Cuando nos referimos a la Directiva NIS2, nos referimos a la legislación de la Unión Europea en materia de ciberseguridad. Esta normativa establece un conjunto de medidas destinadas a aumentar el nivel general de ciberseguridad en toda la Unión. En este sentido, las primeras normas fueron introducidas en el año 2016 y, en concreto, la Directiva SRI2 entró en vigor en 2023. Esta directiva supuso una actualización de la normativa existente, adaptándose a la digitalización y la evolución de las amenazas (Comisión Europea, 2023).
España, como Estado Miembro de la Unión, debe integrar en su ordenamiento estas disposiciones normativas para así garantizar la
aplicación uniforme y efectiva de la legislación comunitaria. A pesar de que esta directiva fue aprobada en 2022 y entró en vigor el 16 de enero de 2023, España aún no ha mostrado avances en la transposición de su contenido. Esto pese al límite que la propia SRI2 estableció, que finalizó el pasado 17 de octubre.
Por consiguiente, quedan varias cuestiones sin resolver, entre ellas la elaboración del régimen sancionador, tarea que corresponde a los Estados Miembros, así como la configuración de las medidas necesarias que permitan una ejecución plena en el territorio español.
Visto lo anterior, podríamos plantear algunas cuestiones básicas:
1.- ¿Es un problema que España aún no haya transpuesto la Directiva SRI2?
Sí, efectivamente, la falta de transposición de la normativa europea no exime a las entidades enmarcadas dentro del ámbito de aplicación de su responsabilidad de cumplimiento, en especial a las consideradas entidades críticas según la Directiva UE 2022/2557.
2.- ¿Afecta a los particulares que la normativa no se haya transpuesto antes del 17 de octubre?
Sí, ya que el Derecho de la Unión otorga cierta protección a los particulares contra la transposición incorrecta o ausencia de transposición de las directivas. Esto significa que, bajo determinadas condiciones, los ciudadanos pueden invocar directamente estas normas ante los tribunales españoles. No obstante, un particular no puede alegar su contenido al presentar una reclamación contra otro, salvo que se dirija a entidades públicas o privadas y cumpla además otros requisitos adicionales.
3.- ¿Qué entidades deberán de cumplir con la nueva normativa europea?
El artículo segundo de la Directiva establece que se aplicarán a entidades, ya sean públicas o privadas, que pertenezca a los tipos mencionados en sus anexos; que sean consideradas medianas empresas según la Recomendación 2003/361 CE; o que superen los límites máximos para medianas empresas y presten o realicen actividades en la Unión.
4.- ¿Esta normativa afecta a las pequeñas empresas?
Sí, aunque la Directiva se aplique principalmente a medianas y grandes empresas, las pequeñas empresas podrán verse afectadas por la Directiva SRI2 y su próxima transposición en España. Deberán cumplir con criterios específicos que evidencien su papel en la sociedad, la economía o en determinados sectores o tipos de servicios. Por lo tanto, independientemente de su tamaño, las pequeña empresas podrían quedar dentro de su ámbito de aplicación.
5.- ¿Qué sectores deberán adaptar su normativa según la SRI2?
Por ejemplo, las empresas que proveen servicios de redes públicas de comunicaciones eléctricas o disponibles al público, así como aquellas que sean el único proveedor de un Estado de un servicio esencial para el mantenimiento de actividades sociales o económicas (Incibe, 2023).
En específico, los sectores afectados incluyen:
a)La energía (gas, electricidad, crudo, calefacción e hidrógeno)
b) el transporte (aéreo, ferrocarril, marítimo fluvial y carretera)
c) el bancario e infraestructuras de mercados financieros
d) el sanitario (vertiente de asistencia, investigación y producción), entre otros.
e) También se verán afectados los servicios de mensajería postal, la gestión de residuos y la fabricación, producción y distribución de sustancias químicas, alimentos o material electrónico y maquinaria (Incibe, 2023).
Por último, las entidades esenciales y, en definitiva, las empresas, deberán preparar lo antes posible reformas que permitan una implementación normativa acelerada y contextualizada en un mundo digital globalizado; habituándose, en el camino, a la realización de auditorías periódicas y específica basadas en la evaluación del riesgo. Asimismo, será fundamental llevar a cabo auditorías ad hoc en caso de incidentes significativos o incumplimiento de las obligaciones.
No obstante, no cabe duda de que aquellas empresas que logren adelantarse a la adecuación normativa se posicionarán favorablemente en el cumplimiento de los objetivos de la Unión en esta materia, así como en el posicionamiento empresarial dentro de nuestro mercado único europeo ¿será tu empresa una de ellas?.
Autor:
Francisco Manuel Román Jurado
Bibliografía / Fuentes
- Comisión Europea. (2023, 9, 14). Directiva relativa a las medidas para un elevado nivel común de ciberseguridad en toda la Unión (Directiva SRI2). Digital Strategy.ec.europa.eu.
- Comisión Europea. (2024, 10, 24). Nuevas normas para impulsar la ciberseguridad de las entidades y redes críticas de la UE. Digital Strategy.ec.europa.eu.
- EUR-Lex. (2022, 03, 16). Directivas de la Unión Europea: artículo 288 del TFUE: directivas. Eur-lex.europa.eu.
Incibe. (2023, 01, 03). Aprobación de la Directiva NIS2. Bitácora de ciberseguridad. Incibe.es.
Incibe. (2024, 03, 25). FAQ NIS2. Incibe.es.