Sanciones de la Directiva NIS2, ¿Cuáles son las multas y cómo evitarlas?

por | ISO 27001 | 0 Comentarios

imagen principal Sanciones NIS2

Si te preocupan las posibles sanciones por parte de la directiva NIS 2 tienes que leer este artículo para que sepas por qué puedes ser sancionado y cómo evitarlo.

La Directiva NIS2 ha ampliado el alcance de su directiva predecesora, la NIS1. Ahora incorpora nuevos sectores y estable nuevos requisitos de seguridad más estrictos.

El objetivo de la Unión Europea es garantizar que las entidades esenciales e importantes adopten medidas adecuadas para gestionar los riesgos de ciberseguridad y notifiquen oportunamente los incidentes significativos.

El incumplimiento de estas obligaciones puede resultar en sanciones severas, incluyendo multas importantes.

Pero tú vas a poder evitar estas sanciones.

Lee con detalle este artículo e implementa lo que te comento dentro de tu organización.

Contents

Régimen Sancionador de la Directiva NIS2

La Directiva NIS2 busca asegurar el cumplimiento efectivo de las medidas de seguridad por parte de las entidades obligadas, es decir las entidades esenciales, importantes y otras pymes que les pueda afectar.

Si tienes dudas sobre si tu empresa puede verse aplicada, te recomiendo que leas este artículo ¿A quién aplica la NIS2? Descubre si tu empresa está obligada

También he escrito un artículo para que, si tienes una PYME, sepas hacerte las preguntas correctas y sepas si te aplica o no las NIS2 ¿NIS2 Aplica a tu PYME? Averígualo con estas Preguntas

El régimen sancionador está compuesto por los tipos de sanciones que existen y los criterios establecidos para evaluar el incumplimiento.

Tipos de sanciones

La NIS2 contempla diversas sanciones para las entidades que incumplan sus obligaciones:​

Multas administrativas:

Las entidades esenciales pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de su volumen de negocios anual total a nivel mundial, lo que sea mayor.

Para las entidades importantes, las sanciones pueden alcanzar los 7 millones de euros o el 1,4% del volumen de negocios anual total a nivel mundial, lo que sea mayor.​

La definición entre entidades esenciales y entidades importantes la tienes en este artículo ¿A quién aplica la NIS2? Descubre si tu empresa está obligada

Otras medidas sancionadoras:

Además de las multas, en el párrafo “considerando” 133 se mencionan algunas medidas administrativas como pueden ser:

  • La suspensión temporal de certificaciones o autorizaciones para ejercer la actividad: en casos graves.
  • La prohibición temporal de ejercer funciones de dirección: en caso de detectar negligencias graves.

Criterios para imponer sanciones por parte de la NIS2

Los criterios a los que han llegados los estados miembros para imponer sanciones son los siguientes:​

  • Gravedad del incumplimiento: como de grave ha sido el incumplimiento.
  • Duración e historial del incumplimiento: tiempo que ha persistido la infracción y posibles repeticiones.
  • Intencionalidad o negligencia: si fue deliberado o por omisión de medidas.
  • Medidas adoptadas para mitigar daños: se se intento corregir el incumplimiento.
  • Cooperación con la autoridad competente.

Proceso de supervisiones para establecer sanciones por parte de la NIS2

En los artículos 32 y 33 de la NIS2 se describen los procesos por los cuáles se van a llevar a cabo supervisiones.

Hablamos de medidas de control a las entidades esenciales e importantes.

Las medidas son estas.

Medidas de Supervisión y Ejecución para Entidades Esenciales

El artículo 32 se indica que las autoridades competentes (es decir las que designe cada estado miembro) tiene poder para implementar las siguientes medidas:

  • Inspecciones in situ y supervisión remota: Realización de visitas físicas a las instalaciones y monitoreo a distancia para evaluar el cumplimiento de las obligaciones de ciberseguridad.​
  • Auditorías de seguridad periódicas y específicas: Evaluaciones regulares y puntuales, llevadas a cabo por organismos independientes o por la propia autoridad competente, para verificar la eficacia de las medidas de seguridad implementadas.​
  • Pruebas y evaluaciones de seguridad: Realización de análisis y pruebas para identificar vulnerabilidades y asegurar la robustez de los sistemas de información.​
  • Solicitudes de información: Requerimiento de documentos y datos que evidencien la adopción de medidas adecuadas de gestión de riesgos y cumplimiento de las obligaciones de notificación de incidentes.​

Medidas de Supervisión y Ejecución para Entidades Importantes

En el artículo 33 se detalla que, para las entidades importantes, las autoridades competentes pueden intervenir de la siguiente manera:

  • Inspecciones y supervisión ex post: Evaluaciones realizadas después de que se haya producido un incidente, incluyendo inspecciones in situ y supervisión remota por profesionales capacitados.​
  • Auditorías de seguridad específicas: Evaluaciones enfocadas en áreas donde se sospecha un incumplimiento.
  • Análisis de seguridad: Evaluaciones basadas en criterios objetivos y transparentes para identificar posibles riesgos, realizadas en cooperación con la entidad cuando sea necesario.​
  • Requerimientos de información: Solicitudes de documentación y datos necesarios para evaluar, de manera retrospectiva, las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad.​

Como evitar las sanciones indicadas en la NIS2

La mejor forma de evitar sanciones es implementar una serie de medidas de ciberseguridad y a la vez cumplir con los requisitos de esta directiva europea.

¿Cómo hacer esto?

Te lo explico a continuación.

Medidas técnicas, operativas y de organización

Lleva a cabo un análisis de riesgos que contemple los principales activos de la organización, el criterio utilizado para analizar los activos en relación a dimensiones de seguridad y las principales amenazas existentes.

Implementa políticas de seguridad como:

  • el uso de puntos finales de usuarios (endpoints).
  • los recursos humanos: antes del empleo, durante y después del empleo.
  • la gestión de sus activos.
  • la clasificación, tratamiento y manipulación de la información física y digital.
  • la gestión de controles de accesos físicos y lógicos.
  • el uso de la criptografía cuando sea necesaria.

Además deberás desarrollar e implementar un protocolo de gestión de incidentes y un plan de continuidad.

Implementa también un procedimiento de trabajo de seguridad en la adquisición, desarrollo y mantenimiento de sistemas y redes.

Si quieres saber con detalle cómo implementar estas medidas, lee este artículo Como implementar la NIS2

Protocolo de notificación de incidentes

Tal y como se establece en el artículo 23 de la Directiva NIS2, debes de implementar un protocolo de notificación de incidentes de ciberseguridad.

Teniendo en cuenta dentro de este protocolo:

  • La notificación de alerta temprana: dentro de las primeras 24 horas.
  • La notificación del informe inicial: máximo 72 horas después de ocurrir el incidente.
  • La notificación del informe final: máximo un mes después de ocurrir el incidente.

Estos informes han de ser remitidos a una autoridad competente que designe cada estado miembro a un CSIRT.

En este artículo Como implementar la NIS2 he desarrollado con más profundidad este protocolo de notificación ante incidentes.

Plan de formación en ciberseguridad a los empleados

El principal punto de entrada de un ciberataque en el 90% de las organizaciones son los errores humanos.

Y muchas de ellas son debido a falta de formación

El Centro Criptológico Nacional de España ha habilitado un portal de formación llamado Angeles  en el que, de forma gratuita, se presenta una oferta formativa bastante interesante respecto a:

  • Cursos generales sobre seguridad de la información.
  • Cursos familiarizados en ciberseguridad.
  • Cursos sobre el Esquema Nacional de Seguridad.
  • Cursos especializados
  • Cursos Ad-hoc.

Échale un vistazo porque vale la pena, son gratis.

Yo he hecho varios de ellos y son buenos.

Para implementar esta exigencia de la NIS2 puedes establecer una planificación de la formación para personal técnico y no técnico.

Para cada uno de estos perfiles podrás seleccionar formaciones más técnicas o más generales.

Bien pues hasta aquí lo que quería comentarte acerca de las sanciones de la Directiva NIS2.

Espero que te haya ayudado a ver la importancia de cumplir con esta normativa europea. Y recuerda que si necesitas ayuda para el cumplimiento de NIS2, nosotros podemos ayudarte.

Fecha: 03 marzo 2025

Fuente Bibliográfica: Elaboración propia tras lectura de la Directiva NIS2: Directiva 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO

Fuente imagen principal: Elaboración propia usando Inteligencia Artificial.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.