ISGroup Consultoría de Ciberseguridad

Directiva NIS 2: ¿Cuáles son las sanciones por incumplimiento?

La Directiva NIS 2 exige a los Estados miembros de la UE que establezcan e implementen un sistema de sanciones para las entidades que no cumplan con los requisitos de ciberseguridad previstos. Estas sanciones están diseñadas para ser “eficaces, proporcionadas y disuasorias” con el fin de garantizar que las organizaciones se tomen en serio sus obligaciones en materia de seguridad informática.

Directiva NIS 2: Sanciones administrativas

La NIS2 establece un conjunto mínimo de sanciones administrativas que las autoridades nacionales competentes pueden imponer a las entidades no conformes:

  • Instrucciones vinculantes: Las autoridades competentes pueden emitir instrucciones vinculantes que requieran que las entidades resuelvan las deficiencias de seguridad identificadas o que emprendan acciones específicas para mejorar su postura de ciberseguridad. Dichas instrucciones pueden incluir plazos para la implementación y la rendición de cuentas sobre los progresos.
  • Órdenes de ejecución de las recomendaciones de auditoría: Si una auditoría de seguridad revela vulnerabilidades o incumplimientos, las autoridades competentes pueden ordenar a la entidad que implemente las recomendaciones recogidas en el informe de auditoría.
  • Órdenes de alineación de las medidas de seguridad con los requisitos de la NIS2: Las autoridades competentes pueden ordenar a las entidades que adapten sus medidas de seguridad a los requisitos específicos previstos por la Directiva NIS2. Esto puede incluir la implementación de controles de seguridad adicionales, la actualización de políticas y procedimientos o el fortalecimiento de las capacidades de respuesta ante incidentes.
  • Sanciones administrativas pecuniarias: La NIS2 introduce un sistema de sanciones administrativas que pueden aplicarse a las entidades que infrinjan las disposiciones de la Directiva. El importe de las sanciones varía según la clasificación de la entidad como esencial o importante:
    • Entidades esenciales: Para las entidades esenciales, los Estados miembros deben establecer sanciones máximas de al menos 10.000.000 € o del 2% del volumen de negocios anual total a nivel mundial del ejercicio financiero anterior, el que sea más elevado.
    • Entidades importantes: Para las entidades importantes, los Estados miembros deben establecer sanciones máximas de al menos 7.000.000 € o del 1,4% del volumen de negocios anual total a nivel mundial del ejercicio financiero anterior, el que sea más elevado.

[Callforaction-NIS2]

Multas coercitivas periódicas

Además de las sanciones enumeradas anteriormente, los Estados miembros pueden imponer multas coercitivas periódicas para obligar a las entidades esenciales o importantes a cesar una infracción de la Directiva NIS2. Dichos pagos seguirán acumulándose hasta que la entidad demuestre el cumplimiento de la decisión de la autoridad competente.

Factores considerados en la determinación de las sanciones

Al determinar la sanción adecuada por incumplimiento, las autoridades competentes deben considerar las circunstancias específicas de cada caso, incluyendo:

  • Gravedad de la infracción: La gravedad de la violación, como infracciones repetidas, falta de notificación o falta de resolución de incidentes significativos, u obstrucción de auditorías o actividades de supervisión.
  • Duración de la infracción: El período de tiempo durante el cual la entidad ha estado infringiendo los requisitos de la NIS2.
  • Infracciones previas: El historial de la entidad en términos de cumplimiento de las normativas de ciberseguridad.
  • Daños o pérdidas causados: La magnitud de los daños materiales o inmateriales causados por el incumplimiento, incluyendo pérdidas financieras, interrupciones de servicios y el número de usuarios afectados.
  • Carácter intencional o negligente de la infracción: Si el incumplimiento fue deliberado o resultó de una negligencia por parte de la entidad.
  • Medidas adoptadas para prevenir o mitigar los daños: Cualquier acción emprendida por la entidad para abordar el incumplimiento y minimizar su impacto.
  • Nivel de cooperación con las autoridades competentes: La disposición de la entidad a colaborar con las autoridades competentes durante las investigaciones y las acciones de aplicación.

Directiva NIS 2: Medidas adicionales de aplicación

Además de las sanciones administrativas específicas, la Directiva NIS 2 otorga a las autoridades competentes el poder de adoptar medidas adicionales de aplicación si las sanciones iniciales resultan ineficaces:

  • Establecer un plazo para la remediación: Si una entidad no cumple con las instrucciones vinculantes u otras medidas de aplicación, las autoridades competentes pueden fijar un plazo específico para la resolución de las deficiencias identificadas.
  • Suspender o prohibir actividades: En caso de incumplimiento grave o persistente, las autoridades competentes tienen el poder de suspender temporalmente o prohibir a la entidad realizar actividades que impliquen un riesgo de ciberseguridad. Dichas medidas están sujetas a garantías procesales adecuadas y se aplican solo hasta que la entidad tome las medidas necesarias para lograr el cumplimiento.

Responsabilidad de la dirección

La NIS2 introduce disposiciones para responsabilizar a los altos directivos dentro de las entidades esenciales e importantes en caso de violaciones de la ciberseguridad. Esta responsabilidad personal tiene como objetivo incentivar una mayor atención a la seguridad informática en los niveles más altos de la gobernanza organizativa. Aunque la Directiva no especifica las sanciones para los individuos, los Estados miembros están obligados a implementar medidas que garanticen una responsabilidad efectiva.

Derecho nacional y sanciones judiciales

Además de las sanciones administrativas previstas por la Directiva NIS 2, los Estados miembros pueden aplicar sanciones adicionales previstas por su propio derecho nacional en caso de violación de las normativas de ciberseguridad. Esto puede incluir sanciones penales por delitos graves o responsabilidades civiles por daños causados por violaciones de la seguridad informática.

Es importante señalar que las sanciones y los mecanismos de aplicación específicos varían de un Estado miembro a otro, ya que la Directiva NIS 2 establece estándares mínimos de armonización que los Estados miembros deben transponer a su propia legislación nacional.

Cómo prepararse para evitar las sanciones NIS2

Para las organizaciones que entran en el perímetro de la Directiva, la forma más eficaz de evitar sanciones es iniciar a tiempo un camino estructurado de adecuación. Esto significa mapear las medidas de seguridad ya existentes, identificar las brechas respecto a los requisitos NIS2 y definir un plan de remediación con plazos realistas. Un soporte especializado para el cumplimiento de la NIS2 puede marcar la diferencia entre un proceso gestionado con método y una exposición prolongada al riesgo sancionador. Para quienes también deben verificar su inscripción en el registro ACN, es útil consultar los plazos y las modalidades de cumplimiento previstos por la ACN.

En general, la Directiva NIS 2 establece un marco de aplicación más robusto y coherente para las normativas de ciberseguridad en toda la UE. El énfasis de la Directiva en sanciones disuasorias, poderes de aplicación claros para las autoridades competentes y la responsabilidad de la dirección tiene como objetivo crear un fuerte incentivo para que las entidades prioricen la seguridad informática y cumplan con los requisitos de la Directiva.

Preguntas frecuentes sobre las sanciones NIS2

  • ¿Cuál es la diferencia entre las sanciones para entidades esenciales y las de entidades importantes?
  • Las entidades esenciales están sujetas a sanciones máximas de al menos 10.000.000 € o del 2% del volumen de negocios anual mundial, el que sea más elevado. Para las entidades importantes, el máximo desciende a 7.000.000 € o al 1,4% del volumen de negocios. La distinción refleja el nivel de criticidad del sector y el impacto potencial de un incidente en la sociedad.
  • ¿Pueden los directivos ser considerados personalmente responsables en caso de violación de la NIS2?
  • Sí. La Directiva NIS2 prevé explícitamente disposiciones para la responsabilidad de los altos directivos en las entidades esenciales e importantes. Los Estados miembros están obligados a implementar medidas que hagan efectiva esta responsabilidad, aunque las formas concretas varían de un país a otro según la transposición nacional.
  • ¿Qué sucede si una entidad no se adecúa tras haber recibido instrucciones vinculantes?
  • Si la entidad no cumple con las instrucciones vinculantes, las autoridades competentes pueden imponer multas coercitivas periódicas, fijar plazos de remediación más estrictos y, en los casos más graves, suspender temporalmente o prohibir la realización de las actividades que impliquen un riesgo de ciberseguridad.

[Callforaction-NIS2-Footer]

In