CRITICAL Ciberseguridad ✓ Necesario para tienda online En vigor: 2024-10-18 Aprobada: 2022-12-14

NIS2 - Directiva (UE) 2022/2555 relativa a medidas para un alto nivel común de ciberseguridad en toda la Unión

ESEU allelectronicsfashionsoftwaremarketplacelogisticssaastienda_online_grandeplataforma_ecommercehosting_providerservicios_digitales #ciberseguridad #gestion_riesgos #incidentes #cadena_suministro #responsabilidad_directiva #product_types_inferred #company:mediana_empresa #company:gran_empresa #company:marketplace #company:proveedor_servicios_digitales #company:empresa_no_ue_que_vende_a_ue electronica electrodomesticos ropa calzado juguetes cosmeticos muebles software saas infoproductos cursos_online libros_digitales cloud_hosting

Resumen ejecutivo: Normativa de obligado cumplimiento desde el 18 de octubre de 2024. Afecta a marketplaces online, plataformas de servicios digitales y grandes minoristas que superen los umbrales de mediana empresa (>50 empleados o >10M€ de facturación). Exige implementar medidas de gestión de riesgos, garantizar la seguridad de la cadena de suministro, notificar incidentes graves en un plazo de 24h y formación obligatoria para directivos, con sanciones de hasta 10M€ o el 2% de la facturación global.

Acciones concretas para tu tienda

Realizar una auditoría de riesgos de ciberseguridad según el Art. 21
Establecer un protocolo de notificación de incidentes graves (24h/72h)
Implementar medidas de seguridad en la cadena de suministro (evaluación de proveedores IT)
Formar a la alta dirección en materia de ciberseguridad
Asegurar la continuidad de negocio con planes de recuperación ante desastres

⚙ Necesario un modulo adicional

Requiere la implementación de sistemas de monitorización de seguridad (SIEM/EDR), herramientas de cifrado extremo a extremo y sistemas de backup inmutable. En el CMS (Prestashop/Shopify), se requieren módulos avanzados de autenticación MFA y registros de auditoría de actividad (logs).

Fuente oficial:

EUR-Lex (catalogo historico)

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

La Directiva (UE) 2022/2555, conocida como NIS2, surge para abordar las crecientes amenazas cibernéticas y la fragmentación en la implementación de la ciberseguridad en la Unión Europea. El marco normativo previo, la Directiva NIS de 2016 (Directiva (UE) 2016/1148, CELEX: 32016L1148), se consideraba insuficiente debido a la falta de claridad en la identificación de operadores de servicios esenciales y la disparidad de requisitos entre Estados miembros. Tras seis años de vigencia, la digitalización acelerada por la pandemia y el aumento de ataques de ransomware obligaron a una reforma profunda. NIS2 amplía drásticamente el alcance sectorial y endurece las sanciones para garantizar que la economía digital europea sea resiliente.

2. Origen y proceso legislativo

Publicada en el Diario Oficial de la Unión Europea el 27 de diciembre de 2022, la Directiva NIS2 entró en vigor a los 20 días de su publicación. Los Estados miembros, incluida España, deben transponerla a sus ordenamientos nacionales antes del 17 de octubre de 2024 (en España mediante la reforma del RD-ley 12/2018). Los Considerandos 10, 11 y 79 son fundamentales: el 10 subraya la interdependencia de las redes; el 11 destaca la necesidad de incluir a los proveedores de servicios digitales; y el 79 impone la responsabilidad directa a los órganos de dirección. El procedimiento siguió el trámite de codecisión con un fuerte consenso sobre la necesidad de proteger la cadena de suministro tecnológica.

3. Ambito subjetivo - A QUIEN aplica

El cambio más radical de NIS2 es la eliminación de la autodesignación por los Estados. Se aplica a todas las entidades que operen en sectores críticos y que tengan la consideración de medianas o grandes empresas (regla de 'size-cap'):

Empresas medianas: >50 empleados o facturación >10M EUR.
Grandes empresas: >250 empleados o facturación >50M EUR.
Marketplaces Online: Independientemente de si venden producto propio, si actúan como intermediarios conectando vendedores y consumidores.
Proveedores de servicios digitales: Incluye buscadores, plataformas de redes sociales y servicios de computación en la nube.
Excepciones: Las microempresas y pequeñas empresas suelen estar exentas, salvo que desempeñen un papel crítico (ej. proveedores de redes públicas o servicios de confianza).
Empresas extra-UE: Si una tienda online o marketplace tiene sede fuera de la UE pero ofrece servicios en la Unión y entra en la categoría de mediana/grande, debe designar un representante en la UE.

4. Ambito objetivo - QUE actividades y productos cubre

NIS2 no regula el producto en sí (como el Marcado CE), sino la infraestructura y los procesos de la entidad que comercializa. Cubre:

Tiendas Online y Marketplaces: Amazon, eBay, pero también grandes retailers como Inditex, PC Componentes o Mango.
SaaS y Software: Empresas que comercializan licencias cloud, CRMs, o herramientas de automatización.
Infoproductos y Contenido: Plataformas de streaming o grandes academias online con infraestructura propia crítica.
Logística Ecommerce: Empresas de transporte vinculadas al comercio electrónico se consideran ahora sectores de 'alta criticidad'.
Exenciones: Servicios de comunicaciones electrónicas que ya están bajo normativas específicas más estrictas en ciertos puntos, aunque NIS2 actúa como base mínima.

5. Obligaciones concretas - exegesis del articulado

Gestión de Riesgos (Art. 21): Las tiendas deben implementar políticas de seguridad de los sistemas, gestión de incidentes, y continuidad de las operaciones (backups y recuperación).
Seguridad de la Cadena de Suministro (Art. 21.2.d): No basta con ser seguro; el comerciante debe evaluar la ciberseguridad de su hosting, de su pasarela de pagos y de sus plugins de terceros.
Notificación de Incidentes (Art. 23): Un incidente grave debe comunicarse a la autoridad (INCIBE-CERT en España) en tres fases: Alerta temprana (24h), Notificación de incidente (72h) e Informe final (1 mes).
Gobernanza y Responsabilidad (Art. 20): Los directivos son responsables personalmente si no se implementan las medidas. Deben aprobar las medidas de ciberseguridad y supervisar su aplicación.
Cifrado y Criptografía (Art. 21.2.h): Obligatoriedad de uso de criptografía fuerte en todas las comunicaciones y transacciones.
Higiene Cibernética (Art. 21.2.g): Prácticas básicas como formación de empleados, actualizaciones de software (patch management) y políticas de contraseñas/MFA.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Gran Retailer de Moda. Con 300 empleados y venta en toda la UE. Debe realizar un análisis de riesgos de su plataforma ecommerce, auditar sus almacenes automatizados y asegurar que su proveedor de última milla cumple con estándares de seguridad.
Caso 2: Marketplace de Software (SaaS). Al alojar datos de terceros y facilitar transacciones, es 'Entidad Importante'. Si sufre un ataque DDoS que tumba la plataforma por 4 horas, debe notificarlo en 24h si afecta significativamente a la prestación del servicio.
Caso 3: Tienda de Electrónica (Mediana). Factura 15M EUR. Debe contratar un CISO o responsable de seguridad, implementar MFA para todos los accesos al backend y cifrar la base de datos de clientes.
Caso 4: Dropshipper Grande. Si gestiona un volumen masivo de datos y pedidos mediante APIs integradas con proveedores chinos/asiáticos, debe evaluar los riesgos de seguridad de esas APIs (cadena de suministro).
Caso 5: Empresa de Hosting/Cloud para Ecommerce. Considerada 'Entidad Esencial'. Los requisitos de supervisión son preventivos y constantes, con auditorías externas obligatorias.

7. Plazos clave

8. Sanciones y regimen sancionador

Las sanciones son históricas en el ámbito de la ciberseguridad no vinculada exclusivamente a datos personales:

Entidades Esenciales: Multas de hasta 10.000.000 EUR o el 2% del volumen de negocios anual total a nivel mundial, lo que sea mayor.
Entidades Importantes: Multas de hasta 7.000.000 EUR o el 1,4% del volumen de negocios anual.
Responsabilidad Directiva: Las autoridades pueden suspender temporalmente a los directivos de sus funciones si hay incumplimiento reiterado.
España: El INCIBE y la Secretaría de Estado de Digitalización e Inteligencia Artificial serán los supervisores clave. Las sanciones se graduarán según la intencionalidad, la gravedad de los daños y la reincidencia.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa

Autoevaluación de umbrales: Comprobar si se superan los 50 empleados o 10M€ de facturación.
Designación de Responsable: Nombrar un CISO o Comité de Seguridad.
Inventario de Activos: Listado de servidores, bases de datos, APIs y software de terceros.
Análisis de Riesgos: Identificar amenazas (phishing, ransomware, fugas de datos).
Plan de Continuidad: Crear backups offline e inmutables.
MFA Obligatorio: Implementar doble factor en todos los accesos (incluyendo CMS y paneles de hosting).
Cifrado de Datos: Asegurar que los datos en reposo y tránsito están cifrados (AES-256).
Revisión de Proveedores: Enviar cuestionarios de seguridad a proveedores críticos.
Protocolo de Incidentes: Documento con los pasos exactos para reportar a INCIBE en <24h.
Plan de Formación: Sesiones de concienciación para empleados y directivos.
Actualización Automática: Configurar sistemas de parches de seguridad urgentes.
Auditoría Externa: Realizar un test de penetración (pentesting) anual.

11. Errores frecuentes

Pensar que 'yo no soy infraestructura crítica': Error, si eres un marketplace mediano, NIS2 te define como tal.
Confundir RGPD con NIS2: RGPD protege datos personales; NIS2 protege la disponibilidad y seguridad de la red.
No documentar la formación de directivos: Es obligatorio demostrar que la alta dirección se ha formado.
Ignorar a los proveedores: Si tu hosting es inseguro, tú eres responsable bajo NIS2.
Retraso en la notificación: Esperar 3 días para investigar antes de avisar a la autoridad conlleva multa directa.
Backups en la misma red: Si el ransomware cifra tu web, cifrará tu backup si no está aislado.
No tener presupuesto asignado: La ciberseguridad ya no es un gasto de IT, es un requisito legal de cumplimiento.
Pensar que el seguro de ciberriesgos cubre el cumplimiento: El seguro paga el rescate/daños, pero no evita la sanción administrativa.

12. Jurisprudencia y criterios oficiales

Jurisprudencia pendiente dado que la Directiva es de reciente aplicación. No obstante, el TJUE ha sentado bases en casos como C-311/18 (Schrems II) sobre la seguridad en la transferencia de datos y la integridad de las redes. Se recomienda seguir las guías de la ENISA (Agencia de Ciberseguridad de la UE) y las futuras circulares que emita el INCIBE tras la transposición en España.

13. FAQ extensa

¿Si mi tienda online solo vende en España me afecta?

Sí, la normativa es de aplicación nacional en base a una Directiva Europea. Si cumples los umbrales de tamaño, el alcance es obligatorio.

Soy autónomo facturando 12M€ con 2 empleados, ¿estoy dentro?

No, la regla de 'size-cap' requiere cumplir ambos o ser una entidad crítica. Generalmente, por debajo de 50 empleados estás exento salvo sectores muy específicos.

¿Qué pasa si Amazon sufre un ataque y mi tienda en su marketplace se ve afectada?

Amazon deberá notificarlo bajo NIS2. Tú, como vendedor, deberás evaluar cómo afecta a tus operaciones y cumplir con tus propios protocolos si también superas los umbrales.

¿Es obligatorio contratar un CISO externo?

No es obligatorio que sea externo ni que sea una figura exclusiva, pero sí que alguien con capacidad técnica asuma la responsabilidad.

¿Cuánto cuesta adaptarse a NIS2?

Depende de la madurez previa, pero se estima entre un 5% y un 15% de incremento en el presupuesto de IT el primer año.

¿Las multas son acumulables a las del RGPD?

Sí, un mismo incidente puede suponer una multa por falta de seguridad (NIS2) y otra por fuga de datos personales (RGPD).

¿Tengo que notificar si el ataque ha sido fallido?

No, solo si el incidente ha tenido un impacto real en la prestación del servicio o ha causado pérdidas financieras o daños a terceros.

¿Qué es un incidente 'grave'?

Aquel que causa una interrupción operativa importante o pérdidas financieras sustanciales a la entidad o a terceros.

¿Tengo que cambiar mi hosting?

Solo si tu hosting actual no puede garantizar los niveles de seguridad y reporte que NIS2 te exige a ti.

¿Cómo afecta al dropshipping?

Especialmente en la gestión de APIs y datos compartidos con proveedores externos; la cadena de suministro es el punto débil.

¿Hay ayudas públicas para esto?

Sí, en España el programa Kit Digital y programas de Ciberseguridad del INCIBE ofrecen bonos para auditorías.

¿Qué directivo debe firmar el cumplimiento?

El administrador o el consejo de administración en pleno; no es delegable únicamente en el informático.

14. Normativas relacionadas

RGPD (UE) 2016/679: Seguridad de datos personales (CELEX: 32016R0679).
Reglamento DORA (UE) 2022/2554: Ciberseguridad para el sector financiero (CELEX: 32022R2554).
Directiva CER (UE) 2022/2557: Resiliencia de entidades críticas (CELEX: 32022L2557).
Ley 7/2022 de Residuos: (Relacionado por la responsabilidad en la cadena de suministro).
RD-ley 12/2018: Transposición de NIS1 en España (pendiente de actualización para NIS2).

15. Recursos oficiales y herramientas recomendadas

INCIBE: Portal para empresas y reporte de incidentes.
ENISA: Guías técnicas sobre gestión de riesgos y seguridad cloud.
Herramientas: Sistemas de backup inmutable, gestores de contraseñas corporativos y software de escaneo de vulnerabilidades.
Cursos: Formaciones específicas en NIS2 para directivos (disponibles en cámaras de comercio).

16. Conclusion practica y valoracion

La Directiva NIS2 cambia el paradigma: la ciberseguridad deja de ser una opción técnica para ser una obligación legal de cumplimiento (compliance) al mismo nivel que el IVA o la protección de datos. Para una tienda online de tamaño medio/grande, el riesgo de no actuar es doble: sanciones millonarias e inhabilitación de directivos. El esfuerzo de adaptación es alto, requiriendo una revisión total de los procesos de IT y de las relaciones con proveedores. Se recomienda iniciar el roadmap de implementación de inmediato, priorizando la gestión de incidentes y el refuerzo de la cadena de suministro antes de octubre de 2024.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.

NIS2 - Directiva (UE) 2022/2555 relativa a medidas para un alto nivel común de ciberseguridad en toda la Unión

En vigor desde 18/10/2024

Resumen: Normativa de obligado cumplimiento desde el 18 de octubre de 2024. Afecta a marketplaces online, plataformas de servicios digitales y grandes minoristas que superen los umbrales de mediana empresa (>50 empleados o >10M€ de facturación). Exige implementar medidas de gestión de riesgos, garantizar la seguridad de la cadena de suministro, notificar incidentes graves en un plazo de 24h y formación obligatoria para directivos, con sanciones de hasta 10M€ o el 2% de la facturación global.

Acciones concretas

Realizar una auditoría de riesgos de ciberseguridad según el Art. 21
Establecer un protocolo de notificación de incidentes graves (24h/72h)
Implementar medidas de seguridad en la cadena de suministro (evaluación de proveedores IT)
Formar a la alta dirección en materia de ciberseguridad
Asegurar la continuidad de negocio con planes de recuperación ante desastres

1. Contexto y marco normativo previo

2. Origen y proceso legislativo

3. Ambito subjetivo - A QUIEN aplica

Empresas medianas: >50 empleados o facturación >10M EUR.
Grandes empresas: >250 empleados o facturación >50M EUR.
Marketplaces Online: Independientemente de si venden producto propio, si actúan como intermediarios conectando vendedores y consumidores.
Proveedores de servicios digitales: Incluye buscadores, plataformas de redes sociales y servicios de computación en la nube.
Excepciones: Las microempresas y pequeñas empresas suelen estar exentas, salvo que desempeñen un papel crítico (ej. proveedores de redes públicas o servicios de confianza).
Empresas extra-UE: Si una tienda online o marketplace tiene sede fuera de la UE pero ofrece servicios en la Unión y entra en la categoría de mediana/grande, debe designar un representante en la UE.

4. Ambito objetivo - QUE actividades y productos cubre

NIS2 no regula el producto en sí (como el Marcado CE), sino la infraestructura y los procesos de la entidad que comercializa. Cubre:

Tiendas Online y Marketplaces: Amazon, eBay, pero también grandes retailers como Inditex, PC Componentes o Mango.
SaaS y Software: Empresas que comercializan licencias cloud, CRMs, o herramientas de automatización.
Infoproductos y Contenido: Plataformas de streaming o grandes academias online con infraestructura propia crítica.
Logística Ecommerce: Empresas de transporte vinculadas al comercio electrónico se consideran ahora sectores de 'alta criticidad'.
Exenciones: Servicios de comunicaciones electrónicas que ya están bajo normativas específicas más estrictas en ciertos puntos, aunque NIS2 actúa como base mínima.

5. Obligaciones concretas - exegesis del articulado

Gestión de Riesgos (Art. 21): Las tiendas deben implementar políticas de seguridad de los sistemas, gestión de incidentes, y continuidad de las operaciones (backups y recuperación).
Seguridad de la Cadena de Suministro (Art. 21.2.d): No basta con ser seguro; el comerciante debe evaluar la ciberseguridad de su hosting, de su pasarela de pagos y de sus plugins de terceros.
Notificación de Incidentes (Art. 23): Un incidente grave debe comunicarse a la autoridad (INCIBE-CERT en España) en tres fases: Alerta temprana (24h), Notificación de incidente (72h) e Informe final (1 mes).
Gobernanza y Responsabilidad (Art. 20): Los directivos son responsables personalmente si no se implementan las medidas. Deben aprobar las medidas de ciberseguridad y supervisar su aplicación.
Cifrado y Criptografía (Art. 21.2.h): Obligatoriedad de uso de criptografía fuerte en todas las comunicaciones y transacciones.
Higiene Cibernética (Art. 21.2.g): Prácticas básicas como formación de empleados, actualizaciones de software (patch management) y políticas de contraseñas/MFA.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Gran Retailer de Moda. Con 300 empleados y venta en toda la UE. Debe realizar un análisis de riesgos de su plataforma ecommerce, auditar sus almacenes automatizados y asegurar que su proveedor de última milla cumple con estándares de seguridad.
Caso 2: Marketplace de Software (SaaS). Al alojar datos de terceros y facilitar transacciones, es 'Entidad Importante'. Si sufre un ataque DDoS que tumba la plataforma por 4 horas, debe notificarlo en 24h si afecta significativamente a la prestación del servicio.
Caso 3: Tienda de Electrónica (Mediana). Factura 15M EUR. Debe contratar un CISO o responsable de seguridad, implementar MFA para todos los accesos al backend y cifrar la base de datos de clientes.
Caso 4: Dropshipper Grande. Si gestiona un volumen masivo de datos y pedidos mediante APIs integradas con proveedores chinos/asiáticos, debe evaluar los riesgos de seguridad de esas APIs (cadena de suministro).
Caso 5: Empresa de Hosting/Cloud para Ecommerce. Considerada 'Entidad Esencial'. Los requisitos de supervisión son preventivos y constantes, con auditorías externas obligatorias.

7. Plazos clave

8. Sanciones y regimen sancionador

Las sanciones son históricas en el ámbito de la ciberseguridad no vinculada exclusivamente a datos personales:

Entidades Esenciales: Multas de hasta 10.000.000 EUR o el 2% del volumen de negocios anual total a nivel mundial, lo que sea mayor.
Entidades Importantes: Multas de hasta 7.000.000 EUR o el 1,4% del volumen de negocios anual.
Responsabilidad Directiva: Las autoridades pueden suspender temporalmente a los directivos de sus funciones si hay incumplimiento reiterado.
España: El INCIBE y la Secretaría de Estado de Digitalización e Inteligencia Artificial serán los supervisores clave. Las sanciones se graduarán según la intencionalidad, la gravedad de los daños y la reincidencia.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa

Autoevaluación de umbrales: Comprobar si se superan los 50 empleados o 10M€ de facturación.
Designación de Responsable: Nombrar un CISO o Comité de Seguridad.
Inventario de Activos: Listado de servidores, bases de datos, APIs y software de terceros.
Análisis de Riesgos: Identificar amenazas (phishing, ransomware, fugas de datos).
Plan de Continuidad: Crear backups offline e inmutables.
MFA Obligatorio: Implementar doble factor en todos los accesos (incluyendo CMS y paneles de hosting).
Cifrado de Datos: Asegurar que los datos en reposo y tránsito están cifrados (AES-256).
Revisión de Proveedores: Enviar cuestionarios de seguridad a proveedores críticos.
Protocolo de Incidentes: Documento con los pasos exactos para reportar a INCIBE en <24h.
Plan de Formación: Sesiones de concienciación para empleados y directivos.
Actualización Automática: Configurar sistemas de parches de seguridad urgentes.
Auditoría Externa: Realizar un test de penetración (pentesting) anual.

11. Errores frecuentes

Pensar que 'yo no soy infraestructura crítica': Error, si eres un marketplace mediano, NIS2 te define como tal.
Confundir RGPD con NIS2: RGPD protege datos personales; NIS2 protege la disponibilidad y seguridad de la red.
No documentar la formación de directivos: Es obligatorio demostrar que la alta dirección se ha formado.
Ignorar a los proveedores: Si tu hosting es inseguro, tú eres responsable bajo NIS2.
Retraso en la notificación: Esperar 3 días para investigar antes de avisar a la autoridad conlleva multa directa.
Backups en la misma red: Si el ransomware cifra tu web, cifrará tu backup si no está aislado.
No tener presupuesto asignado: La ciberseguridad ya no es un gasto de IT, es un requisito legal de cumplimiento.
Pensar que el seguro de ciberriesgos cubre el cumplimiento: El seguro paga el rescate/daños, pero no evita la sanción administrativa.

12. Jurisprudencia y criterios oficiales

13. FAQ extensa

¿Si mi tienda online solo vende en España me afecta?

Sí, la normativa es de aplicación nacional en base a una Directiva Europea. Si cumples los umbrales de tamaño, el alcance es obligatorio.

Soy autónomo facturando 12M€ con 2 empleados, ¿estoy dentro?

No, la regla de 'size-cap' requiere cumplir ambos o ser una entidad crítica. Generalmente, por debajo de 50 empleados estás exento salvo sectores muy específicos.

¿Qué pasa si Amazon sufre un ataque y mi tienda en su marketplace se ve afectada?

Amazon deberá notificarlo bajo NIS2. Tú, como vendedor, deberás evaluar cómo afecta a tus operaciones y cumplir con tus propios protocolos si también superas los umbrales.

¿Es obligatorio contratar un CISO externo?

No es obligatorio que sea externo ni que sea una figura exclusiva, pero sí que alguien con capacidad técnica asuma la responsabilidad.

¿Cuánto cuesta adaptarse a NIS2?

Depende de la madurez previa, pero se estima entre un 5% y un 15% de incremento en el presupuesto de IT el primer año.

¿Las multas son acumulables a las del RGPD?

Sí, un mismo incidente puede suponer una multa por falta de seguridad (NIS2) y otra por fuga de datos personales (RGPD).

¿Tengo que notificar si el ataque ha sido fallido?

No, solo si el incidente ha tenido un impacto real en la prestación del servicio o ha causado pérdidas financieras o daños a terceros.

¿Qué es un incidente 'grave'?

Aquel que causa una interrupción operativa importante o pérdidas financieras sustanciales a la entidad o a terceros.

¿Tengo que cambiar mi hosting?

Solo si tu hosting actual no puede garantizar los niveles de seguridad y reporte que NIS2 te exige a ti.

¿Cómo afecta al dropshipping?

Especialmente en la gestión de APIs y datos compartidos con proveedores externos; la cadena de suministro es el punto débil.

¿Hay ayudas públicas para esto?

Sí, en España el programa Kit Digital y programas de Ciberseguridad del INCIBE ofrecen bonos para auditorías.

¿Qué directivo debe firmar el cumplimiento?

El administrador o el consejo de administración en pleno; no es delegable únicamente en el informático.

14. Normativas relacionadas

RGPD (UE) 2016/679: Seguridad de datos personales (CELEX: 32016R0679).
Reglamento DORA (UE) 2022/2554: Ciberseguridad para el sector financiero (CELEX: 32022R2554).
Directiva CER (UE) 2022/2557: Resiliencia de entidades críticas (CELEX: 32022L2557).
Ley 7/2022 de Residuos: (Relacionado por la responsabilidad en la cadena de suministro).
RD-ley 12/2018: Transposición de NIS1 en España (pendiente de actualización para NIS2).

15. Recursos oficiales y herramientas recomendadas

INCIBE: Portal para empresas y reporte de incidentes.
ENISA: Guías técnicas sobre gestión de riesgos y seguridad cloud.
Herramientas: Sistemas de backup inmutable, gestores de contraseñas corporativos y software de escaneo de vulnerabilidades.
Cursos: Formaciones específicas en NIS2 para directivos (disponibles en cámaras de comercio).

16. Conclusion practica y valoracion

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Fuente oficial: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.