La DIRECTIVA (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre medidas para un alto nivel común de ciberseguridad en toda la Unión Europea, más conocida como DIRECTIVA NIS, es la legislación de …
La entrada Directiva NIS 2. Novedades y su trascendencia en los Órganos Directivos se publicó primero en Legal Today.
DPO en Clínica Universidad de Navarra.
Vocal de la Junta Directiva de Cumplen
La DIRECTIVA (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre medidas para un alto nivel común de ciberseguridad en toda la Unión Europea, más conocida como DIRECTIVA NIS, es la legislación de la UE en materia de Ciberseguridad.
Esta norma proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE.
Entró en vigor el 27 de diciembre de 2023, y el 17 de enero de 2023 comenzó la transposición de esta Directiva al ordenamiento jurídico de los estados miembros de la UE, la cual finalizará el 17 de octubre de 2024.
El ámbito de aplicación de esta Directiva son los servicios esenciales que dependan de redes y servicios de información (OES), y los proveedores de servicios digitales (DSP), siendo obligatoria a partir de 2024 para empresas de más de 250 empleados y con una facturación de 50 millones de euros.
La novedad radica en que incluirá a todas las medianas y grandes entidades de los sectores críticos, pero también infraestructuras comunes como centros de datos o laboratorios de investigación.
También se incluye a la Administración Pública con excepción de la Policía, Parlamento, Banco Central y Poder judicial.
La inclusión del ámbito digital que da apoyo a servicios claves como pueden ser salud, infraestructuras digitales, ferroviario etc.
, nos indica la trascendencia de esta norma.
La actitud buscada en las entidades, ante los riesgos de ciberseguridad, debe ser proactiva y preventiva frente a estos posibles ataques.
Una segunda novedad de la Directiva es la responsabilidad legal que recae sobre los Órganos Directivos en caso de incumplimiento de estas obligaciones y medidas recogidas en la misma.
Así, serán estos órganos los que aprueben y supervisen la puesta en práctica de las medidas técnicas y operativas y de organización, que deberán ser adecuadas y proporcionales para la gestión de sus riesgos de ciberseguridad.
Consecuencia de todo ello, será la creación de un inventario de proveedores tecnológicos y no tecnológicos, extendiendo así la ciberseguridad a través de todas las cadenas de suministros, pasando las entidades a ser responsables de la actuación de sus proveedores y suministradores.
Todo ello irá acompañado del cumplimiento del principio de accountability a efectos de poder evidenciar la implantación y, en su caso, eficacia de los controles implantados.
Los requerimientos de seguridad que tendrán que cumplir los OES y DSP serán, entre otros, los siguientes:
Otra novedad a tener en cuenta es la obligación regulada en el artículo 20.
2 de la Directiva, relativa a la formación a todos los miembros de los órganos de dirección de las entidades, que deberán participar periódicamente de las mismas formaciones que reciban el resto de los profesionales de la entidad, pudiendo así acreditar su capacidad para:
A estos efectos, el artículo 21.
4 de la Directiva alude a responsabilidades legales, tanto de los representantes de la entidad infractora como, en determinados supuestos regulados en el Compliance, de la propia persona jurídica.
Esta responsabilidad será exigible cuando se constate que la entidad no cumple con sus obligaciones en materia de prevención, implantación y revisión de las medidas necesarias a efectos de control del riesgo.
Como última novedad indicar que se prevé la creación de una Red Europea de Organización de Enlaces de Crisis Cibernéticas (EU-Cyclone) con funciones de mitigación y prevención de los incidentes y respuestas a gran escala.
La conclusión en relación con esta nueva Directiva NIS 2, es el nuevo reto que supone especialmente para las medianas y pequeñas empresas, y la necesaria concienciación, a nivel general, de la importancia de la Ciberseguridad y su necesaria inclusión en los programas de Compliance de las entidades.
Valora este contenido.
Sé el primero en puntuar este contenido.
Este sitio web utiliza cookies para mejorar tu experiencia mientras navegas por el sitio web.
De estas, las cookies que se clasifican como necesarias se almacenan en tu navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web.
Estas cookies no requieren el consentimiento del usuario.
También utilizamos cookies de terceros: analíticas, que nos ayudan a analizar y comprender cómo utilizas este sitio web, y publicitarias, para generar audiencias y ofrecer publicidad personalizada a través de los hábitos de navegación de los usuarios.
Estas cookies se almacenarán en tu navegador solo con tu consentimiento.
También tienes la opción de optar por no recibir estas cookies.
La exclusión voluntaria de algunas de estas cookies puede afectar a tu experiencia de navegación.
Las cookies estrictamente necesarias tiene que estar siempre activadas para el correcto funcionamiento de la web.
No recogen ningún tipo de información personal.
Si desactivas esta cookie no podremos guardar tus preferencias.
Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
Utilizamos cookies de análisis o medición que son aquellas que, tratadas por nosotros, nos permiten el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataf
