Artículo 34

Condiciones generales para la imposición de multas administrativas a entidades esenciales e importantes

1.   Los Estados miembros velarán por que las multas administrativas impuestas a entidades esenciales e importantes al amparo del presente artículo en relación con incumplimientos de la presente Directiva sean efectivas, proporcionadas y disuasorias, teniendo en cuenta las circunstancias de cada caso individual.

2.   Las multas administrativas se impondrán a título adicional respecto a cualquiera de las medidas contempladas en el artículo 32, apartado 4, letras a) a h), el artículo 32, apartado 5, y el artículo 33, apartado 4, letras a) a g).

3.   A la hora de decidir la imposición de una multa administrativa y su cuantía en cada caso particular se tendrán debidamente en cuenta, como mínimo, los elementos previstos en el artículo 32, apartado 7.

4.   Los Estados miembros garantizarán que las entidades esenciales sean sancionadas por el incumplimiento de los artículos 21 o 23, de conformidad con los apartados 2 y 3 del presente artículo, con multas administrativas de un máximo de, al menos, 10 000 000 EUR o de un máximo de, al menos, el 2 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad esencial durante el ejercicio financiero anterior, optándose por la de mayor cuantía.

5.   Los Estados miembros garantizarán que las entidades importantes sean sancionadas por el incumplimiento de los artículos 21 o 23, de acuerdo con los apartados 2 y 3 del presente artículo, con multas administrativas de un máximo de, al menos, 7 000 000 EUR o de un máximo de, al menos, el 1,4 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad importante durante el ejercicio financiero anterior, optándose por la de mayor cuantía.

6.   Los Estados miembros podrán prever la facultad de imponer multas coercitivas para obligar a una entidad esencial o importante a poner fin a un incumplimiento de la presente Directiva de conformidad con una decisión previa de la autoridad competente.

7.   Sin perjuicio de las facultades de las autoridades competentes conferidas en virtud de los artículos 32 y 33, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a las entidades de la Administración pública.

8.   Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, ese Estado miembro velará por que el presente artículo se aplique de tal modo que la incoación de la multa corresponda a la autoridad competente y su imposición, a los órganos jurisdiccionales nacionales competentes, garantizando al mismo tiempo que estas vías de acción sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades competentes. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. El Estado miembro notificará la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 17 de octubre de 2024, y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable.

Preguntas frecuentes

Las empresas esenciales pueden recibir multas de hasta 10 millones de euros o el 2% de sus ingresos mundiales, la cifra que sea más alta, y las importantes hasta 7 millones de euros o el 1,4%, si incumplen ciertas obligaciones establecidas en la directiva NIS2, como medidas de seguridad ante ciberataques y notificaciones de incidentes; el importe exacto considerará factores específicos de cada caso.
La cantidad exacta de la multa administrativa depende de diversos factores detallados en la directiva NIS2, incluyendo la gravedad y duración del incumplimiento, el daño causado, beneficios obtenidos, esfuerzos realizados para remediar daños y prevenir futuros incidentes, cooperación con autoridades, reincidencia de la empresa y otras circunstancias propias del caso individual que surjan durante la investigación.
Sí, la directiva NIS2 prevé que además de multas, se puedan aplicar otras medidas como advertencias formales, órdenes para corregir fallos de seguridad, auditorías obligatorias, exigencias de mejoras técnicas específicas o incluso instrucciones concretas sobre cómo abordar vulnerabilidades detectadas, con el fin de asegurar un estándar mínimo de ciberseguridad en empresas esenciales e importantes.
Si un país europeo no ha previsto multas administrativas en su legislación nacional, deberá garantizar que los tribunales nacionales impongan estas multas tras propuesta de la autoridad competente, asegurando así que el efecto disuasorio y la eficacia sea equivalente al que tendrían multas administrativas impuestas directamente por autoridades, notificando además cualquier cambio legal de esta modalidad a la Comisión Europea.

Formación NIS2

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!