La Directiva NIS 2 obliga a los Estados miembros a adoptar estrategias nacionales de ciberseguridad y a designar o establecer autoridades competentes, de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a ciberincidentes. Las entidades esenciales e importantes deben garantizar la seguridad de los sistemas de redes y de información que utilizan en sus actividades. Esos sistemas están constituidos fundamentalmente por sistemas de redes y de información privados que son gestionados por el personal informático interno de las entidades esenciales e importantes o cuya seguridad se ha externalizado. Las medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación establecidas en la presente Directiva deben aplicarse a las entidades esenciales e importantes pertinentes, independientemente de si mantienen ellas mismas sus sistemas de redes y de información o externalizan su mantenimiento.
La Directiva NIS 2 entra en vigor 20 días después de su publicación. Los Estados miembros deberán adoptar y publicar las medidas necesarias para cumplir lo establecido en esta normativa, como tarde, el 17 de octubre de 2024.
Se incluyen en las listas a los fabricantes de productos sanitarios:
