La Directiva SRI 2 entró en vigor el 16 de enero de 2023, debiendo haber sido transpuesta por los Estados miembros antes del 18 de octubre de 2024. Abarca tanto a sectores clave como la energía, transporte y salud, como a nuevos sectores y servicios digitales esenciales, que deben cumplir con estrictas medidas de ciberseguridad.

Las entidades sujetas a la directiva tienen varias obligaciones clave en materia de ciberseguridad:

1. Colaboración: Las organizaciones deben cooperar con las autoridades nacionales y europeas para compartir información sobre amenazas y vulnerabilidades.
2. Gestión de riesgos: Deben implementar medidas adecuadas para proteger sus redes y sistemas, incluyendo la identificación de riesgos y la adopción de medidas preventivas.
3. Notificación de incidentes: Deben notificar a las autoridades competentes cualquier incidente grave de ciberseguridad dentro de un plazo de 24 horas, y proporcionar informes detallados dentro de las 72 horas siguientes.

La Directiva establece un régimen de sanciones económicas y no económicas para las entidades que no cumplan con las obligaciones de ciberseguridad:

• Notificación tardía o incorrecta: El incumplimiento de los plazos de notificación o la notificación incompleta de incidentes también puede resultar en sanciones.
• Multas económicas: Las sanciones pueden alcanzar hasta el 2% de la facturación anual global de la entidad infractora o una cantidad fija elevada. Las sanciones dependen de la gravedad del incumplimiento y el impacto del incidente.
• Otras sanciones: Además de las multas, las autoridades pueden imponer medidas correctivas como la obligación de mejorar los procedimientos de seguridad o la suspensión temporal de algunos servicios esenciales.

Un aspecto crucial de la Directiva es la responsabilidad de los órganos de dirección de las entidades afectadas. Los directivos son responsables de garantizar que se cumplan las normas de ciberseguridad y de implementar políticas adecuadas para mitigar los riesgos. Entre las responsabilidades clave de los órganos de dirección se incluyen:

1. Deber de diligencia: Los directivos tienen el deber de actuar con diligencia en la gestión de la ciberseguridad, lo que incluye la supervisión activa y la asignación de recursos suficientes para mitigar los riesgos.
2. Garantizar el cumplimiento normativo: Los directivos deben asegurar que se adopten medidas de seguridad eficaces, como la evaluación de riesgos y la formación continua del personal.
3. Responsabilidad por incumplimiento: En caso de no cumplir con las disposiciones de la Directiva, los órganos de dirección pueden ser responsables personalmente, enfrentándose a sanciones.

La Directiva (UE) 2022/2555 establece un marco normativo ambicioso para mejorar la ciberseguridad en la UE, imponiendo obligaciones estrictas a las entidades afectadas y sanciones severas por su incumplimiento. Las multas económicas y las sanciones correctivas son herramientas clave para garantizar el cumplimiento, mientras que la responsabilidad de los órganos de dirección es esencial para la gestión efectiva de los riesgos cibernéticos. La transposición efectiva de la Directiva es crucial para lograr una protección cibernética adecuada y uniforme en toda la Unión Europea.

---

En Legalpin podemos ayudarte con el cumplimiento de normativas fundamentales en tu empresa. Comunícate con nuestro equipo y recibe asesoría gratuita en instantes visitando nuestra web www.legalpin.com/legalpin-oficial