Todo lo que necesita para prepararse para la Directiva SRI 2

Alcance el cumplimiento de la SRI 2 con Sophos

La Directiva SRI 2 entró en vigor en enero de 2023. Los Estados miembros de la UE tenían hasta el 17 de octubre de 2024 para integrar los requisitos de seguridad de la SRI 2 en su legislación nacional. Para esa fecha, todas las empresas incluidas en el ámbito de aplicación de la SRI 2 deben haber garantizado el cumplimiento de los requisitos actualizados.

Soluciones de Sophos para la SRI 2

strengthen-your-nis2-cybersecurity-strategy-with-sophos

¿Cuáles son las novedades de la SRI 2?

La SRI 2 sustituye la Directiva SRI original introducida en 2016, que fue la primera ley aplicable a toda la UE en materia de ciberseguridad. La SRI 2 amplía el alcance del marco inicial a fin de incluir más sectores, introduce medidas de supervisión más estrictas, se centra más en las cadenas de suministro, exige una aplicación más rigurosa y establece sanciones por incumplimiento más severas.

Obtenga más información sobre el alcance, las definiciones y el contexto de la terminología de la SRI 2

Lea el monográfico de la SRI 2

¿A quién se aplica la SRI 2?

La Directiva SRI original se aplicaba principalmente a organizaciones de la infraestructura crítica y solo incluía en sus requisitos siete sectores industriales como operadores de servicios esenciales y tres sectores industriales como servicios digitales. La SRI 2 amplía significativamente su alcance e incluye 11 sectores industriales como entidades esenciales y siete sectores industriales como entidades importantes.

Las entidades esenciales están sujetas a un régimen de supervisión más exigente en que se monitoriza el cumplimiento tanto ex ante como ex post (lo que significa que se requerirá a las entidades que cumplan los requisitos de supervisión a partir de la introducción de SRI 2). Las entidades importantes están sujetas a una forma de supervisión menos rigurosa, solo ex post (lo que significa que solo se emprenderán acciones cuando las autoridades reciban pruebas de incumplimiento).

Una organización está sujeta a la Directiva SRI 2 si:

La organización presta servicios o desarrolla actividades en cualquiera de los Estados miembros de la UE.
Con excepciones, la organización tiene al menos 50 empleados o un volumen de negocios anual o un balance general de más de 10 millones de EUR.
La organización opera en uno de los 18 sectores que especifica la SRI 2 en el Anexo I y el Anexo II.

La SRI 2 identifica las organizaciones que operan en los siguientes 18 sectores como entidades esenciales y entidades importantes en función del total de ingresos anuales y el tamaño de la organización:

*Entidades esenciales:

Suele tratarse de organizaciones grandes y medianas que se consideran fundamentales para la economía y que operan en uno de los sectores enumerados en la columna izquierda de la tabla de arriba.

**Entidades importantes:

Suele tratarse de organizaciones grandes y medianas que se consideran importantes para la economía pero no fundamentales y que operan en uno de los sectores enumerados en la columna derecha de la tabla de arriba.

Excepciones: Las empresas que son el único proveedor de un servicio concreto en un Estado miembro de la UE o cuya interrupción podría tener un impacto significativo pueden clasificarse como entidades esenciales o entidades importantes independientemente de su tamaño.

Criterios habituales por los que una organización se considera grande:

250 empleados o más; o bien
Un volumen de negocios anual de más de 50 millones de EUR o un balance general de 43 millones de EUR o más.

Criterios por los que una organización se considera mediana:

50 empleados o más; o bien
Un volumen de negocios anual y un balance general de 10 millones de EUR o más.

Las organizaciones pequeñas o microorganizaciones no se excluyen del ámbito de aplicación de la SRI 2. Los Estados miembros pueden ampliar los requisitos de la SRI 2 si una entidad cumple criterios específicos como actor clave en la sociedad, la economía o sectores o tipos de servicio.

¿No tiene claro si la SRI 2 es aplicable a su organización?

Complete nuestra autoevaluación de la SRI 2 para averiguarlo.

Realizar el test

Sanciones por incumplimiento de la SRI 2

La SRI 2 introduce sanciones más estrictas en el caso de que las entidades esenciales y las entidades importantes incumplan los requisitos de seguridad o de que no notifiquen los incidentes. Aunque las multas concretas pueden variar en función del Estado miembro, la SRI 2 pretende unificar las sanciones en todos los Estados miembros estableciendo una lista mínima de sanciones administrativas. Los distintos tipos de sanciones por incumplimiento incluyen:

Sanciones no monetarias

La SRI 2 da más poder a las autoridades nacionales de supervisión para monitorizar y aplicar el cumplimiento de los recursos no monetarios, entre ellos:

Órdenes de cumplimiento (los reguladores pueden emitir una orden para que se apliquen medidas específicas)
Instrucciones vinculantes (los reguladores pueden exigir a una empresa que adopte medidas específicas)
Órdenes de aplicación de auditorías de seguridad (órdenes reglamentarias de aplicación de una medida de seguridad)
Órdenes de notificación de amenazas a los clientes de las entidades (aviso público de incumplimiento)
Prohibiciones temporales (órdenes reglamentarias que prohíben a la dirección ejercer funciones directivas)

Multas administrativas

Para las entidades esenciales: una sanción máxima de 10 000 000 de EUR o el 2 % de los ingresos anuales mundiales, optándose por la de mayor cuantía.
Para las entidades importantes: una sanción máxima de 7 000 000 de EUR o el 1,4 % de los ingresos anuales mundiales, optándose por la de mayor cuantía.

Responsabilidad personal de los directivos de entidades esenciales y entidades importantes

La SRI 2 incluye nuevas medidas que permiten a los Estados miembros responsabilizar personalmente de los requisitos de la SRI 2 al equipo directivo (por ejemplo, miembros de la junta directiva, directores y ejecutivos de dirección) de las entidades esenciales y las entidades importantes. Esto incluye exigir a la empresa que haga públicas las infracciones de cumplimiento, declarar públicamente la naturaleza de la infracción que se ha producido y la persona o personas culpables, e inhabilitar temporalmente a las personas para ocupar cargos directivos. Asimismo, el personal directivo se podrá considerar personalmente responsable cuando haya incurrido en negligencia grave por no cumplir con sus responsabilidades en materia de gestión de la ciberseguridad.

Soluciones de Sophos para la SRI 2

Webinar gratuito sobre la SRI 2

Regístrese para asistir a nuestro webinar bajo demanda para entender la SRI de la mano de expertos. Descubra cómo Sophos puede ayudarle a cumplir las nuevas reglas.

Ver webinar bajo demanda

Consiga la conformidad SRI 2 con Sophos

El cumplimiento de la Directiva SRI 2 es una oportunidad para que las organizaciones refuercen su postura de seguridad y su resiliencia frente a las ciberamenazas y contribuir así a un entorno digital más robusto en la UE.

Sophos puede ayudarle a cumplir con los requisitos de la SRI 2 con confianza. Nuestras extensas funcionalidades de ciberseguridad pueden ayudarle a cubrir los requisitos de cumplimiento clave de la SRI 2.

	Sophos Endpoint	Sophos Firewall	Sophos MDR	Sophos XDR
Políticas sobre análisis de riesgos
Gestión de incidentes
Continuidad de la actividad
Seguridad de la cadena de suministro
Garantizar la seguridad de la red y los sistemas de información, incluidas la gestión y la divulgación de las vulnerabilidades
Evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad
Políticas relativas al uso de criptografía y cifrado
Seguridad de recursos humanos, políticas de control de acceso y gestión de activos
Uso de autenticación multifactor
Obligaciones de notificación

Para obtener más información sobre las intuitivas soluciones de seguridad de Sophos que pueden ayudarle con el cumplimiento de la SRI 2, descargue Soluciones de Sophos para la SRI 2.

Comparativa de la SRI 2 con otras normativas de ciberseguridad

La Directiva SRI 2 es solo una de diversas normativas de ciberseguridad que deben acatar los operadores de la UE. A continuación detallamos la relación de la SRI 2 con otras regulaciones y en qué puntos se solapan:

	SRI 2	RGPD	DORA	REC
Directiva de la UE	(UE) 2022/2555	(UE) 2016/679	(UE) 2022/2554	(UE) 2022/2557
Nombre de la directiva	Directiva sobre la seguridad de las redes y sistemas de información 2	Reglamento general de protección de datos	Reglamento de resiliencia operativa digital	Directiva de resiliencia de entidades críticas
Alcance	Se aplica a las organizaciones que son entidades esenciales y entidades importantes; sustituye a la SRI 1 (UE) 2016/1148.	Se aplica a cualquier organización que trate datos personales de residentes en la UE y el EEE.	Se aplica a todas las entidades financieras de la UE.	Se aplica a las organizaciones que se consideran críticas según la decisión del Estado miembro.
Propósito	Diseñada para mejorar la ciberseguridad y la resiliencia de las redes y los sistemas de información en toda la Unión Europea.	Protege los derechos y libertades fundamentales de las personas, en particular su derecho a la privacidad y a la protección de los datos personales.	Además de los requisitos de ciberseguridad, esta Directiva hace hincapié en la resiliencia general de las entidades financieras.	Se centra en la resiliencia y la continuidad de la actividad de las entidades críticas designadas en la Directiva y ofrece orientación sobre la defensa contra riesgos no relacionados con la ciberseguridad.
Estado de cumplimiento con respecto a la SRI 2	-	Las organizaciones cubiertas por la SRI 2 que también se encarguen del tratamiento de datos en virtud del RGPD de la UE deben cumplir tanto con el RGPD de la UE como con la Directiva SRI 2 de la UE.	El Reglamento DORA y la Directiva SRI 2 se han diseñado para aplicarse de manera conjunta con el objetivo de reforzar los requisitos de ciberseguridad. Cada uno tiene requisitos específicos, y las instituciones financieras requieren ambos.	Las entidades críticas también deben cumplir con la SRI 2 en materia de ciberseguridad y con la Directiva REC en relación con incidentes no relacionados con la ciberseguridad.
Fecha de entrada en vigor	17 de octubre de 2024	25 de mayo de 2018	17 de enero de 2025	18 de octubre de 2024
Sanciones	Incluye sanciones no monetarias (como órdenes de cumplimiento), multas administrativas y sanciones penales. Las multas por incumplimiento para las entidades esenciales pueden ser de hasta el 2 % del volumen de negocios anual total a nivel mundial o 10 millones de EUR (optándose por la de mayor cuantía), mientras que las multas para las entidades importantes pueden ser de hasta el 1,4 % del volumen de negocios anual total a nivel mundial o 7 millones de EUR.	Las infracciones de las disposiciones del RGPD pueden sancionarse con cuantiosas multas de hasta 10 millones de EUR o el 2 % del volumen de negocios anual global (sanciones monetarias de nivel 1) o hasta 20 millones de EUR o el 4 % del volumen de negocios anual global (sanciones monetarias de nivel 2) en función la naturaleza de la infracción.	Pueden imponerse sanciones económicas por incumplimiento del DORA, pero la cuantía exacta depende de las disposiciones vulneradas y de la gravedad de la infracción. Asimismo, los reguladores pueden tomar otras medidas, como advertencias, restricciones operativas u órdenes reglamentarias que restrinjan las operaciones hasta que se demuestre el cumplimiento.	Las sanciones por incumplimiento variarán según el Estado miembro, pero es probable que incluyan multas, la notificación pública, la remediación y la revocación de la autorización.

Exención de responsabilidad: Las especificaciones y descripciones están sujetas a cambios sin previo aviso. Sophos renuncia a todas las garantías con respecto a esta información. El uso de productos de Sophos por sí solo no constituye asesoramiento jurídico ni garantiza el cumplimiento de la ley. La información que figura en este documento no constituye asesoramiento jurídico. Los clientes son los únicos responsables del cumplimiento de todas las leyes y reglamentos y deben consultar a su propia asesoría jurídica para obtener asistencia en relación con dicho cumplimiento.

Si desea más información sobre cómo alcanzar sus objetivos de cumplimiento de la Directiva SRI 2 antes de la fecha límite, contáctenos hoy mismo.

Directiva NIS 2

Prepárese para su cumplimiento

Descargar monográfico Contactar con nosotros

Muchos sectores se enfrentan a nuevos requisitos

La Directiva europea NIS 2 trae consigo normas de ciberseguridad nuevas y más estrictas para muchos sectores. Las organizaciones tendrán que cumplir la nueva normativa para finales de otoño de 2024 o se arriesgarán a fuertes sanciones.

Averigüe cómo cumplirla

Utilice nuestros recursos para informarse sobre la Directiva NIS 2 y averiguar si su organización está afectada, cuáles son las sanciones y qué debe hacer para cumplirla.

Monográfico

Ficha de cumplimiento

Monográfico

Lea nuestro monográfico, creado en colaboración con el abogado David Bomhard, para entender lo siguiente:

Los nuevos requisitos de la NIS 2
Las medidas que deben tomar las organizaciones
Los riesgos de responsabilidad para los directivos
Cómo las soluciones de Sophos pueden ayudarle a cumplir con los nuevos requisitos

Descargar monográfico

Ficha de cumplimiento

En este documento se explica que las soluciones de Sophos ofrecen herramientas eficaces para ayudar a las organizaciones a cumplir con el Capítulo IV de la Directiva NIS 2.

También incluye lo siguiente:

Medidas para la gestión de riesgos de ciberseguridad
Obligaciones de notificación

Con toda esta información, las organizaciones estarán mejor preparadas para cumplir con los requisitos.

Más información

Estudios de casos

Descubra cómo hemos blindado a otros clientes frente a las ciberamenazas.

Sicher vor modernen Cyberattacken

Die Schletter Solar GmbH profitiert jetzt von einer IT-Security-Lösung, die flexibel auf die Anforderungen der Zukunft reagieren kann.

Mehr erfahren

Mehr Schutz und Effizienz

Dank Sophos MDR hat die Transportgemeinschaft Wangen AG (TGW) nun maximale Kontrolle und Transparenz und kann auch modernsten Attacken Paroli bieten.

Mehr erfahren

Fit für die Zukunft

Die WEFRA LIFE ist jetzt langfristig für die Aufgaben in IT-Sicherheit gewappnet und optimal aufgestellt, um das Thema Cyber-Versicherung anzugehen.

Mehr erfahren

AG Barr

Sophos ha permitido a los equipos de TI de AG Barr dedicarse a tareas más proactivas en lugar de verse arrastrados a la gestión de los retos de seguridad.

Más información

HammondCare

Sophos ha ampliado el departamento de seguridad existente de HammondCare eliminando la necesidad de crear su propio centro interno.

Más información

Weitere Erfahrungsberichte finden Sie hier

Contáctenos

Descubra cómo las soluciones de Sophos pueden ayudarle a cumplir con la Directiva NIS 2.

Nombre

Apellidos

Correo electrónico corporativo

Company

Cargo

Número de teléfono

País

How Did You Hear About Us?

Acuerdo de Licencia de Usuario Final

Deseo recibir noticias sobre productos, servicios, regalos e invitaciones a eventos especiales de Sophos y otras promociones y noticias interesantes. (Si ha optado por recibir información anteriormente, no cambiaremos sus preferencias hasta que se excluya. Puede optar por excluirse en cualquier momento).

Al enviar este formulario, acepta que se le contacte sobre los productos y servicios de Sophos por parte del grupo de empresas de Sophos y partners que ofrecen nuestros productos y servicios. Sophos se compromete a proteger su privacidad. Si desea obtener más información sobre cómo obtenemos y utilizamos sus datos personales, lea nuestro aviso de privacidad y la página de información sobre cookies.