ISGroup Consultoría de Ciberseguridad

Cómo define la Directiva NIS2 a las entidades “esenciales” e “importantes” y cómo afecta esto a sus obligaciones de notificación

La Directiva NIS2 establece un sistema de dos niveles para clasificar a las entidades que entran en su ámbito de aplicación: entidades esenciales y entidades importantes. Esta clasificación, basada en la importancia percibida de la entidad y el impacto potencial en los servicios esenciales y en la sociedad, influye directamente en sus obligaciones en materia de ciberseguridad, incluida la notificación de incidentes. Para profundizar en el marco normativo de referencia, está disponible el documento oficial de la Directiva NIS2.

[Callforaction-NIS2]

Entidades Esenciales

  • Definición: La Directiva NIS2 proporciona una definición multifacética de “entidades esenciales”, que abarca diversas categorías:
  • Entidades enumeradas en el Anexo I que superan el umbral dimensional de las medianas empresas, tal como se define en la Recomendación 2003/361/CE. El Anexo I incluye sectores considerados de “alta criticidad”, como energía, transporte, banca, salud e infraestructuras digitales.
  • Entidades específicas independientemente de su tamaño, entre las que se incluyen proveedores cualificados de servicios de confianza, registros de nombres de dominio de primer nivel, proveedores de servicios DNS y proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles al público.
  • Entidades de la administración pública del gobierno central, tal como las define la legislación nacional de cada Estado miembro.
  • Cualquier otra entidad enumerada en los Anexos I o II (que incluyen “otros sectores críticos”) que un Estado miembro identifique como esencial basándose en los criterios descritos en el Artículo 2(2)(b-e). Estos criterios consideran si una interrupción de los servicios de la entidad podría:
    • Afectar significativamente a la seguridad pública, la seguridad nacional o la salud pública.
    • Conllevar un riesgo sistémico significativo, especialmente en sectores con impacto transfronterizo potencial.
    • Tener un impacto significativo en actividades sociales o económicas críticas a nivel nacional o regional debido a la importancia particular de la entidad en ese sector o área de servicio.
  • Entidades designadas como “críticas” de conformidad con la Directiva (UE) 2022/2557.
  • Entidades identificadas como operadores de servicios esenciales por un Estado miembro antes del 16 de enero de 2023, de conformidad con la Directiva (UE) 2016/1148 o la legislación nacional.
  • Obligaciones de Notificación: Las entidades esenciales están sujetas a un régimen de supervisión más riguroso y están obligadas a cumplir con todos los requisitos de notificación de incidentes descritos en la Directiva NIS2. Esto incluye:
  • Alerta Preliminar: Proporcionar una alerta al CSIRT o a la autoridad competente en un plazo de 24 horas desde el momento en que tengan conocimiento de un incidente significativo.
  • Notificación del Incidente: Enviar una notificación más detallada en un plazo de 72 horas.
  • Informe Final: Proporcionar un informe completo en el plazo de un mes desde la notificación del incidente.

Entidades Importantes

  • Definición: La Directiva NIS2 define las “entidades importantes” como aquellas pertenecientes a los sectores enumerados en los Anexos I o II que no están clasificadas como entidades esenciales. Esta categoría incluye entidades identificadas por los Estados miembros como importantes basándose en los criterios del Artículo 2(2)(b-e) mencionados anteriormente.
  • Obligaciones de Notificación: Aunque las entidades importantes están sujetas a los requisitos de notificación de incidentes de la Directiva NIS2, están sometidas a un régimen de supervisión menos estricto que las entidades esenciales. Además, el nivel de las sanciones administrativas por incumplimiento de las obligaciones de notificación es inferior al previsto para las entidades esenciales.

Impacto de la Clasificación

La clasificación de una entidad como “esencial” o “importante” tiene implicaciones significativas para sus obligaciones de ciberseguridad en virtud de la Directiva NIS2:

  • Medidas de Supervisión: Las entidades esenciales están sujetas a medidas de supervisión más rigurosas y proactivas por parte de las autoridades competentes en comparación con las entidades importantes. Esto incluye auditorías periódicas, inspecciones in situ y solicitudes de información.
  • Aplicación de Sanciones: La Directiva NIS2 establece un marco para las sanciones en caso de incumplimiento. Si bien ambas categorías pueden ser penalizadas por infracciones, las entidades esenciales enfrentan sanciones administrativas más elevadas, lo que refleja su mayor impacto potencial en la sociedad y la economía.
  • Responsabilidad: La directiva enfatiza la responsabilidad individual en los puestos directivos de alto nivel tanto en las entidades esenciales como en las importantes, asegurando que exista responsabilidad a nivel organizativo por las medidas de ciberseguridad adoptadas.

En esencia, el sistema de dos niveles de la Directiva NIS2 reconoce los diferentes niveles de riesgo e impacto potencial asociados a las diversas entidades que operan en sectores críticos. Al clasificar a las entidades como “esenciales” o “importantes”, la directiva aplica un enfoque proporcionado a las obligaciones de ciberseguridad: entender en qué categoría se encuentra su organización es el primer paso concreto para establecer un camino estructurado de cumplimiento de la NIS2.

[Callforaction-NIS2-Footer]

In