¿Está obligada tu empresa a cumplir con la Directiva NIS2?
¿Qué es la Directiva NIS2?
La Directiva (UE) 2022/2555, conocida como NIS2, es la normativa europea que establece medidas de ciberseguridad de alto nivel común en toda la Unión. Entra en vigor de manera obligatoria para los Estados miembros y amplía significativamente el ámbito de aplicación respecto a su predecesora, la Directiva NIS original.
¿Quién está obligado a cumplir?
La NIS2 aplica a dos categorías de entidades:
Entidades esenciales
Empresas de sectores críticos como energía, transporte, salud, agua, infraestructuras digitales y administración pública. Deben cumplir de manera directa y obligatoria.
Entidades importantes
PYMEs y empresas medianas que son proveedoras de las entidades esenciales o que operan en sectores como fabricación, logística, procesamiento de alimentos o productos químicos. Estas empresas deben cumplir a través de la cadena de suministro (Art. 21.2.d de la NIS2).
Si tu empresa es proveedora de una entidad esencial —por ejemplo, fabricas componentes para una energética o una empresa de transporte—, estás obligada a cumplir.
¿Cuáles son las sanciones?
Las sanciones por incumplimiento incluyen:
- Multas de hasta 10 millones de euros o el 2% de la facturación anual global, la cantidad que sea mayor
- Inhabilitación temporal de los miembros del órgano de administración
- Supervisión reforzada por las autoridades competentes
¿Cómo saber si tu empresa está afectada?
Revisa estos tres criterios:
- Sector: ¿Operas en manufactura, logística, química, alimentación, energía, transporte o construcción?
- Tamaño: ¿Tu empresa tiene más de 10 empleados o más de 10 millones de euros de facturación?
- Cadena de valor: ¿Eres proveedor de una entidad esencial?
Si la respuesta es sí a cualquiera de estos criterios, necesitas evaluar tu cumplimiento. En Cvstos Cyber te ayudamos con ese diagnóstico.