Directiva NIS1, é unha norma xurídica europea que ten como obxecto establecer un marco normativo destinado a garantir un elevado nivel de seguridade nas redes e sistemas de información en toda a Unión Europea, co obxectivo de alcanzar un elevado nivel común de ciberseguridade.
Para iso, establécense obrigacións para que as adopten aquelas entidades que se inclúen no seu ámbito de aplicación. Ditas obrigacións concrétanse en obrigacións de notificación e intercambio de información sobre incidentes e medidas de seguridade técnicas, operativas e organizativas adecuadas, establecidas para xestionar os riscos de ciberseguridade dos sistemas de información e as redes que utilizan ditas entidades nas súas operacións ou na prestación dos seus servizos.
Para unha mellor adecuación dos requisitos de ciberseguridade esixibles ás entidades no seu ámbito, a Directiva NIS2 distingue entre entidades esenciais e entidades importantes. En calquera caso, as 10 agrupacións de medidas de seguridade que determina o seu artigo 21 aplicaranse a ambos os tipos de entidades, aínda que con maior nivel de esixencia ás entidades esenciais.
A Directiva NIS2 foi publicada no Diario Oficial da UE (DOUE) o 27 de decembro de 2022, tras a súa aprobación formal, entrando en vigor vinte días despois. Con todo, como ocorre con calquera Directiva Europea, cada Estado membro realizará a transposición da Directiva NIS2 ao seu ordenamento xurídico nacional, de forma análoga a como xa se fixo en España coa súa predecesora, a directiva NIS1, mediante a promulgación da Real Decreto-lei 12/2018, do 7 de setembro, de seguridade das redes e sistemas de información.
Segundo o artigo 41 da Directiva NIS2, deberá transponerse en todos os Estados membros, entre eles España, como moi tarde o 17 de outubro de 2024, sendo de aplicación o 18 de outubro dese mesmo ano.
Directiva NIS2
1) A Directiva NIS2 afecta as entidades que pertenzan a sectores de alta criticidad (detalladas no Anexo I da Directiva) e a outros sectores críticos (Anexo II), tanto do sector público como do sector privado que se consideren medianas ou grandes empresas (segundo a Recomendación 2003/361/CE unha mediana empresa ocupa entre 50 e 250 empregados, ten un volume de negocios que non excede os 50 millóns EUR e un balance xeral anual que non excede os 43 millóns EUR).
2) Con independencia do seu tamaño, a Directiva NIS2 tamén afecta a:
- Entidades pertencentes a sectores de alta criticidad ou a outros sectores críticos, cando se trate de:
- Provedores de redes públicas ou de servizos de comunicacións electrónicas dispoñibles para o público.
- Prestadores de servizos de confianza, rexistros de nomes de dominio de primeiro nivel e provedores de servizos de DNS.
- Cando a entidade sexa o único provedor nun Estado membro dun servizo esencial para o mantemento de actividades sociais ou económicas críticas.
- Cando unha perturbación do servizo prestado pola entidade puidese ter repercusións significativas sobre a seguridade pública, a orde pública ou a saúde pública.
- Cando unha perturbación do servizo prestado pola entidade puidese inducir riscos sistémicos significativos, en particular para os sectores nos que tal perturbación podería ter repercusións de carácter transfronteirizo.
- Cando a entidade sexa crítica á luz da súa importancia específica a nivel nacional ou rexional para o sector ou tipo de servizo en concreto ou para outros sectores interdependientes no Estado membro.
- Entidades do sector público central ou rexional: De conformidade co Dereito nacional, entidades da Administración pública central ou rexional, que presten servizos cuxa perturbación podería ter un impacto significativo en actividades sociais ou económicas críticas.
- A criterio de cada Estado membro: Adicionalmente, os Estados membros poderán incorporar:
- Aos centros de ensino, en particular cando leven a cabo actividades críticas de investigación.
- A Administración pública local.
- Entidades críticas segundo outra Directiva europea: Entidades identificadas como críticas segundo defínense no artigo 2.1 da Directiva (UE) 2022/2557 do Parlamento Europeo e do Consello, do 14 de decembro de 2022, relativa á resiliencia das entidades críticas.
As Entidades da Administración pública están sinaladas no Anexo I da Directiva como sectores de alta criticidad, con exclusión do poder xudicial, os parlamentos e os bancos centrais. Neste anexo faise referencia exclusivamente á Administración pública central e a autonómica (rexional). Con todo, sinálase que os Estados membros poderán dispoñer que a presente Directiva aplíquese ás entidades da Administración pública a nivel local e aos centros de ensino, en particular cando leven a cabo actividades críticas de investigación.
Así mesmo, a presente Directiva non se aplicará ás entidades da Administración pública que leven a cabo as súas actividades nos ámbitos da seguridade nacional, a seguridade pública, a defensa ou a garantía do cumprimento da lei, incluídas a prevención, a investigación, a detección e o axuizamento de infraccións penais.
A Directiva NIS2 no seu artigo 3 distingue entre entidades esenciais e entidades importantes, en función do grao de criticidad do sector ao que pertencen, dos servizos que presten e do seu tamaño.
A directiva considera sectores de alta criticidad (Anexo I) e outros sectores críticos (Anexo II). Así mesmo, considera gran empresa a aquela que supere os límites máximos respecto a unha mediana empresa (segundo a Recomendación 2003/361/CE unha mediana empresa ocupa entre 50 e 250 empregados, ten un volume de negocios que non excede os 50 millóns EUR e un balance xeral anual que non excede os 43 millóns EUR).
1) A Directiva NIS2 considera entidades esenciais a:
- A Administración pública central definida por cada Estado membro de conformidade co dereito nacional.
- Grandes empresas encadradas en calquera dos sectores de alta criticidad.
- Os prestadores cualificados de servizos de confianza, os rexistros de nomes de dominio de primeiro nivel e os provedores de servizos de DNS.
- Entidades identificadas como críticas conforme a Directiva (UE) 2022/2557 do Parlamento Europeo e do Consello, do 14 de decembro de 2022, relativa á resiliencia das entidades críticas, actualmente en proceso de transposición
- As entidades identificadas por cada Estado membro antes do 16 de xaneiro de 2023 como operadores de servizos esenciais de conformidade coa Directiva (UE) 2016/1148 (NIS1) ou segundo o seu Dereito nacional, se devandito Estado así o considera.
2) A Directiva NIS2 consideran entidades importantes:
- Calquera entidade pertencente a sectores de alta criticidad ou a outros sectores críticos (segundo establécese nos anexos I e II da Directiva NIS2) e que non poidan ser consideradas entidades esenciais.
3) No proceso de transposición da Directiva NIS2, cada Estado membro pode cualificar adicionalmente a outras entidades como esenciais ou importantes, segundo o seu propio criterio, cando con independencia do seu tamaño:
- A entidade sexa o único provedor nun Estado membro dun servizo esencial para o mantemento de actividades sociais ou económicas críticas.
- Unha perturbación do servizo prestado pola entidade puidese ter repercusións significativas sobre a seguridade pública, a orde pública ou a saúde pública.
- Unha perturbación do servizo prestado pola entidade puidese inducir riscos sistémicos significativos, en particular para os sectores nos que tal perturbación podería ter repercusións de carácter transfronteirizo.
- A entidade sexa crítica á luz da súa importancia específica a nivel nacional ou rexional para o sector ou tipo de servizo en concreto ou para outros sectores interdependientes no Estado membro.
Para iso, os Estados membros elaborarán unha lista de entidades esenciais e importantes antes do 17/04/2025, que se actualizará periodicamente polo menos cada 2 anos.
Directiva NIS2
Como se sinala no artigo 21 da Directiva NIS2, as entidades esenciais e importantes deberán xestionar os riscos respecto a a seguridade de redes e sistemas de información que utilizan nas súas operacións ou para a prestación dos seus servizos, á vez que minimizar as repercusións dos potenciais incidentes de seguridade que poidan producirse.
As medidas deberán ser proporcionais ao risco tendo en consideración o grao de exposición da entidade aos riscos, o tamaño da entidade e a probabilidade de que se produzan incidentes e a súa gravidade, incluídas as repercusións sociais e económicas.
O precitado artigo 21 da Directiva NIS2 establece de forma xeneralista dez (10) agrupacións de requisitos ou medidas de seguridade mínimas que cada entidade deberá implementar.
En España dispoñemos do Real Decreto 311/2022, do 3 de maio, polo que se regula o Esquema Nacional de Seguridade (ENS), que inclúe todos os requisitos da Directiva NIS2. O ENS é de obrigado cumprimento en España para todo o sector público (estatal, autonómico e local), para os provedores que lle achegan solucións ou lle prestan servizos e, de forma voluntaria, para calquera organización que desexe mellorar a súa ciberseguridade. Adicionalmente, é unha norma xurídica certificable, o que permite evidenciar o cumprimento.
Así mesmo, a Directiva NIS2 obriga ás entidades esenciais e importantes a notificar calquera incidente significativo ao seu equipo de resposta a incidentes de seguridade informáticos (CSIRT) de referencia.
O artigo 33 sobre capacidade de resposta a incidentes de seguridade do RD 311/2022 polo que se regula o ENS, #de acordo con o que dispón o artigo 11 da Real Decreto-lei 12/2018, do 7 de setembro, de seguridade das redes e sistemas de información (Transposición da Directiva NIS1), sinala:
- A estrutura denominada CCN-CERT do Centro Criptológico Nacional, adscrito ao Centro Nacional de Intelixencia e dependente do Ministerio de Defensa, exercerá a coordinación nacional da resposta técnica dos equipos de resposta a incidentes de seguridade informática (CSIRT) do sector público en España, en materia de seguridade das redes e sistemas de información, exercendo así mesmo a función de ligazón para garantir a cooperación transfronteiriza dos CSIRT das Administracións públicas cos CSIRT internacionais.
- A estrutura denominada INCIBE-CERT adscrita á S.M.E. Instituto Nacional de Ciberseguridade de España M.P., S.A., dependente do Ministerio de Asuntos Económicos e Transformación Dixital, actuará como o centro de resposta a incidentes de seguridade de referencia para os cidadáns e entidades de dereito privado en España.
- A estrutura denominada ESPDEF-CERT do Mando Conxunto do Ciberespazo (MCCE), adscrito ao Ministerio de Defensa, actuará como capacidade de resposta de incidentes de seguridade de referencia para o ámbito da Defensa nacional, intervindo sempre que un operador sufra un incidente que polo seu alcance puidese ter impacto no funcionamento do Ministerio de Defensa ou na operatividade das Forzas Armadas.
- Por último, a Oficina de Coordinación de Seguridade (OCC) do Ministerio do Interior participará así mesmo na coordinación da resposta a incidentes dos operadores críticos, segundo determínaos a Lei 8/2011, do 28 de abril, pola que se establecen medidas para a protección das infraestruturas críticas (LPIC) e o Real Decreto 704/2011, do 20 de maio, polo que se aproba o Regulamento de protección das devanditas infraestruturas.
Todo iso sen menoscabo do que poida dispoñer nun futuro a transposición da Directiva NIS2 cando entre en vigor tras a súa publicación no BOE.
Preséntase unha lista non exhaustiva derivada do Anexo I da Directiva NIS2:
- Enerxía
- Electricidade (Empresas eléctricas, xestores da rede de distribución, xestores da rede de transporte, produtores, operadores designados para o mercado eléctrico, servizos de agregación ou almacenamento de enerxía, operadores encargados da xestión e explotación dun punto de recarga)
- Operadores de sistemas urbanos de calefacción e refrixeración
- Cru (Operadores de oleodutos, operadores de produción, instalacións de refinado e tratamento, almacenamento e transporte, entidades centrais de almacenamento).
- Gas (Empresas subministradoras de gas, xestores da rede de distribución, xestores da rede de transporte, gestore de almacenamento, xestores da rede de GNL, compañías de gas natural, operadores de instalacións de refinado e tratamento de gas natural).
- Hidróxeno (Operadores de produción, almacenamento e transporte).
- Transporte
- Transporte aéreo (Compañías aéreas, entidades xestoras de aeroportos, aeroportos, entidades que explotan instalacións anexas dentro dos recintos dos aeroportos, operadores de control da xestión do tráfico que prestan servizos de control do tráfico aéreo).
- Transporte por ferrocarril (Administradores de infraestruturas, empresas ferroviarias).
- Transporte marítimo e fluvial (Empresas de transporte marítimo, fluvial e de cabotaxe, tanto de pasaxeiros como de mercadorías, organismos xestores dos portos incluídas as súas instalacións portuarias e entidades que operan obras e equipos que se atopan nos portos, operadores de servizos de tráfico de buques (STB)).
- Transporte por estrada (Autoridades varias responsables do control da xestión do tráfico, excluídas as entidades públicas para as cales a xestión do tráfico ou a explotación de sistemas de transporte intelixentes sexa unha parte non esencial da súa actividade xeral, operadores de sistemas de transporte intelixentes).
- Banca
- Entidades de crédito.
- Infraestruturas dos mercados financeiros
- Xestores de centros de negociación.
- Entidades de contrapartida central (ECC).
- Sector sanitario
- Prestadores de asistencia sanitaria.
- Laboratorios de referencia da UE.
- Medicamentos (Entidades que realizan actividades de investigación e desenvolvemento de medicamentos, entidades que fabrican produtos farmacéuticos de base e especialidades farmacéuticas, entidades que fabrican produtos sanitarios que se consideran esenciais en situacións de emerxencia de saúde pública).
- Auga potable
- Subministradores e distribuidores de augas destinadas ao consumo humano (excluídos os distribuidores para os que a distribución de augas destinadas ao consumo humano sexa unha parte non esencial da súa actividade xeral de distribución doutros bens e produtos básicos).
- Augas residuais
- Empresas dedicadas á recollida, a eliminación ou o tratamento de augas residuais urbanas, domésticas ou industriais (excluídas as empresas para as que a recollida, a eliminación ou o tratamento de augas residuais urbanas, domésticas ou industriais sexa unha parte non esencial da súa actividade xeral).
- Infraestrutura dixital
- Provedores (de puntos de intercambio da internet, de servizos de DNS excluídos os operadores de servidores raíz, de nomes de dominio de primeiro nivel, servizos de computación na Nube, servizos de centro de datos, de redes de distribución de contidos, de servizos de confianza, de redes públicas de comunicacións electrónicas, de servizos de comunicacións electrónicas dispoñibles para o público).
- Xestión de servizos TIC B2B (de empresa a empresa)
- Provedores de servizos xestionados.
- Provedores de servizos de seguridade xestionados.
- Entidades da Administración pública, con exclusión do poder xudicial, os parlamentos e os bancos centrais
- Entidades da Administración pública central (tal como defínense no Estado membro conforme as disposicións do Dereito nacional).
- Entidades da Administración pública a escala rexional (segundo a súa definición no Estado membro conforme as disposicións do Dereito nacional).
- Espazo
- Operadores de infraestruturas terrestres (cuxa propiedade, xestión e explotación descansa nos Estados membros ou en entidades privadas, que apoian a prestación de servizos espaciais, excepto os provedores de redes públicas de comunicacións electrónicas).
Directiva NIS2
Preséntase unha lista non exhaustiva derivada do Anexo II da Directiva NIS2:
- Servizos postais
- Provedores de servizos postais (incluídos os provedores de servizos de mensaxería).
- Xestión de residuos
- Empresas que realizan a xestión de residuos (excepto aquelas para as que a xestión de residuos non é a súa principal actividade económica).
- Fabricación, produción e distribución de substancias e mesturas químicas
- Empresas que realizan a fabricación de substancias e a distribución de substancias ou mesturas (incluídas empresas que realizan a produción de artigos a partir de substancias e mesturas.
- Produción, transformación e distribución de alimentos
- Empresas alimentarias (que se dediquen á distribución por xunto e á produción e transformación industriais).
- Fabricación
- Fabricación de produtos sanitarios e produtos sanitarios para diagnóstico in vitro (Entidades que fabrican os produtos sanitarios e entidades que fabrican os produtos sanitarios para diagnóstico in vitro, con algunhas excepcións).
- Fabricación de produtos informáticos, electrónicos e ópticos.
- Fabricación de material eléctrico.
- Fabricación de maquinaria e equipos non comprendidos noutras partes.
- Fabricación de vehículos de motor, remolques e semirremolques.
- Fabricación doutro material de transporte.
- Provedores de servizos dixitais
- Provedores de mercados en liña.
- Provedores de motores de procura en liña
- Provedores de plataformas de servizos de redes sociais.
- Investigación
- Organismos de investigación.
O transporte público non está explicitamente cuberto pola NIS2. Con todo, no seu artigo 2 (apartado 3), sinálase que a Directiva se aplica ás entidades que se identifiquen como entidades críticas conforme a Directiva 2022/2557 (Directiva CER). Esta última directiva cobre baixo o sector de “Transporte” (2), o subsector de “Transporte público” (e) e máis especificamente “os operadores de servizo público tal e como se define no artigo 2, punto (d) do Regulamento (CE) Non 1370/2007 do Parlamento Europeo e do Consello (13)”.
Por tanto, todas as entidades do sector de transporte público, identificadas baixo a Directiva CER, caerán automaticamente baixo o alcance da NIS2.
Dentro dos sectores críticos que entran dentro do ámbito de aplicación da NIS2, atópase a “produción, transformación e distribución de alimentos” realizada por “empresas alimentarias” definidas no Regulamento (EC) 178/2002 (“calquera empresa, con ou sen fins de lucro, pública ou privada, que leve a cabo calquera das actividades relacionadas con calquera etapa da produción, transformación e distribución de alimentos”).
Con todo, a propia Directiva NIS2 limita este sector a aquelas empresas que se “dediquen á distribución por xunto e á produción e transformación industriais”.
O propósito do colegislador é limitar a definición ampla de empresas alimentarias eliminando da súa aplicación a venda polo miúdo e a produción e transformación de alimentos a pequena escala.
Si, o artigo 6 (39) da NIS2 define aos provedores de servizos xestionados como unha entidade que presta servizos relacionados coa instalación, a xestión, a explotación ou o mantemento de produtos, redes, infraestruturas ou aplicacións de TIC ou calquera outros sistemas de redes e de información [...]. A definición refírese explicitamente a actividades levadas a cabo nas instalacións do cliente ou a distancia.
Cada unha destas tarefas (instalación, xestión, explotación e mantemento) non son excluíntes unas doutras e unha entidade pode acometer unha ou varias delas.
O provedor de servizos de seguridade xestionados, como parte das medidas de xestión de riscos de ciberseguridade, pode prestar servizos de xestión de incidentes en caso de emerxencia.
Tal e como recolle o artigo 6 (40) da NIS2, o provedor de servizos de seguridade xestionados é aquel que “leva a cabo actividades relativas á xestión de riscos de ciberseguridade ou presta asistencia para iso”. Exemplos destes servizos poden atoparse no artigo 21 (2) que aglutina diversas medidas de xestión de riscos de ciberseguridade como a análise de riscos, a xestión de incidentes, a seguridade da cadea de subministración ou os plans de continuidade.
O artigo 6, punto (20)(b) da Directiva NIS2 define aos provedores de servizos de DNS como “unha entidade que presta: (a) servizos a disposición pública de resolución recursiva de nomes de dominio para usuarios finais da internet, ou (b) servizos de resolución autoritativa de nomes de dominio para uso por terceiros, con excepción dos servidores raíz”.
Neste último caso, considérase que se prestan os servizos de resolución autoritativa de nome de dominio para uso por terceiros cando estes servizos provense a persoas legais ou naturais distintas á entidade en si mesma. Este é o caso cando os servidores de nomes autoritativos dun dominio non son operados polo registrante deste dominio, senón que este servizo é proporcionado por outra entidade.
Os provedores de servizos de aloxamento web ou aloxamento non están recolleitos como este tipo nin no anexo I (en infraestrutura dixital menciónase a provedores de servizos DNS, rexistros de nomes de dominio, servizos de computación en nube, servizos de centro de datos, redes de distribución de contidos, servizos de confianza, redes públicas de comunicacións electrónicas, comunicacións electrónicas dispoñibles para o público) nin no II (provedores de servizos dixitais) e por tanto non estarían dentro do alcance da Directiva NIS2. Con todo, en moitos casos, existirán entidades que estarán dentro do alcance da NIS2 ao prestar outro tipo de servizos (como servizo de aloxamento na nube, servizos de Data Center ou servizos de resolución de nome de dominio autoritativo) e á súa vez provén tamén servizos de aloxamento web.
O artigo 20(1) e (2) da Directiva NIS2 refírese especificamente ás obrigacións dos órganos de dirección e os seus membros. O considerando 137 explica que a Directiva “debe aspirar a garantir un nivel elevado de responsabilidade polas medidas para a xestión de riscos de ciberseguridade e as obrigacións de notificación a nivel das entidades esenciais e importantes”. O considerando engade por esta razón, que “os órganos de dirección das entidades esenciais e importantes deben aprobar as medidas de xestión de riscos de ciberseguridade e supervisar a súa aplicación”.
Por tanto, se as entidades delegasen as responsabilidades referidas no artigo 20 a outros membros do seu persoal, o obxectivo do artigo non se cumpriría adecuadamente. Por tanto, dita delegación non debería permitirse.





