Antes de dar respuesta a la pregunta que más te interesa y que da título a este post, queremos darte una introducción contestando a las siguientes cuestiones:
¿Qué es la Directiva NIS2?
La Directiva NIS2 (Directiva 2022/2055) es la actualización y ampliación de la Directiva NIS1 y se trata de una norma que pretende abordar los problemas de ciberseguridad que existen en la actualidad en el ámbito de la Unión Europea.
La Directiva NIS2 ha ampliado el ámbito de aplicación y considera entidades esenciales o importantes, en función del grado de criticidad del sector, de su tamaño o del tipo de servicio prestado.
¿Cuándo entra en vigor?
La Directiva NIS2 entró en vigor el 16 de enero de 2023 y los Estados miembros deben transponer la misma y comunicar el texto de la transposición antes del 17 de octubre de 2024. Dicha transposición será aplicable a partir del 18 de octubre de 2024.
Llega la fecha límite con la que cuentan los Estados miembros para esa transposición y hasta el momento, aunque la Directiva ya es vinculante, no se conoce que España tenga preparado su texto por lo que, por lo pronto, el escenario que se presenta para las entidades obligadas es poco claro.
Se aplicará a:
1.Entidades públicas o privadas (medianas y grandes empresas*) de alguno de los tipos mencionados en los anexos I o II (añadimos unas imágenes resumen al final) y que presten sus servicios o lleven a cabo sus actividades en la UE.
2. Con independencia del tamaño cuando se encuentren en los anexos I y II y:
a) Los servicios son prestados por:
- proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;
- prestadores de servicios de confianza;
- registros de nombres de dominio de primer nivel y proveedores de servicios de sistema de nombres de dominio;
b) la entidad sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas;
c) una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública;
una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo;
d) la entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro;
e) la entidad sea una entidad de la Administración pública central o regional que pudiera cuya perturbación pudiera suponer un impacto significativo.
3. Entidades críticas con arreglo a la Directiva 2022/2557
4. Entidades que presten servicios de registro de nombres de dominio.
5. Si los Estados miembros lo establecen, pueden añadirse: entidades de la Administración local y centros de enseñanza.
Lo que más dudas puede generar es saber cuándo tu empresa, estando dentro de uno de los sectores a los que se refieren los anexos I y II, entrará dentro del ámbito de aplicación de la NIS2, esto será necesario revisarlo con detenimiento junto a la normativa sectorial correspondiente y la trasposición de la NIS2 en España.
¿Soy entidad esencial o importante según la NIS2?
La NIS2 distingue entre entidades esenciales e importantes para determinar el cumplimiento de las medidas de gestión de riesgos. Hace esta categorización en función del grado de criticidad de sus sectores o del tipo de servicio que prestan, así como de su tamaño.
Se establecen una serie de características en la propia Directiva que se tendrán en cuenta para esta categorización. Además, se determina que los Estados miembros deben elaborar antes del 17/04/2025 y actualizar periódicamente cada 2 años una lista de entidades esenciales e importantes, incluyendo las entidades que prestan servicio de registro de nombres de dominios. Podrán establecerse mecanismos de autorregistro.
Por tanto, y para poner punto final a este breve post sobre la NIS2, tanto para conocer más sobre esta clasificación como para conocer de forma concreta algunos extremos de su aplicación, tendremos que esperar a que se trasponga la Directiva en España.
No obstante, es recomendable que las entidades que están obligadas o que consideran que pueden estarlo, comiencen a prepararse y tomen medidas para su cumplimiento.
¡Desde Metricson podemos ayudarte y asesorarte en todas las dudas que puedan surgirte!
Artículo escrito por:
Abogada especialista en Privacidad & IP
Sobre Metricson
Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas y especialista en privacidad. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.
Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!
