NIS2 zuzentaraua indarrean dago 2024ko urriaren 18tik aurrera, eta aurreko NIS1 (2016) zuzentarauaren eguneraketa da. Aurreko zuzentarauaren baldintzak handitu eta Europar Batasun (EB) guztiko sektore publikoentzako zibersegurtasuneko betebeharrak indartu ditu.

Jarraian, NIS2 zuzentarauari eta haren inpaktuari buruzko galderarik ohikoenak jaso ditugu.

1. Zer da NIS2 zuzentaraua eta zer helburu du?

Sektore kritikoetako eta ezinbesteko zerbitzuetako zibersegurtasuna indartzeko neurriak ezartzen dituen araudia da NIS2 Zuzentaraua ((UE) 2022/2555). Zuzentarauaren helburuetako bat da 2016ko NIS1 aurrekariak zituen gabeziak betetzea ((UE) 2016/1148). Aplikazio-eremua nabarmen handitu du, sektore gehigarriak barne, hala nola espazioaren sektorea eta IKT zerbitzuen kudeaketa, besteak beste.

NIS2 zuzentarauak segurtasuneko betebeharrak areagotzen ditu bere eremuko erakundeentzat eta hornikuntza-katearen babesa bermatzeko eta hornitzaileak kudeatzeko neurriak txertatzen ditu. Horrez gain, jazoerak nola jakinarazi behar diren zehazten du eta, aldi berean, jazoerei eta kalteberatasunei buruzko informazioa trukatzea eta lankidetzan aritzea bultatzen du estatu kideen artean, krisien kudeaketarako Europako sarea sortuz (EU-CYCLONe).

2. Noiz sartu zen indarrean NIS2?

NIS2 Europar Batasuneko Aldizkari Ofizialean (EBAO) argitaratu zen 2022ko azaroaren 27an, formalki onartu ondoren, eta 2023ko urtarrilaren 16an sartu zen indarrean, argitaratu ondoren hogei egun zenbatuta. 41. artikuluan jasotakoaren arabera, estatu kideek zuzentaraua ordenamendu juridiko nazionalean aplikatzeko eta argitaratzeko zuten epemuga 2024ko urriaren 17a zen, eta berehala aplikatu zen urriaren 18tik aurrera. 

3. Zer desberdintasun daude NIS1eta NIS2ren artean?

Hurrengo taulan zehazten dira NIS2n gehitutako hobekuntza eta aldaketa batzuk, aurreko zuzentarauarekin alderatuta.

Ezaugarriak	NIS1 (2016)	NIS2 (2022)
Aplikazio-eremua	Ezinbesteko zerbitzuen operadoreetara (EZO) eta zerbitzu digitalen hornitzaileetara (ZDH) bideratuta dago.	Hainbat sektoretako “ezinbesteko” erakundeetara eta erakunde “garrantzitsuetara” zabaltzen da bere irismena, bankara, azpiegitura digitaletara eta posta bidezko zerbitzuen hornitzaileetara barne.
Identifikatzeko irizpideak	Diskrezionalitatea estatu bakoitzak erabaki dezan zer erakunde sartuko den EZO eta ZDH kategorietan.	Sailkapen uniformea, jarduten duten sektorea, tamaina eta inpaktu ekonomiko edo soziala aintzat hartuta, aplikatzeko garaian estatu kideen arteko sendotasun falta murrizteko.
Segurtasuneko baldintzak / Arriskuen kudeaketa	Orokorrak eta interpretatzeko tartearekin.	Xeheagoak, arriskuen kudeaketa, auditoretzak eta jazoerentzako erantzuna barne.
Jazoeren jakinarazpena	Jazoera garrantzitsuak jakinarazteko epe eta definizio anbiguoak	Jakinarazteko epe zehatzagoak: Hasierako jakinarazpena/24 orduko alerta goiztiarra jazoeraren berri izaten den unetik hasita. Tarteko jakinarazpena/Eguneraketa jazoera izan eta 72 ordutara (*)
Zigorrak	Estatu kide bakoitzaren mende daude zuzenean, beraz, oso desberdinak izan daitezke.	Isunen harmonizazioa, urteko fakturazio globalaren % 2ra arte, edo 10 milioi euro.
Europako lankidetza	Informazioa partekatzeko Lankidetza Talde bat sortzea.	Lankidetza handiagoa krisiak kudeatzeko sareekin eta ENISAren rola indartzea.
Liderren erantzukizuna	Ez du erantzukizunik zehazten enpresetako liderrentzat.	Ezinbesteko erakundeen eta erakunde garrantzitsuen zuzendaritza-taldeak arduratzen dira adostasunaz, zibersegurtasuneko gaikuntzaz barne.

(*) 24 ordu konfiantzazko zerbitzu-hornitzailea bada eta jazoerak inpaktu zuzena badu zerbitzu horien prestazioan.

4. Zer erakunderi eragiten die?

2.artikuluaren arabera, NIS2k aplikazio-eremua handitzen du NIS1ekin alderatuta, eta sailkapen berri bat du aplikazio-sektoreak bi kategoriatan bereizteko: kritikotasun handiko sektoreak (I. eranskina) eta gainerako sektoreak (II. eranskina). Era berean, Zuzentarauak dio ezinbesteko erakundeak eta erakunde garrantzitsuak daudela, eta horien barruan erakunde publikoak zein pribatuak sartzen direla. Jarraian, xehetasunez deskribatuko dugu:

• Kokapena: zerbitzuak edo jarduerak Europar Batasunaren barruan egiten dituzten erakundeak.
• Tamaina: Zuzentaraua aplikagarria da enpresa ertain edo handietan, (UE) 2003/361/CE gomendioaren arabera.
• Enpresa ertainak: 50 eta 250 enplegatu artean dituzte, negozioen urteko bolumena ez da 50 milioi eurotik gorakoa edo urteko balantze orokorra ez da 43 milioi eurotik gorakoa.
• Enpresa handiak: aurreko mugak gainditzen dituzte.
• Sektorea: sektore hauetakoren batean jarduten badu:
• Kritikotasun handiko sektoreak: energia, garraioa, banka, finantza-merkatuetako azpiegitura, osasun-sektorea, ur edangarria, hondakin-urak, azpiegitura digitala, IKT zerbitzuen kudeaketa (enpresatik enpresara), administrazio publikoa (botere judiziala, parlamentuak eta banku nagusiak kenduta) eta espazio-sektorea.
• Beste sektore kritiko batzuk: posta bidezko zerbitzuak eta mezularitza-zerbitzuak, hondakinen kudeaketa, kimika, elikagaien banaketa, fabrikazioa, zerbitzu digitalen hornitzaileak eta ikerketa.

Halaber, tamaina edozein izanik ere, NIS2 Zuzentaraua aplikatuko zaie aipatutako sektoreen barruko erakundeei kasu hauetan:

• Sare publikoen eta komunikazio-zerbitzu elektronikoen hornitzaileak.
• Konfiantzazko zerbitzuen hornitzaileak.
• Erregistroak eta DNSren hornitzaileak.
• Jarduera sozial edo ekonomikoetarako ezinbesteko zerbitzuak eskaintzen dituzten estatu kide bateko erakunde berdingabeak.
• Haien zerbitzuak etenez gero ordena publikoan, segurtasunean eta osasun publikoan eragina izan dezaketen erakundeak
• Etenez gero, sektore independenteetan edo mugaz gaindi arrisku handiak ekar ditzaketen zerbitzuak.
• Estatuko edo erkidegoko erakunde kritiko garrantzitsuak.
• Administrazio publikoa. Zentrala edo erkidegokoa. Zerbitzu horiek eteteak inpaktua izango luke ezinbesteko jardueretan.
• (EB) 2022/2557 zuzentarauaren arabera kritikoak diren erakundeak.
• Aukeran, estatu kide bakoitzaren arabera:
• Tokiko Administrazio Publikoa.
• Ikerketa-jarduera kritikoak dituzten hezkuntza-zentroak.

5. Zer neurri ezarri behar dituzte erakundeek NIS2 betetzeko?

Zuzentarauak betebehar espezifikoak ezartzen ditu bere eremu barruko erakundeentzat, tartean, zibersegurtasuneko arriskuak kudeatzeko, jazoeren berri emateko eta horiek ikuskatzeko eta betetzeko neurriak. Gutxieneko neurriak zehaztuko dira jarraian:

1. a) informazio-sistemen eta arriskuen analisiaren segurtasuneko politikak.
2. b) jazoeren kudeaketa.
3. c) jardueren jarraipena, besteak beste, segurtasun-kopiak kudeatzea eta berreskuratzea hondamendi kasuetan eta krisiak kudeatzea.
4. d) hornikuntza-katearen segurtasuna, erakunde bakoitzaren eta zerbitzu zuzenen hornitzaileen edo mailegatzaileen arteko harremanekin lotutako segurtasuneko alderdiak barne.
5. e) segurtasuna sare- eta informazio-sistemak erostean, garatzean eta mantentzean, kalteberatasunen kudeaketa eta dibulgazioa barne.
6. f) zibersegurtasuneko arriskuak kudeatzeko neurrien eraginkortasuna ebaluatzeko politikak eta prozedurak.
7. g) zibersegurtasuneko prestakuntzarako oinarrizko jarduerak.
8. h) kriptografia eta, hala badagokio, zifratzea erabiltzeari buruzko politikak eta prozedurak.
9. i) giza baliabideen, sarbidea kontrolatzeko politiken eta aktiboen kudeaketaren segurtasuna.
10. j) faktore anitzeko autentifikazio-soluzioak edo etengabe autentifikatzeko soluzioak, ahots, bideo eta testu bidezko komunikazio seguruak eta larrialdiak komunikatzeko sistema seguruak erabiltzea erakundean, hala badagokio.

Gainera, enpresek jazoera garrantzitsuen berri eman behar diete autoritate eskudunei ezarritako epeetan:

• Hasierako jakinarazpena: jazoera hauteman eta hurrengo 24 orduetan.
• Tarteko jakinarazpena: hauteman eta hurrengo 72 orduetan, hasierako ebaluazioa eginez.
• Amaierako jakinarazpena: Hilabete batean gehienez ere, jazoeraren eta hartutako neurrien deskribapen xehearekin.

6. Zer da jazoera garrantzitsu bat?

NIS2k ezartzen du jazoera garrantzitsuak soilik jakinarazi behar direla derrigorrez, eta, aldi berean, jazoera horiek zehazteko irizpide espezifikoak ezartzen ditu:

• a) zerbitzuen operazioan gorabehera larriak edo galera ekonomikoak eragin ditu edo eragin ditzake kaltetutako erakundearentzat:
• b) beste pertsona fisiko edo juridiko batzuei eragin die edo eragin diezaieke, kalte material edo immaterial handiak sortuz.

Bai ezinbesteko erakundeek, bai garrantzitsuek dute jazoera garrantzitsuak jakinarazteko betebeharra, baina ez dute zertan beste jazoera motak jakinarazi.

7.NIS2 Zuzentarauaren arabera, sektore publikoko zer erakundek bete behar dituzte xedapenak eta zein daude salbuetsita?

Zuzentarauaren I. eranskinak administrazio publiko nagusia eta autonomikoa (erkidegokoa) sartzen ditu kritikotasun handiko sektoreen barruan. Zuzentarauak ez ditu bere aplikazio-arloan sartzen berariaz tokiko administrazio publikoa edo hezkuntza-zentroak, baina estatu kideen esku geratzen da horiek Zuzentarauaren aplikazio-eremuaren barruan sartzea, bereziki, erakunde horiek ikerketa-jarduerak egiten badituzte.

Zuzentarauak bere aplikazio-eremutik kanpo uzten ditu segurtasun nazionalaren, segurtasun publikoaren, defentsaren edo legea betetzeko bermearen arloaren barruan jarduten duten administrazio publikoko erakundeak, arau-hauste penalen prebentzioa, ikerketa, hautematea eta auzipetzea barne.

8. Zein dira NIS2 ez betetzearen ondorioak?

Zuzendaritza ez betetzeak hainbat ondorio ekar ditzake bere xedapenen mende dauden erakunde ezinbestekoentzat edo garrantzitsuentzat. Ondorio horiek autoritate nazional eskudunek ezar ditzakete. NIS2 Zuzentarauak xedapenak betetzen ez dituzten erakundeentzako gutxieneko botere zuzentzaileen eta neurri hertsatzaileen zerrenda bat eskaintzen die.

DBEOren modura, NIS2 ez betetzeak isun handiak dakartza. NIS2 Zuzentarauaren 34. artikuluak zigor hauek ezartzen ditu ez betetzeagatik:

• Ezinbesteko erakundeak: 10 milioi eurora arte edo urteko negozioen bolumenaren % 2 (mundu mailan). Zenbatekorik handiena hartuko da kontuan.
• Erakunde garrantzitsuak: 7 milioi eurora arte edo urteko negozioen bolumenaren % 1,4. Zenbatekorik handiena hartuko da kontuan.

Estatu kideko autoritate nazionalek ezar ditzaketen neurri zuzentzaileak eta hertsatzaileak:

• Ohartarazpena, ez betetzeagatik.
• Instrukzio lotesleak edo zuzentzeko eskakizunak ezartzea.
• Zuzentaraua urratzen duen jarduera eteteko agindua.
• Arriskuak kudeatzeko neurriak ezartzeko edo epe jakin batean informazio-betebeharrak betetzeko eskatzea.
• Zibermehatxu garrantzitsu baten kaltetuei jakinaraztera behartzea, izan pertsona fisikoak edo juridikoak.
• Segurtasuneko auditoretzetatik eratorritako gomendioak aplikatzeko eskatzea, arrazoizko epe batean.
• Ikuskapenerako arduradun bat ezartzea zeregin espezifikoekin, denbora jakin batean betebeharrak betetzen direla ikuskatzeko.
• Ez betetzearen alderdiak publiko egitea, gardentasuna sortzeko.
• Ezinbesteko erakundearen ziurtagiria edo baimena bertan behera uztea neurriak ezartzeko epea betetzen ez badu.
• Kudeaketa exekutiboaren arduradunei (hala nola zuzendariei edo legezko ordezkariei) zuzendaritza-funtzioak gauzatzeko debekua ezartzea aldi baterako. (Ezinbesteko erakundeentzat soilik da aplikagarria).

Inpaktu operatiboak:

• Neurri zuzentzaileak ezarri bitartean zerbitzua etetea.
• Akatsak zuzentzearekin lotutako kostuak handitzea.

Lizitazioetatik baztertzea:

• Lizitazio publikoetan parte hartzeko edo gobernuekin kontratuak egiteko debekua.
• Erantzukizun penala edo zibila:
• Estatu kide batzuetan, axolagabekeria larrien ondorioz prozesu legalak has daitezke zuzendarien edo arduradunen aurka, edo baliteke hirugarrengoak indemnizatu behar izatea.

9. NIS2k zer arau ezarri ditu zibersegurtasuneko jazoeren berri emateko?

Zuzentarauaren 23. artikuluak zibersegurtasuneko jazoerak jakinarazteko arau espezifikoak ezarri ditu, eta hauek dira xedapen garrantzitsuenak:

• Hasierako jakinarazpena:
• Jazoera garrantzitsuaren berri izan eta 24 orduko epean jakinarazi behar zaio CSIRTi edo autoritate eskudunari (“alerta goiztiarra”). Alertan jakinarazi behar da ea jazoera asmo txarrekoa izan den eta ea mugaz gaindiko inpakturik izan dezakeen.
• Ebaluazio eta jakinarazpen xehea:

• 72 orduren buruan, hasierako ebaluazioa egin behar da, informazio gehigarri honekin:

• Konpromisoaren adierazleak (eskuragarri baldin badaude).
• Jazoeraren inpaktuaren eta larritasunaren aurretiazko ebaluazioa.
• Jazoera arintzeko edo eusteko hartutako neurriak.

Datu pertsonalik ez badago ere arau hori aplikatuko da. Konfiantzazko zerbitzuen hornitzaileentzako epea 24 ordukoa izango da.

• Aldizkako eguneraketak:

• Autoritate eskudunari jazoeraren ebazpenean egindako edozein aurrerapausoren berri eman behar zaio, hala eskatuz gero (tarteko txostena).
• Amaierako txostena:
• Txosten osoa aurkeztu behar da gehienez ere hasierako jakinarazpena egin eta hilabete batera. Txosten horrek izan beharko du:
• Jazoeraren deskribapen xehea.
• Balizko arrazoia edo mehatxua.
• Inpaktu xehea eta hartutako eta abian jarritako neurri aringarriak.
• Mugaz gaindiko edozein ondorioren gaineko informazioa, halakorik balego.
• Erabiltzaileei jakinaraztea:
• Jazoerak eragin esanguratsua baldin badu zerbitzuetan edo erabiltzaileen datu pertsonaletan, erakundeak behar bezala jakinarazi beharko du eta babesteko har ditzaketen neurriak iradoki beharko ditu.
• Jazoera abian:
• Amaierako txostena aurkeztean jazoerak abian jarraitzen badu, estatu kideek une horretako egoerari buruzko txosten bat eska diezaiekete eragindako erakundeei eta beste bat jazoera kudeatu eta hilabete bateko epean.
• Mugaz gaindiko jazoera:
• CSIRTen edo autoritate eskudunaren erantzukizuna izango da estatuko harremanetarako puntu bakarrari garaiz eta behar bezala jakinaraztea. Puntu hori arduratzen da jakinarazpen horiek beste herrialde edo autoritate eskudun batzuei jakinarazteaz.

Araudia herrialdeko legedian integratzean ezarriko da erreferentziazko CSIRTen, autoritate eskudunen eta harremanetarako puntu bakarraren identifikazioa.

10. NIS2 Zuzentaraua aplikagarria bada, nola zehaztu daiteke ea erakunde bat ezinbestekoa edo garrantzitsua den?

3.artikuluan, NIS2 zuzentarauak erakunde ezinbestekoak eta garrantzitsuak bereizten ditu, sektoreen kritikotasun mailaren, eskaintzen dituen zerbitzu moten eta tamainaren arabera. Gainera, Zuzentarauak sailkapen-irizpideak jasotzen ditu I eta II eranskinetan.

Zuzentarauaren arabera, hauek dira ezinbesteko erakundeak:

• I. eranskinean jasota dauden kritikotasun handiko sektoreetako enpresa handiak.
• Tamaina edozein izanik ere:
• Konfiantzazko zerbitzuen hornitzaile kualifikatuak.
• Lehen mailako domeinu-izenen erregistroak.
• DNS zerbitzuen hornitzaileak.
• Komunikazio elektronikoen sare publikoak hornitzen dituzten enpresa ertainak.
• Erakunde kritikoen erresilientziari buruzko (EB) 2022/2557 zuzentarauan definitutako erakunde kritikoak.
• Estatu kideak hala zehaztuz gero, 2023ko urtarrilaren 16a baino lehen ezinbesteko zerbitzuen operadore gisa aitortutako erakundeak, (UE) 2016/1148 (NIS1) Zuzentarauaren edo zuzenbide nazionalaren arabera.

Zuzentarauaren arabera, hauek dira erakunde garrantzitsuak:

Ezinbestekotzat hartzeko baldintzak betetzen ez dituzten kritikotasun handiko sektoreetakoak (I. eranskina) edo beste sektore kritiko batzuetakoak (II. eranskina).

1.eranskineko sektoreen adibideen artean daude: posta-zerbitzuak eta mezularitzakoak, hondakinen kudeaketa eta zerbitzu digitalen hornitzaileak, besteak beste.

Horrez gain, estatu kideek erakunde bat ezinbestekotzat edo garrantzitsutzat har dezakete kasu hauetan, tamaina edozein izanik ere:

• Herrialdean jarduera sozial edo ekonomiko kritikoak mantentzeko ezinbesteko zerbitzu baten hornitzaile bakarra bada.
• Zerbitzu hori etetean:
• Ondorio garrantzitsuak izan baldin baditzake segurtasun publikoan, ordena publikoan eta osasun publikoan.
• Arrisku sistemiko handiak sor baditzake, batez ere mugaz gaindiko ondorioekin.
• Estatuan edo erkidegoan duen garrantzi espezifikoarengatik kritikoa bada, izan dagokion sektorearentzat, izan mendeko sektoreentzat.

Estatu kideek ezinbesteko erakundeen eta erakunde garrantzitsuen zerrenda bat egin behar dute 2025eko apirilak 17 baino lehen, eta bi urtez behin eguneratu behar dute gutxienez. Horretarako, autoerregistratzeko mekanismoak ezar ditzakete, identifikatzea errazagoa izan dadin.

11. Zer organismok kudeatzen dituzte jazoerak NIS2 zuzentarauaren arabera?

NIS2 Zuzentarauak ezartzen du jazoerak kudeatzea eragindako erakunde bakoitzaren barne-erantzukizuna dela, eta, hortaz, ez du kanpo-organismorik zehazten kudeaketa horretarako.

23.artikuluak jazoeraren jakinarazpenean esku hartzen duten organismoak identifikatzen ditu, eta hauek dira:

• Segurtasun informatikoko jazoerei erantzuteko taldeak (CSIRT, ingelesezko siglengatik): eragindako erakundeek jazoera garrantzitsuei buruz egindako jakinarazpenak jasotzen dituzten arduradunak. Halaber, kalteberatasunen dibulgazio koordinatua egiteaz arduratzen den organismoa da.
• Autoritate eskudunak: estatu kide bakoitzak esleitzen ditu eta zuzentaraua ikuskatu eta betetzen dela bermatzen dute. Halaber, neurri zuzentzaileak ezartzen direla bermatzen dute, auditoretzak barne, eta organismo eskudunek isun administratiboak legedi nazionalaren arabera eskatzen dituztela bermatzen dute.
• Harremanetarako puntu bakarra: zibersegurtasunaren arloan mugaz gaindiko lankidetzan aritzeko lotura da eta komunikazioa sustatzen du estatu kideen artean, eta, hala badagokio, baita Europako Batzordearekin eta Zibersegurtasunerako Europar Batasuneko Agentziarekin ere (ENISA, ingelesezko siglengatik).
• Zibersegurtasuneko krisiarentzako lotura-erakundeen Europako sarea (EU-CyCLONe ingelesezko siglengatik): helburua da eskala handiko zibersegurtasuneko jazoeren eta krisiaren kudeaketa koordinatua babestea, estatu kideen eta Batasuneko erakundeen arteko informazio-truke erregularra bermatzeko.

Estatu kide bakoitzak erakunde horiek esleitu edo ezarri behar ditu, zibersegurtasuneko jazoerei erantzun eraginkor eta koordinatua emateko, NIS2 Zuzentarauan xedatutakoaren arabera.

12. Jazoeraren berri ez izateagatik eta horren berri ez emateagatik edo berandu informatzeagatik isuna jaso daiteke?

Jazoera baten berri garaiz ematen ez bada edo publiko egin arte haren berri izaten ez bada, zigorrak jaso daitezke. NIS2 zuzentarauak dio ezinbesteko erakundeek eta erakunde garrantzitsuek betebeharra dutela segurtasuneko arriskuak kudeatzeko neurri egokiak ezartzeko, tartean, jazoera esanguratsuak behar bezala hautemateko eta jakinarazteko sistemak (21.2 artikulua).

Jazoera baten berri ez izateak ez du kaltetutako erakundea bere erantzukizunetatik salbuesten; izan ere, erakundeek balizko mehatxuak monitorizatzeko eta kudeatzeko mekanismoak izatea espero da eta hala eskatzen da.

Zigorrak arindu egin daitezke erakundeak jardunbide egokiak frogatzen baditu, hala nola segurtasuna indartzeko betetze-programak.

13. NIS2k arautzen dituen erakundeek hornitzaileek jakinarazitako jazoeren berri izan behar dute?

NIS2 zuzentarauak araututako erakundeek jakin behar dute ea haien zerbitzuen zuzeneko hornitzaileek edo mailegatzaileek jazoeraren bat jakinarazi duten, beren sareen edo informazioaren sistemen segurtasuna arriskua jartzen dutenak edo zerbitzuen prestazioari eragin diezaioketenak.

Zuzentarauak dio beharrezkoa dela hornikuntza-kateko arriskuak kudeatzea (21.1 artikulua). Hortaz, erakundeek segurtasuna bermatu behar dute haien hornitzaileekin eta zerbitzu-mailegatzaileekin duten harremanean, esaterako, eskainitako zerbitzuentzako beharrezkoak diren segurtasun mailen gaineko klausula espezifikoak ezarriz.

Halaber, zuzentarauak zibersegurtasunari buruzko informazioa trukatzeko mekanismoak ezartzen ditu (29. artikulua) eta estatu kideen erantzukizuna da informazio-truke hori bermatzea erakunde ezinbestekoen eta garrantzitsuen komunitateen barruan eta, hala badagokio, hornitzaileen edo zerbitzuen mailegatzaileen artean.

14. Nola berrikusi eta aplikatuko dira arau berriak?

NIS2 Zuzentarauak autoritate eskudunen erantzukizunen erdigunean kokatzen ditu ikuskapena eta aplikazioa eta, horretarako, esparru koherente bat ezartzen du estatu kide guztietako ikuskapen- eta betetze-jardueretarako. Zuzentarauak ikuskapen-neurrien gutxieneko zerrenda bat jasotzen du eta autoritate eskudunek ezinbesteko erakundeen eta erakunde garrantzitsuen gaineko kontrola indartzeko erabili behar dute. Neurri horien barruan daude:

• Aldizkako auditoretzak eta espezifikoak.
• In situ eta urrunetik egindako ikuskapenak.
• Arriskuak kudeatzeko hartutako neurriak ebaluatzeko beharrezko informazioa eskatzea.
• Dokumentuetara edo probetara sarbidea izatea.

Horrez gain, NIS2k ikuskapen-erregimen desberdina ezartzen du ezinbesteko erakundeen eta erakunde garrantzitsuen artean, bakoitzaren betebeharren artean oreka bidezkoa lortzeko.

Autoritate eskudunek aintzat hartu behar dituzte kasu bakoitzaren xehetasun espezifikoak haien betearazpen-botereak erabiltzeko garaian, eta, kontuan hartu behar dituzte, adibidez, arau-haustearen izaera eta larritasuna, baita eragindako kalteak eta galerak ere. Zibersegurtasuneko neurriek kaltetutako erakundeen barruko goi-zuzendaritzako pertsona naturalek ere badituzte erantzukizunak NIS2 Zuzentarauaren arabera.

15. Zer betebehar dituzte goi-zuzendariek NIS2 Zuzentarauak araututako erakundeetan?

Ezinbesteko erakundeetan eta garrantzitsuetan zibersegurtasuneko arriskuak kudeatzeko neurriak ezartzeko eta ikuskatzeko garaian azken erantzukizuna goi-zuzendariek dute. NIS2k ezartzen duen moduan, zuzendaritzak zuzentarauaren xedapenak betetzen ez baditu, zigorrak izan ditzake, hala nola aldi baterako debekuak, zigor administratiboak eta legedi nazionalean ezarritako beste ondorio batzuk.

Zuzendaritzako taldeen betebehar nagusiak hauek dira:

• Erakundeak hartutako kudeaketarako estrategiak eta ekintzak onartzea.
• Neurrien ezarpena berrikustea eta erakundearen beharrekin lerrokatuta egotea.
• Prestakuntza jasotzea, arriskuan kudeaketa-ziklo osoaren gaineko ezagutza eta gaitasun nahikoak eskuratzeko.
• Langileei prestakuntza erregularra eskaintzea, arriskuen kudeaketaren gainean eguneratuta egon daitezen.

Gainera, Zuzentarauak dio estatuko kideek bermatu behar dutela zuzendaritza-organoek erantzukizun horiek guztiak betetzea.

16. Erakundeek 2024ko urriaren 18tik aurrera bete behar dute Zuzentaraua?

Ez da derrigorrezkoa erakundeek NIS2 Zuzentaraua betetzea urriaren 18tik aurrera. Estatu kideek legea legedi nazionalean aplikatzeko duten epea da hori, eta legedi propioak egokitu behar dituzte zuzentaraua aplikatu ahal izateko.

Hala ere, ohikoa da Europako zuzentaraua egokitzean atzerapenak izatea. Nolanahi ere, legedi nazionaletan aplikatu ondoren, hainbat neurrik betetzeko epeak izango dituzte, beraz, zigorrak aplikatu aurretik prestatzeko denbora gehiago egongo da.

Hala ere, komeni da ezarri beharreko neurrien plangintzaren eta betetze-beharren ebaluazioa aurreratzea.