La Directiva NIS 2 es la legislación a escala de la UE en materia de ciberseguridad. Proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE. Tras aprobarse el pasado año la Directiva NIS2, las organizaciones consideradas dentro de los sectores críticos deben planificar el establecimiento de buenas medidas de ciberseguridad para responder a la normativa.
¿Qué es la directiva NIS2?
La NIS2 – Directiva (UE) 2022/2555 es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS) y está diseñada para fortalecer y unificar las medidas de ciberseguridad en todos los Estados miembros de la Unión Europea.
Esta nueva directiva amplía el alcance de la normativa original, incluyendo más sectores y servicios críticos que deben cumplir con estrictos requisitos de seguridad. Entre las novedades, se encuentra la obligación para las empresas de notificar incidentes de seguridad graves a las autoridades nacionales competentes y adoptar medidas preventivas adecuadas. Además, la NIS2 introduce sanciones más severas en caso de incumplimiento y fomenta una mayor cooperación e intercambio de información entre los Estados miembros para mejorar la resiliencia colectiva frente a ciberamenazas. La implementación de esta directiva busca garantizar un nivel elevado y homogéneo de seguridad en todo el mercado único digital europea, protegiendo tanto a empresas como a ciudadanos.
¿A qué empresas aplica la Normativa NIS2?
La directiva NIS2 afecta a empresas de la Unión Europea que por su actividad son consideradas como esenciales para el funcionamiento de la economía y la sociedad europea en general.
La NIS2 divide las empresas en dos tipos:
Entidades Esenciales
Las entidades esenciales son aquellas cuya interrupción podría tener un impacto significativo en la economía, la sociedad o la seguridad pública. Según la Directiva NIS2, estas incluyen:
- Energía: Infraestructuras de generación, transmisión y distribución de electricidad; refinerías de petróleo y operadores de sistemas de gas natural.
- Transporte: Aeropuertos, puertos marítimos, ferrocarriles y operadores de transporte público.
- Banca: Instituciones financieras clave que juegan un papel crucial en la estabilidad del sistema financiero.
- Infraestructura del mercado financiero: Bolsas de valores y otras plataformas financieras.
- Sector de la salud: Hospitales, clínicas y otros proveedores críticos de servicios sanitarios.
- Agua potable: Operadores responsables del suministro y tratamiento del agua potable.
- Infraestructura digital: Centros de datos, redes de telecomunicaciones y proveedores de servicios en la nube.
Entidades Importantes
Las entidades importantes son aquellas que también desempeñan roles críticos pero cuya interrupción tendría un impacto menos severo comparado con las entidades esenciales. Entre estas se encuentran:
- Proveedores de servicios digitales: Empresas que ofrecen servicios en línea como motores de búsqueda o plataformas de comercio electrónico.
- Fabricación: Industrias manufacturera que son vitales para la cadena de suministro europea.
- Alimentación: Empresas dedicadas a la producción, procesamiento y distribución de alimentos.
- Residuos: Operadores responsables del tratamiento y gestión de residuos.
- Productos químicos: Fabricantes y distribuidores de productos químicos esenciales para diversas industrias.
La diferencia principal entre ambos tipos de entidades son las medidas que tienen que aplicar, teniendo la primera (EE) que cumplir con requisitos normativos más exigentes en cuanto a cumplimiento, obligaciones de notificación de incidentes y las medidas de seguridad que deben aplicar en sus sistemas de información.
Medidas de ciberseguridad requeridas por NIS2
La normativa NIS2 exige a las empresas unas medidas, tanto en materia de ciberseguridad como de gestión de riesgos, como:
- Implantación de un sistema de autenticación multifactor (MFA)
- Control de acceso a los sistemas y aplicaciones con un nivel mínimo de permisos.
- Seguridad en la cadena de suministro, por la cual las empresas deben asegurar aspectos relacionados con la seguridad con las relaciones entre entidades, sus proveedores directos o proveedores de servicios.
- Sistemas de prevención que permitan detectar, bloquear y minimizar el impacto de ciberataques tales como el ransomware.
- Sistemas de continuidad de negocio, tales como políticas de backup y recuperación de desastres.
- Políticas de ciberhigiene y formación de ciberseguridad a todos los empleados de la compañía.
¿Cuáles son las principales novedades de NIS2?
Entre las novedades, nos centraremos en las sanciones, más severas para aquellos que incumplen sus obligaciones, y la notificación de incidentes.
Sanciones más severas para aquellos que incumplen sus obligaciones
Las sanciones por incumplimiento de la Directiva NIS2 pueden ser cuantiosas y varían según la gravedad del incumplimiento y el tamaño “económico” de la empresa.
Las multas financieras pueden alcanzar cifras sustanciales y, en algunos casos, basarse en un porcentaje del volumen de negocio anual de la empresa, lo que puede representar un impacto significativo en sus finanzas.
Además de las multas, las autoridades pueden imponer ciertas medidas correctivas, como la obligación de implementar controles de seguridad adicionales o la realización de auditorías periódicas.
Es esencial que las empresas comprendan y cumplan con los requisitos de la Directiva NIS2 para evitar sanciones financieras graves y proteger la seguridad de sus sistemas de información.
Informe de incidentes obligatorio
La normativa NIS2 establece que ciertas empresas, como los operadores de servicios esenciales y los proveedores de servicios digitales, deben notificar incidentes de seguridad cibernética a las autoridades competentes.
Esta notificación implica proporcionar información detallada sobre el incidente, incluyendo:
- Su naturaleza
- Los sistemas o servicios afectados
- El impacto potencial en la prestación de servicios esenciales
- Y las medidas tomadas para mitigar el incidente.
El objetivo es facilitar una respuesta rápida y coordinada a los ciberataques y otros incidentes, protegiendo así la continuidad de los servicios esenciales y mejorando la resiliencia cibernética en toda la Unión Europea.
¿Cuándo entra en vigor la normativa NIS2?
La entrada en vigor de la norma NIS2 fue el 16 de enero de 2023, y todos los Estados miembros deben adoptar las medidas necesarias para garantizar el cumplimiento de esta directiva antes del 17 de octubre de 2024.
A partir del 18 de octubre de 2024, es obligatorio que todas las empresas apliquen las medidas requeridas de forma proactiva.
Consejos para prepararte para el cumplimiento de la NIS2
- Comprende los requisitos de la NIS2: Familiarízate con las directrices y obligaciones específicas de la Directiva NIS2 para asegurarte de que entiendes lo que se requiere de tu empresa.
- Realiza una evaluación de riesgos: Identifica y evalúa los posibles riesgos cibernéticos que podrían afectar a tu organización, así como sus sistemas e infraestructuras críticas.
- Desarrolla políticas de seguridad claras: Implementa políticas y procedimientos de seguridad cibernética que aborden los requisitos específicos de la NIS2.
- Establece un equipo de respuesta a incidentes: Crea un equipo especializado en la gestión y respuesta a incidentes cibernéticos, asegurándote de que estén bien entrenados y equipados.
- Invierta en tecnologías de seguridad avanzadas: Utiliza herramientas y soluciones tecnológicas avanzadas para monitorizar, detectar y responder a amenazas cibernéticas.
- Capacita a tus empleados: Realiza programas regulares de formación y concienciación sobre ciberseguridad para todos los empleados, destacando la importancia del cumplimiento de la NIS2.
- Colabora con terceros confiables: Asegúrate de que los proveedores y socios también cumplan con las normas de seguridad establecidas por la NIS2.
- Implementa un sistema de gestión de continuidad del negocio: Desarrolla y mantén planes de continuidad del negocio para garantizar que puedes seguir operando durante y después de un incidente cibernético.
- Realiza auditorías regulares: Lleva a cabo auditorías periódicas para evaluar el estado de tus medidas de seguridad y el cumplimiento continuo con la NIS2.
- Mantente actualizado con las mejores prácticas y cambios regulatorios: Sigue las actualizaciones sobre mejores prácticas en ciberseguridad y cualquier cambio en la normativa para asegurarte de que tu empresa continúa cumpliendo con los requisitos establecidos.
¿Cómo podemos ayudarte desde Inforges a implementar la Directiva NIS2?
Desde Inforges contamos con un equipo especialista en ciberseguridad, por lo que podemos ayudar a las empresas a implementar las medidas requeridas para cumplir con esta directiva, mejorar su postura de seguridad y evitar sanciones.
Se estima que al menos 100.000 empresas estarán obligadas a cumplir con la NIS2.
Preguntas frecuentes sobre la directiva NIS 2
Todas las empresas de la UE deberán informarse para ver cómo les afecta la nueva normativa Directiva NIS2 y sus respectivas aplicaciones. Estas son algunas preguntas frecuentes relacionadas con NIS2:
¿Qué busca la directiva NIS2?
La directiva NIS2 busca unificar mediante un criterio único las exigencias en materia de ciberseguridad en todas las empresas de la Unión Europea en las que, por su actividad, se considere un sector crítico o esencial.
¿Qué diferencias existen entre la directiva NIS2 y la NIS?
La Directiva NIS1 buscaba fortalecer la ciberseguridad en la UE, protegiendo las redes y sistemas esenciales para sectores clave y asegurando la continuidad de los servicios frente a amenazas. Tras su implementación en mayo de 2018, se evaluó su eficacia debido a desafíos durante la aplicación en algunos Estados miembros. Se identificó que su alcance era limitado y no abordaba completamente los sectores digitalizados cruciales para la economía y la sociedad. La falta de comprensión común de las amenazas también llevó a una resiliencia inconsistente en la UE. En respuesta, se introdujo la Directiva NIS2 para mejorar la ciberseguridad, especialmente para entidades en sectores críticos, con cambios significativos y amplios.
¿Cómo sé si me aplica NIS2?
La directiva NIS2 categoriza a las empresas según si su actividad es considerada esencial o importante. Dependiendo de la actividad de la empresa se puede averiguar si nuestra empresa está afectada o no. Si la actividad de la empresa se centra en sectores críticos (transporte, electricidad, agua, suministros, banca, telecomunicaciones, etc.) estará obligada a cumplir los requisitos de la norma.
¿Afecta la directiva NIS2 a pequeñas y medianas empresas?
Las pequeñas y medianas empresas (Pymes) pueden verse afectadas por la Directiva NIS2 si operan en sectores críticos tales como energía, transporte, salud o servicios financieros. Aunque el foco principal se centra en grandes empresas, las Pymes en la cadena de suministro de estos sectores también pueden estar sujetas a requisitos de ciberseguridad. Además, las empresas que ofrecen servicios digitales como plataformas en línea o comercio electrónico también pueden tener que cumplir con ciertos aspectos de la Directiva.
¿Afecta la directiva NIS2 a las microempresas?
La Directiva NIS2 podría tener un impacto mínimo en las microempresas debido a su tamaño reducido. Aunque no están directamente sujetas a sus obligaciones, podrían ser indirectamente afectadas si tienen relaciones comerciales con empresas que están directamente reguladas por la directiva. Es esencial que las microempresas estén al tanto de los requisitos de seguridad cibernética y tomen medidas para proteger sus sistemas de información.
¿Hay sectores que se vean especialmente afectados por la directiva NIS2?
La Directiva NIS2 afecta principalmente a sectores críticos como: energía, transporte, salud, servicios financieros y telecomunicaciones, debido a la importancia de proteger sus sistemas de información.
Además, proveedores de servicios digitales como motores de búsqueda, plataformas de comercio electrónico y redes sociales también se ven afectados por la necesidad de garantizar la seguridad de los datos y la continuidad del servicio. En resumen, los sectores que dependen fuertemente de la tecnología y la conectividad en línea son los más afectados por la Directiva NIS2.
¿Cómo se puede preparar mi organización ante la directiva nis2?
La mejor manera de preparar tu organización ante la Directiva NIS2 es evaluar su impacto y mejorando la postura de seguridad con medidas técnicas y organizativas adecuadas. Establecer un plan de respuesta a incidentes, formar a tus empleados y colabora con autoridades competentes son aspectos esenciales para cumplirla, así como realizar auditorías periódicas para garantizar el cumplimiento continuo y la efectividad de las medidas implementadas.
¿Quién es responsable de garantizar el cumplimiento de las normativas de seguridad de información?
El responsable de garantizar el cumplimiento de las normativas de seguridad de información es generalmente el CISO (Chief Information Security Officer) o un equivalente, junto con un equipo especializado en seguridad informática y soporte de la alta dirección.
¿Qué deben hacer los Estado miembros de la UE en virtud de la directiva NIS2?
En virtud de la directiva NIS2, los Estados miembros de la UE deben mejorar sus capacidades nacionales de ciberseguridad, aumentar la cooperación entre ellos y asegurar que las entidades esenciales y digitales implementen medidas adecuadas para gestionar los riesgos cibernéticos.