La directiva NIS2 es la legislación de la UE sobre ciberseguridad, vigente actualmente. Actualiza la normativa anterior (NIS de 2016) para proteger infraestructuras críticas.
Publicada a finales del año 2022, esta Directiva (UE) 2022/2555 que sustituye a la NIS original, busca armonizar la seguridad en toda la UE. Amplía el alcance a más sectores, antes no incluidos, como energía, transporte, salud, banca, TIC, etc. y obliga a medianas y grandes empresas a mejorar su gestión de riesgos, reportar incidentes graves y endurecer la seguridad de su cadena de suministro.
Las entidades en el ámbito de la NIS2 pueden identificarse o ser designadas como esenciales o importantes
dependiendo de factores como su tamaño, sector o la criticidad de sus actividades. Con carácter general, la NIS2 se aplica a entidades públicas o privadas, medianas o grandes que presten sus servicios o lleven a cabo sus actividades en la Unión. Estas entidades, salvo en algunos casos, han de auto identificarse como esenciales o importantes. También están en su ámbito entidades de menor tamaño si los Estados las identifican como tales.
Las entidades en su ámbito han de gestionar sus riesgos de ciberseguridad, tomando medidas técnicas, operativas y organizativas, para elevar la ciberresiliencia, es decir, fortalecer la defensa de las empresas contra el aumento de ciberataques, estandarizar los requisitos de ciberseguridad entre los países miembros de la UE, proteger servicios críticos, al asegurar la continuidad de sectores clave para la sociedad y la economía y establecer sanciones estrictas en caso de incumplimiento para directivos y empresas.
Creada para actualizar la postura de la UE frente a las amenazas digitales actuales, se ha convertido en el estándar de referencia para la seguridad de la información, similar a lo que el representa el RGPD para la privacidad y la protección de los datos personales.
Más información en NIS: lo que necesitas saber del INCIBE.