La NIS 2 Para establecer un estándar de ciberseguridad en la Unión Europea, se exige a empresas de diversos sectores que aporten pruebas de su estrategia de seguridad. ¡La cuenta atrás ha comenzado y es hora de que nos preparemos juntos!
Desde el 18 de octubre de 2024, la nueva directiva de ciberseguridad de la UE, NIS 2, será de obligado cumplimiento. Este reglamento vinculante establece las normas de ciberseguridad aplicables en toda la Unión Europea y obliga a las empresas de diversos sectores a documentar su estrategia de seguridad.
Las empresas tienen que actuar.
¿Qué es la Directiva NIS 2?
Con la NIS 2 (Seguridad de la información y de la red), la UE ha introducido una estricta normativa de ciberseguridad que han de cumplir los Estados miembros. La NIS 2 es la sucesora de la Directiva NIS que entró en vigor en 2016. Con ella, la aplicación de una estrategia de seguridad integral ya no solo es necesaria para protegerse de los ciberataques, sino que también es un imperativo legal.
Los Estados miembros deben adoptar las medidas necesarias para cumplir con la Directiva NIS 2 antes del 17 de octubre de 2024 y aplicar estas medidas a partir del 18 de octubre de 2024.
¿En qué se diferencian la NIS 1 y la NIS 2?
NIS 2 es una versión mejorada de la Directiva NIS de 2016, que ya pretendía garantizar un alto nivel de seguridad en las redes y los sistemas de información en la Unión, pero que presentaba algunas deficiencias.
Las diferencias más importantes entre la NIS 1 y la NIS 2 son las siguientes:
-
La nueva versión incluye más sectores y empresas esenciales para la sociedad y la economía, como las del sector de la energía, la sanidad, el transporte y las infraestructuras digitales.
-
La NIS 2 obliga a las empresas y organizaciones afectadas a llevar a cabo una gestión eficaz de los riesgos y a notificar los incidentes cibernéticos graves o significativos a las autoridades nacionales competentes, que podrán adoptar las medidas necesarias. La NIS 1 solo ofrecía directrices generales sobre medidas de seguridad y la notificación de incidentes.
-
La nueva Directiva de seguridad prevé sanciones más estrictas para los Estados miembros, que pueden ascender a los 20 millones de euros o el cuatro por ciento del volumen de negocio global si las empresas y organizaciones afectadas no aplican las medidas de seguridad necesarias o no notifican los incidentes cibernéticos graves o significativos a las autoridades nacionales competentes. La NIS 1 dejaba la determinación de las sanciones en manos de los Estados miembros, lo que provocaba una aplicación incoherente.
-
La NIS 2 hace hincapié en la responsabilidad personal de los directivos en materia de ciberseguridad y estipula que, por primera vez, los directores generales responderán con su patrimonio personal si incumplen los requisitos legales.
¿A quién afecta?
¿Qué empresas están obligadas a aplicar la Directiva NIS 2?
Organizaciones esenciales: son las organizaciones que operan en el ámbito de las infraestructuras críticas. Entre ellas figuran, por ejemplo, la energía, el transporte, la gestión del agua, la sanidad y la banca.
Organizaciones importantes: esta categoría incluye las principales empresas de las industrias alimentaria y química, así como las responsables de la fabricación de electrodomésticos, maquinaria y vehículos.
Además, los propios Estados miembros tienen la opción de ampliar los grupos destinatarios a los que afecta la NIS 2. Pueden añadir otras organizaciones a sus listas nacionales para obligar a las autoridades locales, instituciones educativas y otras entidades a aplicar las directivas.
¿Qué tipos de sanciones se imponen?
La Directiva NIS 2 se debe aplicar estrictamente, y abarca elevadas sanciones por incumplimiento o por el no cumplimiento de las obligaciones de notificación. El importe de las sanciones depende de la clasificación de cada empresa.
Las empresas clasificadas como "importantes" deberán pagar multas de entre 7 millones de euros o un máximo del 1,4 % de su volumen de negocio anual global durante el ejercicio anterior. Las "empresas esenciales" se enfrentan a multas de hasta 10 millones de euros o un máximo del 2 % su volumen de negocio anual global.
La diligencia debida en el ámbito de la ciberseguridad no es negociable y la alta dirección tiene el deber de liderar la aplicación y supervisión de estas medidas de ciberseguridad.
¿Qué implicaciones concretas tiene esto para usted?
La Directiva NIS 2 es una directiva de la UE que entró en vigor el 16 de enero de 2023 y cuyo objetivo es mejorar la ciberseguridad y la resiliencia de las infraestructuras críticas y los proveedores de servicios digitales. La Directiva NIS 2 obliga a las empresas y organizaciones afectadas a llevar a cabo una gestión eficaz de los riesgos y a notificar los incidentes cibernéticos graves o significativos a las autoridades nacionales competentes, que podrán adoptar las medidas necesarias. El objetivo es detectar las lagunas de seguridad en una fase temprana y tomar medidas preventivas contra ellas para minimizar los posibles daños a los usuarios, el medio ambiente y el orden público. Para asegurarse de que todas las partes implicadas cumplan las mismas normas estrictas, las empresas también son responsables de garantizar la seguridad de toda la cadena de suministro y de transmitir los requisitos a sus socios comerciales y proveedores. Otras medidas incluyen, por ejemplo:
-
La aplicación de medidas de seguridad adecuadas y proporcionadas que cumplan las normas vigentes y las mejores prácticas con objeto de garantizar la confidencialidad, integridad, disponibilidad y autenticidad de sus datos y servicios.
-
La creación y actualización de un plan de continuidad de la actividad que permita restablecer las condiciones normales de funcionamiento tras un incidente cibernético.
-
La introducción de la autenticación multifactor para acceder a las redes y sistemas de información, que permita evitar accesos no autorizados.
La Agencia de Ciberseguridad de la UE (ENISA) desempeñará un papel clave en la supervisión y el respaldo a la aplicación de estos actos jurídicos.
Calendario de la NIS 2
La Directiva NIS 2 entró en vigor el 16 de enero de 2023 y debe transponerse a la legislación nacional antes del 17 de octubre de 2024. La Comisión revisará la aplicación de la directiva cada 36 meses, a partir del 17 de octubre de 2027.
Es hora de activarse y prepararse.
La NIS 2 ya entró en vigor el 16 de enero de 2023
Nuestro concepto de seguridad de 360º completo
Seguridad de 360° – Nuestra oferta completa sin concesiones
En el dinámico mundo de la ciberseguridad, el cambio es una constante y la introducción de la Directiva NIS 2 así lo subraya. A la espera de que la directiva se incorpore a la legislación nacional para que esté plenamente vigente, la urgencia de actuar es innegable.
Para cumplir los estrictos requisitos de la NIS 2, debemos basarnos en las normas europeas e internacionales, que sientan nuestros cimientos. Estas normas no solo definen los productos seguros, sino que también establecen los principios para implantar sistemas de seguridad sólidos. Un ejemplo destacado es la IEC 62443, una serie de normas de reconocimiento internacional sobre la seguridad en la automatización. Nuestro concepto de seguridad integral de 360° incluye medidas técnicas y organizativas respaldadas por las correspondientes certificaciones según IEC 62443.