Como suele suceder en estos casos, este año se ha empezado a hablar con un poco más de insistencia sobre la directiva 2022/2555 del Parlamento Europeo y del Consejo, o Directiva NIS2, que entró en vigor en enero de 2023. Eso sí, en teoría debe ser traspuesta a la legislación española este mes de octubre, es decir, mientras ustedes leen estas líneas…
Esta directiva tiene como objetivo “impulsar el nivel general de ciberseguridad en la UE y la resiliencia de las infraestructuras críticas y de los servicios digitales en Europa” y evoluciona sobre la anterior directiva NIS (Directiva 2016/1148 del Parlamento Europeo y del Consejo), abarcando más sectores y cambiando la diferenciación entre operadores de servicios esenciales y proveedores de servicios digitales por una nueva entre sectores de alta criticidad (esenciales) y otros sectores críticos (importantes), que tendrán un nivel diferente de supervisión.
Por otro lado, también hace hincapié en la seguridad de la cadena de suministro y en los requisitos de cara a informar de un incidente (estableciendo unos contenidos mínimos y unos plazos máximos de notificación), y toma una aproximación basada fundamentalmente en la gestión de los riesgos.
En relación con las sanciones administrativas por negligencia en la aplicación de controles, para evitar diferentes raseros en diferentes países, con respecto a las entidades esenciales, NIS2 requiere por ejemplo que la máxima sanción sea de al menos 10.000.000 € o el 2% del volumen de negocios anual total mundial del ejercicio financiero anterior (lo que sea mayor). Con respecto a las entidades importantes, NIS2 requiere que los Estados miembros establezcan una sanción máxima de al menos 7.000.000 € o el 1,4% del volumen de negocios anual total mundial del ejercicio financiero anterior, lo que sea mayor.