El texto final de la Directiva NIS2, conocida formalmente como Directiva (UE) 2022/2555, está estructurado para proporcionar un marco jurídico completo destinado a mejorar la ciberseguridad en toda la Unión Europea. La Directiva se divide en varias secciones clave, cada una de las cuales aborda diferentes aspectos de la ciberseguridad para garantizar un elevado nivel común de protección en todos los Estados miembros.

Estructura y secciones principales

1. Entidades esenciales e importantes: Habrá dos tipos de entidades sujetas a las normas NIS2 (entidades esenciales e importantes), aunque la distinción entre ellas es algo borrosa, y se ofrece una lista no exhaustiva.
2. Autoridades nacionales de ciberseguridad: La NIS2 sienta las bases para que los Estados miembros desarrollen estrategias nacionales de ciberseguridad y establece las funciones de las autoridades competentes, incluida la designación de autoridades de gestión de crisis de ciberseguridad y seguridad informática. incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) (CSIRT).
3. Ciberseguridad RiesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) Gestión e informes: Todas las entidades cubiertas por la directiva aplican sólidas medidas de gestión de riesgos. Entre ellas se incluyen evaluaciones periódicas de los riesgos de ciberseguridad, la aplicación de medidas de seguridad adecuadas y estrictas obligaciones de notificación de incidentes con un claro sistema coordinado. VulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) Procedimiento de divulgación (CVD).
4. Cadena de suministro: La directiva también hace hincapié en la importancia de la seguridad de la cadena de suministro, reconociendo que las vulnerabilidades en una parte de la cadena de suministro pueden tener repercusiones generalizadas.
5. Supervisión y ejecución: La directiva detalla los mecanismos de supervisión y aplicación que los Estados miembros deben establecer para garantizar su cumplimiento. Esto incluye los poderes de las autoridades competentes para realizar auditorías, imponer sanciones y hacer cumplir las disposiciones de la directiva. La directiva también introduce nuevos elementos, como las revisiones inter pares entre los Estados miembros, para mejorar la colaboración y garantizar una aplicación coherente en toda la UE.

La Directiva NIS2 amplía considerablemente el ámbito de aplicación de su predecesora, la NIS1, al abarcar más sectores e introducir requisitos de ciberseguridad más estrictos. Su objetivo es crear un enfoque más armonizado de la ciberseguridad en toda la UE, reduciendo la fragmentación y garantizando que las infraestructuras críticas y los servicios esenciales estén mejor protegidos contra las ciberamenazas.