La Directiva NIS 2 es la legislación a escala de la UE en materia de ciberseguridad. Proporciona medidas legales para impulsar el nivel general de ciberseguridad en la UE. Tras aprobarse el pasado año la Directiva NIS2, las organizaciones consideradas dentro de los sectores críticos deben planificar el establecimiento de buenas medidas de ciberseguridad para responder a la normativa.
¿Qué es la directiva NIS2?
La NIS2 – Directiva (UE) 2022/2555 es una actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS) y está diseñada para fortalecer y unificar las medidas de ciberseguridad en todos los Estados miembros de la Unión Europea.
¿A qué empresas aplica la Directiva NIS2?
La directiva NIS2 afecta a empresas de la Unión Europea que por su actividad son consideradas como esenciales para el funcionamiento de la economía y la sociedad europea en general.
La NIS2 divide las empresas en dos tipos:
- Entidades esenciales (EE): empresas de transporte, compañías de electricidad, agua y servicios de saneamiento, hospitales y centros de salud, sector bancario y financiero, y operadores que ofrezcan servicios digitales críticos, tales como telecomunicaciones y servicios de internet.
- Entidades importantes (IE): empresas de servicios postales y de mensajería, proveedores digitales que ofrezcan servicios de redes sociales y buscadores de internet, empresas de gestión de residuos, plantas de producción y de procesamiento de productos químicos, empresas de alimentación. Estos últimos ejemplos van muy ligados a fallos de ciberseguridad industrial.
La diferencia principal entre ambos tipos de entidades son las medidas que tienen que aplicar, teniendo la primera (EE) que cumplir con requisitos normativos más exigentes en cuanto a cumplimiento, obligaciones de notificación de incidentes y las medidas de seguridad que deben aplicar en sus sistemas de información.
Medidas de ciberseguridad requeridas por NIS2
La NIS2 exige a las empresas unas medidas, tanto en materia de ciberseguridad como de gestión de riesgos, como:
- Implantación de un sistema de autenticación multifactor (MFA)
- Control de acceso a los sistemas y aplicaciones con un nivel mínimo de permisos.
- Seguridad en la cadena de suministro, por la cual las empresas deben asegurar aspectos relacionados con la seguridad con las relaciones entre entidades, sus proveedores directos o proveedores de servicios.
- Sistemas de prevención que permitan detectar, bloquear y minimizar el impacto de ciberataques tales como el ransomware.
- Sistemas de continuidad de negocio, tales como políticas de backup y recuperación de desastres.
- Políticas de ciberhigiene y formación de ciberseguridad a todos los empleados de la compañía.
¿Cuáles son las principales novedades de NIS2?
Entre las novedades, nos centraremos en las sanciones, más severas para aquellos que incumplen sus obligaciones, y la notificación de incidentes.
Sanciones más severas para aquellos que incumplen sus obligaciones
Las sanciones por incumplimiento de la Directiva NIS2 pueden ser cuantiosas y varían según la gravedad del incumplimiento y el tamaño “económico” de la empresa.
Las multas financieras pueden alcanzar cifras sustanciales y, en algunos casos, basarse en un porcentaje del volumen de negocio anual de la empresa, lo que puede representar un impacto significativo en sus finanzas.
Además de las multas, las autoridades pueden imponer ciertas medidas correctivas, como la obligación de implementar controles de seguridad adicionales o la realización de auditorías periódicas.
Es esencial que las empresas comprendan y cumplan con los requisitos de la Directiva NIS2 para evitar sanciones financieras graves y proteger la seguridad de sus sistemas de información.
Informe de incidentes obligatorio
La normativa NIS2 establece que ciertas empresas, como los operadores de servicios esenciales y los proveedores de servicios digitales, deben notificar incidentes de seguridad cibernética a las autoridades competentes.
Esta notificación implica proporcionar información detallada sobre el incidente, incluyendo:
- Su naturaleza
- Los sistemas o servicios afectados
- El impacto potencial en la prestación de servicios esenciales
- Y las medidas tomadas para mitigar el incidente.
El objetivo es facilitar una respuesta rápida y coordinada a los ciberataques y otros incidentes, protegiendo así la continuidad de los servicios esenciales y mejorando la resiliencia cibernética en toda la Unión Europea.
¿Cuándo entra en vigor la Directiva NIS2?
La entrada en vigor de la norma NIS2 fue el 16 de enero de 2023, y todos los Estados miembros deben adoptar las medidas necesarias para garantizar el cumplimiento de esta directiva antes del 17 de octubre de 2024.
A partir del 18 de octubre de 2024, es obligatorio que todas las empresas apliquen las medidas requeridas de forma proactiva.
Sanciones por el incumplimiento de la normativa NIS2
Las sanciones por incumplimiento son:
- Para las “Entidades Esenciales” (EE) pueden alcanzar un máximo de 10 millones de euros o un máximo del 2% del volumen de negocio total anual global de la empresa del ejercicio anterior.
- Para las “Entidades Importantes” (EI) pueden alcanzar un máximo de 7 millones de euros o un máximo del 1,4% del volumen de negocio total anual global de la empresa del ejercicio anterior.
¿Cómo podemos ayudarte desde Inforges a implementar la Directiva NIS2?
Desde Inforges contamos con un equipo especialista en ciberseguridad, por lo que podemos ayudar a las empresas a implementar las medidas requeridas para cumplir con esta directiva, mejorar su postura de seguridad y evitar sanciones.
Se estima que al menos 100.000 empresas estarán obligadas a cumplir con la NIS2.
Preguntas frecuentes sobre la directiva NIS 2
Todas las empresas de la UE deberán informarse para ver cómo les afecta la nueva normativa Directiva NIS2 y sus respectivas aplicaciones. Estas son algunas preguntas frecuentes relacionadas con NIS2:
¿Qué busca la directiva NIS2?
La directiva NIS2 busca unificar mediante un criterio único las exigencias en materia de ciberseguridad en todas las empresas de la Unión Europea en las que, por su actividad, se considere un sector crítico o esencial.
¿Qué diferencias existen entre la directiva NIS2 y la NIS?
La Directiva NIS1 buscaba fortalecer la ciberseguridad en la UE, protegiendo las redes y sistemas esenciales para sectores clave y asegurando la continuidad de los servicios frente a amenazas. Tras su implementación en mayo de 2018, se evaluó su eficacia debido a desafíos durante la aplicación en algunos Estados miembros. Se identificó que su alcance era limitado y no abordaba completamente los sectores digitalizados cruciales para la economía y la sociedad. La falta de comprensión común de las amenazas también llevó a una resiliencia inconsistente en la UE. En respuesta, se introdujo la Directiva NIS2 para mejorar la ciberseguridad, especialmente para entidades en sectores críticos, con cambios significativos y amplios.
¿Cómo sé si me aplica NIS2?
La directiva NIS2 categoriza a las empresas según si su actividad es considerada esencial o importante. Dependiendo de la actividad de la empresa se puede averiguar si nuestra empresa está afectada o no. Si la actividad de la empresa se centra en sectores críticos (transporte, electricidad, agua, suministros, banca, telecomunicaciones, etc.) estará obligada a cumplir los requisitos de la norma.
¿Afecta la directiva NIS2 a pequeñas y medianas empresas?
Las pequeñas y medianas empresas (Pymes) pueden verse afectadas por la Directiva NIS2 si operan en sectores críticos tales como energía, transporte, salud o servicios financieros. Aunque el foco principal se centra en grandes empresas, las Pymes en la cadena de suministro de estos sectores también pueden estar sujetas a requisitos de ciberseguridad. Además, las empresas que ofrecen servicios digitales como plataformas en línea o comercio electrónico también pueden tener que cumplir con ciertos aspectos de la Directiva.
¿Afecta la directiva NIS2 a las microempresas?
La Directiva NIS2 podría tener un impacto mínimo en las microempresas debido a su tamaño reducido. Aunque no están directamente sujetas a sus obligaciones, podrían ser indirectamente afectadas si tienen relaciones comerciales con empresas que están directamente reguladas por la directiva. Es esencial que las microempresas estén al tanto de los requisitos de seguridad cibernética y tomen medidas para proteger sus sistemas de información.
¿Hay sectores que se vean especialmente afectados por la directiva NIS2?
La Directiva NIS2 afecta principalmente a sectores críticos como: energía, transporte, salud, servicios financieros y telecomunicaciones, debido a la importancia de proteger sus sistemas de información.
Además, proveedores de servicios digitales como motores de búsqueda, plataformas de comercio electrónico y redes sociales también se ven afectados por la necesidad de garantizar la seguridad de los datos y la continuidad del servicio. En resumen, los sectores que dependen fuertemente de la tecnología y la conectividad en línea son los más afectados por la Directiva NIS2.
¿Cómo se puede preparar mi organización ante la directiva nis2?
La mejor manera de preparar tu organización ante la Directiva NIS2 es evaluar su impacto y mejorando la postura de seguridad con medidas técnicas y organizativas adecuadas. Establecer un plan de respuesta a incidentes, formar a tus empleados y colabora con autoridades competentes son aspectos esenciales para cumplirla, así como realizar auditorías periódicas para garantizar el cumplimiento continuo y la efectividad de las medidas implementadas.
