O 27 de decembro de 2022 publicouse a DIRECTIVA (UE) 2022/2555 DO PARLAMENTO EUROPEO E DO CONSELLO, de 14 de, decembro de 2022, relativa ás medidas destinadas a garantir un elevado nivel común de ciberseguridade en toda a Unión, pola que se modifican o Regulamento (UE) n.ou 910/2014 e a Directiva (UE) 2018/1972 e pola que se derroga a Directiva (UE) 2016/1148 (Directiva SRI 2) , coñecida tamén como NIS2. Esta Directiva establece obrigas de ciberseguridade para os Estados membros, medidas para a xestión de riscos de ciberseguridade e obrigas de notificación para as entidades no seu ámbito de aplicación, obrigas relativas ao intercambio de información sobre ciberseguridade, así como obrigas de supervisión e execución para os Estados membros.
En primeiro lugar, a Directiva NIS2 establece para os Estados membros obrigas en relación coas seguintes cuestións, de forma resumida: elaborar, manter e comunicar á Comisión unha listaxe de entidades esenciais e importantes; adoptar, notificar á Comisión e avaliar periodicamente unha estratexia nacional de ciberseguridade; designar autoridades competentes de ciberseguridade, supervisión e punto de contacto único, así como notificar á Comisión e garantir recursos para que poidan realizar a súa función; articular un plan nacional para xestión de crise de ciberseguridade, así como designar autoridades competentes e determinar capacidades; designar equipos de resposta a incidentes de seguridade informática (CSIRT), así como garantir recursos, capacidades técnicas e cooperación efectiva; designar CSIRT para a divulgación coordinada de vulnerabilidades; garantir a cooperación a escala nacional (xunto con disposicións relativas á cooperación no ámbito europeo); e, en relación coa supervisión e execución, garantir que as autoridades competentes supervisen efectivamente e adopten as medidas necesarias incluíndo réxime sancionatorio.
En segundo lugar, a Directiva NIS2 establece para as entidades no seu alcance, indicadas no seu anexos I e II, obrigas tales como as seguintes, tamén de forma resumida: adoptar medidas de gobernación, xestión de riscos de ciberseguridade e información (reporting); adoptar medidas técnicas e organizativas proporcionadas para xestionar os riscos de ciberseguridade; así como para previr e minimizar o impacto de posibles ciberincidentes; notificar os incidentes de ciberseguridade ao CSIRT ou autoridade competente correspondente; que os xestores reciban formación sobre os riscos de ciberseguridade, sendo responsables canto á adopción das medidas adecuadas; utilizar esquemas europeos de certificación; remitir ás autoridades competentes a información requirida e notificar calquera cambio na mesma. Adicionalmente contémplanse o intercambio voluntario de información de ciberseguridade entre entidades esenciais e importantes e a notificación, de forma voluntaria, ás autoridades competentes ou aos CSIRT calquera incidente, ameaza cibernética ou case incidente relevante.
A directiva NIS 2 amplía o seu ámbito de aplicación para abarcar a entidades medianas e grandes de máis sectores críticos para a economía e a sociedade, incluíndo provedores de servizos públicos de comunicacións electrónicas, servizos dixitais, xestión de augas residuais e residuos, fabricación de produtos críticos, servizos postais e de mensaxería, así como ás Administracións Públicas (no caso de España Entidades da Administración Xeral do Estado; Entidades de administracións públicas de Comunidades Autónomas; e poderase determinar a súa aplicación a entidades da Administración Pública a nivel local).
Outras novidades salientables da Directiva NIS 2 son, por exemplo, que contempla a seguridade da cadea de subministración e as relacións cos provedores; e que introduce a responsabilidade da alta dirección polo incumprimento das obrigas de ciberseguridade.