Cumpliendo con la NIS2
Fecha: 23 marzo 2025

Fuente: INCIBE

Cumplimiento de las medidas técnicas, operativas y de organización

Según el art. 21.1 “Los Estados miembros velarán por que las entidades esenciales e importantes tomen las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan dichas entidades en sus operaciones o en la prestación de sus servicios y prevenir o minimizar las repercusiones de los incidentes en los destinatarios de sus servicios y en otros servicios. 

Teniendo en cuenta la situación y, en su caso, las normas europeas e internacionales pertinentes, así como el coste de su aplicación, las medidas a que se refiere el párrafo primero garantizarán un nivel de seguridad de los sistemas de redes y de información adecuado en relación con los riesgos planteados. Al evaluar la proporcionalidad de dichas medidas, se tendrá debidamente en cuenta el grado de exposición de la entidad a los riesgos, el tamaño de la entidad y la probabilidad de que se produzcan incidentes y su gravedad, incluidas sus repercusiones sociales y económicas”. 

Y según el art. 21.2 “Las medidas a que se hace referencia en el apartado 1 se fundamentarán en un enfoque basado en todos los peligros que tenga por objeto proteger los sistemas de redes y de información y el entorno físico de dichos sistemas frente a incidentes, e incluirán al menos los siguientes elementos: […]” Se indica a continuación los distintos recursos que puedes encontrar en INCIBE para ayudarte con el cumplimiento de cada uno de los elementos del Art.21.2.

Notificación de incidentes significativos

Por otra parte, las entidades afectadas por NIS2 deberán notificar, siguiendo los plazos del art.23, cualquier incidente significativo, es decir, aquel que:

  • ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada;
  • ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.