O 27 de decembro de 2022 publicouse a DIRECTIVA (UE) 2022/2555 DO PARLAMENTO EUROPEO E DO CONSELLO, de 14 de, decembro de 2022, relativa ás medidas destinadas a garantir un elevado nivel común de ciberseguridade en toda a Unión, pola que se modifican o Regulamento (UE) n.ou 910/2014 e a Directiva (UE) 2018/1972 e pola que se derroga a Directiva (UE) 2016/1148 (Directiva SRI 2)
, coñecida tamén como NIS2. Esta Directiva establece obrigas de ciberseguridade para os Estados membros, medidas para a xestión de riscos de ciberseguridade e obrigas de notificación para as entidades no seu ámbito de aplicación, obrigas relativas ao intercambio de información sobre ciberseguridade, así como obrigas de supervisión e execución para os Estados membros.
En primeiro lugar, a Directiva NIS2 establece para os Estados membros obrigas en relación coas seguintes cuestións, de forma resumida: elaborar, manter e comunicar á Comisión unha listaxe de entidades esenciais e importantes; adoptar, notificar á Comisión e avaliar periodicamente unha estratexia nacional de ciberseguridade; designar autoridades competentes de ciberseguridade, supervisión e punto de contacto único, así como notificar á Comisión e garantir recursos para que poidan realizar a súa función; articular un plan nacional para xestión de crise de ciberseguridade, así como designar autoridades competentes e determinar capacidades; designar equipos de resposta a incidentes de seguridade informática (CSIRT), así como garantir recursos, capacidades técnicas e cooperación efectiva; designar CSIRT para a divulgación coordinada de vulnerabilidades; garantir a cooperación a escala nacional (xunto con disposicións relativas á cooperación no ámbito europeo); e, en relación coa supervisión e execución, garantir que as autoridades competentes supervisen efectivamente e adopten as medidas necesarias incluíndo réxime sancionatorio.
En segundo lugar, la Directiva NIS2 establece para las entidades en su alcance, indicadas en sus anexos I y II, obligaciones tales como las siguientes, también de forma resumida: adoptar medidas de gobernanza, gestión de riesgos de ciberseguridad e información (reporting); adoptar medidas técnicas y organizativas proporcionadas para gestionar los riesgos de ciberseguridad; así como para prevenir y minimizar el impacto de posibles ciberincidentes; notificar los incidentes de ciberseguridad al CSIRT o autoridad competente correspondiente; que los gestores reciban formación sobre los riesgos de ciberseguridad, siendo responsables en cuanto a la adopción de las medidas adecuadas; utilizar esquemas europeos de certificación; remitir a las autoridades competentes la información requerida y notificar cualquier cambio en la misma. Adicionalmente se contemplan el intercambio voluntario de información de ciberseguridad entre entidades esenciales e importantes y la notificación, de forma voluntaria, a las autoridades competentes o a los CSIRT cualquier incidente, amenaza cibernética o cuasi incidente relevante.
A directiva NIS 2 amplía o seu ámbito de aplicación para abarcar a entidades medianas e grandes de máis sectores críticos para a economía e a sociedade, incluíndo provedores de servizos públicos de comunicacións electrónicas, servizos dixitais, xestión de augas residuais e residuos, fabricación de produtos críticos, servizos postais e de mensaxería, así como ás Administracións Públicas (no caso de España Entidades da Administración Xeral do Estado; Entidades de administracións públicas de Comunidades Autónomas; e poderase determinar a súa aplicación a entidades da Administración Pública a nivel local).
Otras novedades reseñables de la Directiva NIS 2 son, por ejemplo, que contempla la seguridad de la cadena de suministro y las relaciones con los proveedores; y que introduce la responsabilidad de la alta dirección por el incumplimiento de las obligaciones de ciberseguridad.
