El 27 de desembre de 2022 es va publicar la DIRECTIVA (UE) 2022/2555 DEL PARLAMENT EUROPEU I DEL CONSELL, de 14 de, desembre de 2022, relativa a les mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la Unió, per la qual es modifiquen el Reglament (UE) n.o 910/2014 i la Directiva (UE) 2018/1972 i per la qual es deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) , coneguda també com NIS2. Aquesta Directiva estableix obligacions de ciberseguretat per als Estats membres, mesures per a la gestió de riscos de ciberseguretat i obligacions de notificació per a les entitats en el seu àmbit d'aplicació, obligacions relatives a l'intercanvi d'informació sobre ciberseguretat, així com obligacions de supervisió i execució per als Estats membres.
En primer lloc, la Directiva NIS2 estableix per als Estats membres obligacions en relació amb les següents qüestions, de forma resumida: elaborar, mantenir i comunicar a la Comissió un llistat d'entitats essencials i importants; adoptar, notificar a la Comissió i avaluar periòdicament una estratègia nacional de ciberseguretat; designar autoritats competents de ciberseguretat, supervisió i punt de contacte únic, així com notificar a la Comissió i garantir recursos perquè puguin realitzar la seva funció; articular una pla nacional per a gestió de crisi de ciberseguretat, així com designar autoritats competents i determinar capacitats; designar equips de resposta a incidents de seguretat informàtica (CSIRT), així com garantir recursos, capacitats tècniques i cooperació efectiva; designar CSIRT per a la divulgació coordinada de vulnerabilitats; garantir la cooperació a escala nacional (juntament amb disposicions relatives a la cooperació en l'àmbit europeu); i, en relació amb la supervisió i execució, garantir que les autoritats competents supervisin efectivament i adoptin les mesures necessàries incloent règim sancionatorio.
En segon lloc, la Directiva NIS2 estableix per a les entitats en el seu abast, indicades en els seus annexos I i II, obligacions tals com les següents, també de forma resumida: adoptar mesures de governança, gestió de riscos de ciberseguretat i informació (reporting); adoptar mesures tècniques i organitzatives proporcionades per gestionar els riscos de ciberseguretat; així com per prevenir i minimitzar l'impacte de possibles ciberincidentes; notificar els incidents de ciberseguretat al CSIRT o autoritat competent corresponent; que els gestors rebin formació sobre els riscos de ciberseguretat, sent responsables quant a l'adopció de les mesures adequades; utilitzar esquemes europeus de certificació; remetre a les autoritats competents la informació requerida i notificar qualsevol canvi en la mateixa. Addicionalment es contemplen l'intercanvi voluntari d'informació de ciberseguretat entre entitats essencials i importants i la notificació, de forma voluntària, a les autoritats competents o als CSIRT qualsevol incident, amenaça cibernètica o cuasi incident rellevant.
La directiva NIS 2 amplia el seu àmbit d'aplicació per abastar a entitats mitjanes i grans de més sectors crítics per a l'economia i la societat, incloent proveïdors de serveis públics de comunicacions electròniques, serveis digitals, gestió d'aigües residuals i residus, fabricació de productes crítics, serveis postals i de missatgeria, així com a les Administracions Públiques (en el cas d'Espanya Entitats de l'Administració General de l'Estat; Entitats d'administracions públiques de Comunitats Autònomes; i es podrà determinar la seva aplicació a entitats de l'Administració Pública a nivell local).
Altres novetats ressenyables de la Directiva NIS 2 són, per exemple, que contempla la seguretat de la cadena de subministrament i les relacions amb els proveïdors; i que introdueix la responsabilitat de l'alta adreça per l'incompliment de les obligacions de ciberseguretat.