ISGroup Consultoría de Ciberseguridad

¿Cuáles son las consecuencias para las entidades que no cumplen con la Directiva NIS2?

La Directiva NIS2 establece una serie de consecuencias para las entidades “esenciales” e “importantes” que no cumplan con sus disposiciones. Estas consecuencias están diseñadas para garantizar una aplicación eficaz y actuar como elemento disuasorio contra el incumplimiento de la normativa. La gravedad de las consecuencias puede variar según diversos factores, entre ellos la naturaleza y la gravedad de la infracción, el tamaño de la entidad y las obligaciones específicas incumplidas. Para entender cómo estructurar un proceso de cumplimiento de la NIS2 antes de que las autoridades intervengan, es útil conocer en detalle el marco sancionador.

[Callforaction-NIS2]

A continuación, una visión general:

Principios generales de aplicación

  • Eficacia, proporcionalidad y carácter disuasorio: El principio general para todas las medidas de aplicación previstas por la Directiva NIS2 es que deben ser “eficaces, proporcionadas y disuasorias”, considerando las circunstancias específicas de cada caso. Este principio subraya un enfoque basado en el riesgo, donde la severidad de las consecuencias es proporcional al impacto potencial de la infracción.
  • Regímenes de supervisión diferenciados: La directiva establece regímenes de supervisión distintos para las entidades esenciales e importantes, reconociendo los diferentes roles y perfiles de riesgo. Las entidades esenciales, debido a su importancia sistémica, están generalmente sujetas a una supervisión más rigurosa y a sanciones potencialmente más severas que las entidades importantes.

Medidas específicas de aplicación

La Directiva NIS2 confiere a las autoridades competentes la facultad de imponer una serie de medidas contra las entidades no conformes. Estas medidas pueden aplicarse de forma acumulativa o independiente, según el contexto.

1. Sanciones administrativas:

  • Instrucciones vinculantes: Las autoridades pueden emitir instrucciones vinculantes para rectificar las deficiencias identificadas o para abordar las infracciones de la directiva. Estas instrucciones proporcionan indicaciones específicas a la entidad no conforme, detallando los pasos necesarios para alcanzar el cumplimiento.
  • Recomendaciones de auditoría de seguridad: Las autoridades pueden obligar a las entidades a implementar las recomendaciones proporcionadas tras una auditoría de seguridad en un plazo razonable. Esto garantiza que las vulnerabilidades y las brechas de seguridad identificadas se aborden adecuadamente.
  • Alineación con los requisitos NIS: Las autoridades competentes pueden obligar a las entidades a ajustar sus medidas de seguridad a los requisitos de la Directiva NIS2 dentro de una modalidad y un periodo de tiempo especificados. Esta disposición subraya la naturaleza obligatoria de los estándares de seguridad previstos por la directiva.
  • Divulgación pública de las infracciones: En determinados casos, las autoridades pueden exigir a las entidades que divulguen públicamente ciertos aspectos de sus infracciones de una manera específica. La divulgación pública tiene como objetivo aumentar la transparencia y la responsabilidad de las prácticas de ciberseguridad.

2. Sanciones pecuniarias:

  • Sanciones financieras: La Directiva NIS2 introduce un sistema de sanciones administrativas por las infracciones de las obligaciones de gestión de riesgos y de notificación de incidentes. La directiva establece un umbral mínimo para dichas sanciones, diferenciado para entidades esenciales e importantes.
    • Entidades esenciales: Pueden estar sujetas a una sanción máxima de al menos 10.000.000 € o el 2% del volumen de negocios anual total a nivel mundial del ejercicio financiero anterior, lo que sea mayor.
    • Entidades importantes: Pueden estar sujetas a una sanción máxima de al menos 7.000.000 € o el 1,4% del volumen de negocios anual total a nivel mundial del ejercicio financiero anterior, lo que sea mayor.
  • Pagos periódicos de sanción: Los Estados miembros pueden implementar un sistema de pagos periódicos de sanción para obligar a las entidades esenciales o importantes a poner fin a las infracciones en curso tras una decisión previa de la autoridad competente. Esta disposición incentiva una acción oportuna para abordar y rectificar los incumplimientos.

3. Medidas de aplicación adicionales para las entidades esenciales:

Reconociendo el papel crítico de las entidades esenciales, la Directiva NIS2 otorga a las autoridades competentes herramientas de aplicación adicionales específicamente aplicables a estas entidades cuando las otras medidas resultan insuficientes.

  • Suspensión temporal del certificado/autorización: Las autoridades pueden suspender temporalmente o solicitar la suspensión de un certificado o una autorización relativa a los servicios o actividades de la entidad esencial. Esta medida afecta directamente a la capacidad de la entidad para operar y prestar servicios.
  • Prohibición temporal para la alta dirección: Las autoridades pueden solicitar una prohibición temporal, impidiendo que las personas en puestos de alta dirección ejerzan sus funciones dentro de la entidad esencial. Esta medida tiene como objetivo garantizar la responsabilidad individual por el incumplimiento de las normativas en los niveles organizativos más altos.

4. Factores considerados para la aplicación de las sanciones:

Al determinar las medidas de aplicación apropiadas, en particular las sanciones administrativas, las autoridades competentes deben considerar las circunstancias específicas de cada caso. Los factores tenidos en cuenta incluyen:

  • Gravedad, duración y carácter intencional de la infracción: Las infracciones más graves o deliberadas conllevarán consecuencias más severas.
  • Daños causados/pérdidas sufridas: Se tiene en cuenta el impacto financiero, económico u operativo resultante del incumplimiento.
  • Número de usuarios afectados: Las infracciones que afectan a un mayor número de usuarios pueden conllevar sanciones más elevadas.
  • Infracciones previas: Un historial de incumplimiento puede conducir a acciones sancionadoras más severas.
  • Nivel de cooperación: Las entidades que demuestran un enfoque colaborativo y proactivo en la resolución de las infracciones pueden beneficiarse de un trato más indulgente.

Aspectos jurisdiccionales de la aplicación

La determinación de la jurisdicción responsable de la aplicación de la Directiva NIS2 depende del tipo específico de entidad involucrada. Para profundizar en cómo Italia ha transpuesto estas obligaciones y qué sujetos entran en el perímetro, es útil consultar las indicaciones de la ACN sobre la lista de sujetos NIS2 y los plazos de cumplimiento.

  • Establecimiento como regla general: Para la mayoría de las entidades esenciales e importantes, la jurisdicción reside generalmente en el Estado miembro en el que están establecidas. Si una entidad opera en varios Estados miembros, cada uno de ellos posee jurisdicción y debe cooperar en las actividades de supervisión.
  • Excepciones basadas en la prestación del servicio o en la ubicación principal: Sin embargo, existen excepciones para algunas entidades cuyas operaciones son intrínsecamente transfronterizas:
    • Proveedores de redes y servicios de comunicaciones electrónicas públicos: Recaen bajo la jurisdicción del Estado miembro en el que prestan sus servicios.
    • Proveedores de servicios del sistema de nombres de dominio, registros de TLD, proveedores de computación en la nube, proveedores de centros de datos, proveedores de redes de distribución de contenidos (CDN), proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda y plataformas de redes sociales: Están sujetos a la jurisdicción del Estado miembro en el que se encuentra su establecimiento principal dentro de la UE. Esta disposición tiene como objetivo prevenir la fragmentación normativa para entidades que operan a nivel transfronterizo.

Sanciones por infracciones de las medidas de ejecución nacionales

La Directiva NIS2 exige que los Estados miembros establezcan sus propias normas nacionales relativas a las sanciones por infracciones de las medidas nacionales adoptadas para implementar la directiva. Estas sanciones deben adherirse a los mismos principios de eficacia, proporcionalidad y carácter disuasorio que rigen los mecanismos de aplicación de la directiva.

Colaboración con otros marcos normativos

La Directiva NIS2 subraya la colaboración y el intercambio de información entre las autoridades competentes responsables de su aplicación y otros organismos reguladores pertinentes, tanto a nivel nacional como de la UE. Para una comprensión más amplia del contexto normativo, es útil partir del objetivo principal de la Directiva NIS2 y de cómo se integra en el marco europeo de ciberseguridad.

Preguntas frecuentes sobre las consecuencias del incumplimiento de la NIS2

  • ¿Cuál es la diferencia concreta entre las sanciones para entidades esenciales y las de entidades importantes?
  • Las entidades esenciales pueden ser sancionadas con hasta 10 millones de euros o el 2% del volumen de negocios anual global, mientras que para las entidades importantes el máximo desciende a 7 millones de euros o el 1,4% del volumen de negocios. Además del importe, las entidades esenciales están expuestas a medidas adicionales como la suspensión temporal de certificados o autorizaciones y la prohibición temporal para la alta dirección, herramientas no previstas para las entidades importantes.
  • ¿Qué sucede si una entidad no resuelve una infracción después de la primera sanción?
  • La directiva prevé la posibilidad de aplicar pagos periódicos de sanción para obligar a la entidad a poner fin a las infracciones en curso. En la práctica, el incumplimiento reiterado puede traducirse en sanciones acumulativas crecientes, además de medidas más invasivas como la suspensión de las autorizaciones operativas.
  • ¿Quién es responsable de la aplicación de las sanciones NIS2 en Italia?
  • En Italia, la Agencia para la Ciberseguridad Nacional (ACN) es la autoridad competente designada para la supervisión y aplicación de la Directiva NIS2. La ACN también gestiona la lista de sujetos NIS2 y coordina las actividades de verificación del cumplimiento frente a las entidades esenciales e importantes que operan en el territorio nacional.

[Callforaction-NIS2-Footer]

In